— Подобный семинар на базе нашей кафедры мы проводим в первый раз, — рассказала в беседе с корреспондентом кандидат технических наук, доцент кафедры ТППиЗИ Ольга Владимировна Чечуга. — Знаменательно то, что на семинаре присутствуют и наши преподаватели, и специалисты в области защиты персональных данных. Дело в том, что и в бюджетных, и в государственных организациях часто возникают проблемы с защитой персональных данных. И если закон о защите персональных данных не будет выполняться, то предприятию в целом или отдельным его сотрудникам грозит административное или уголовное наказание. Следует, однако, учитывать, что в законе постоянно происходят изменения, за которыми та или иная организация не в состоянии порой уследить. Наш семинар имеет своей целью обобщить опыт научной и практической деятельности в этом направлении, увязать его с изменениями в законе о защите персональных данных и подготовить материал для специальных курсов. Коллектив кафедры ТПИиЗИ совместно со специалистами в данной сфере готов оказать теоретическую поддержку организациям Тулы и области.

 

— ООО «НТЦ «ВЕЛЕС» занимается лицензированной деятельностью, связанной с предоставлением услуг по защите информации, составляющей государственную тайну, так и любой другой конфиденциальной информации, — рассказал генеральный директор Александр Олегович Куприянов. — В соответствии с Федеральным Законом № 152 от 27 июля 2006 года и Указом № 188 Президента РФ, персональные данные являются сведениями конфиденциального характера. Кстати, закон № 152 основан на выполнении требований Конституции и Конвенции о защите субъектов персональных данных. Мы осуществляем комплекс организационных и технических мер, причём первые являются базисом, а вторые надстройкой. Организационные меры подразумевают определение объектов защиты, в данном случае имеются в виду персональные данные, их классификацию, установление угроз, которые могут воздействовать на объекты защиты, разработку требований по локализации угроз безопасности. В свою очередь, под техническими мерами понимаются, во-первых, установка средств защиты от утечки информации по техническим каналам — оптическим, акустическим, по заземлению, по каналу побочного электромагнитного излучения, — во-вторых, установка средств защиты от несанкционированного доступа к информации, в-третьих, применение криптографических средств защиты информации. Существует ещё физическая защита объектов: охранная и противопожарная сигнализации.

 

— Управление Роскомнадзора по Тульской области осуществляет контроль и надзор за соответствием обработки персональных данных Законодательству Российской Федерации, — пояснил начальник отдела по защите прав субъектов персональных данных Михаил Николаевич Баранов, кстати, выпускник ТулГУ. — Хочу сказать, что закон находится в процессе доработки, в него вносятся изменения, поэтому для операторов персональных данных семинар очень важен в плане ознакомления с этими изменениями. А ещё семинар даёт сотрудникам кафедры ТППиЗИ прекрасную возможность пообщаться с представителями контрольно-надзорного органа. Кстати, операторами персональных данных могут быть как юридические, так и физические лица, государственные или муниципальные организации, осуществляющие обработку данных. У нас практически все этим занимаются. Простой пример: бухгалтерия и отдел кадров на любом заводе — это тоже операторы персональных данных. Дополнительные персональные данные клиентов имеют и банки, и сотовые операторы. А вот регуляторами персональных данных являются три службы: Роскомнадзор, ФСБ и Федеральная служба по техническому экспортному контролю (ФСТЭК). ФСБ и ФСТЭК непосредственно осуществляют контроль выполнения мер по обеспечению безопасности персональных данных, а ФСБ к тому же регулирует криптографическую защиту. Роскомнадзор осуществляет контроль организации обработки персональных данных.

 

...Открыл семинар доктор технических наук, профессор, декан факультета транспортных и технологических систем Игорь Евгеньевич Агуреев. В своём выступлении он особо подчеркнул, что сейчас информация считается материальным объектом, а потому вопрос её защиты является в современном мире одним из самых важных. И в этом смысле огромную роль играет консолидация усилий теоретиков и практиков, иными словами, учёных кафедры ТППиЗИ и специалистов в области защиты персональных данных.

 

Михаил Николаевич Баранов своё выступление посвятил контролю и надзору за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных». В частности, он рассказал, что фотография в паспорте является биометрическими персональными данными, а вот её ксерокопия — уже нет. В каждой организации, на каждом предприятии должна быть комиссия по уничтожению персональных данных. Соответственно, должна быть установлена и форма акта об уничтожении персональных данных. Кроме того, в каждой организации должен быть составлен список должностей, допущенных к обработке персональных данных, а политика обработки персональных данных должна быть вывешена на сайте предприятия или на стенде в главном офисе.

 

Начальник отдела разработки и проектирования СЗИ ООО «НТЦ «ВЕЛЕС» Наталья Борисовна Шмелёва и Александр Олегович Куприянов рассказали об основных мероприятиях по организации безопасности персональных данных, о модели угроз и модели нарушителя. Политика безопасности, по словам выступающих, подразумевает совокупность организационных и технических мер. Модель угрозы предполагает вопрос: какие угрозы по утечке и несанкционированному доступу к информации могут быть? Модель нарушителя вытекает из модели угрозы: что этот нарушитель может сделать с системой?

 

...Завершил работу семинара «круглый стол», во время которого были подведены итоги научно-технического мероприятия.