Официальный представитель ЗАО “Калуга Астрал” в Санкт-Петербурге и Ленинградской области
8 (812) 401-64-11 
Отдел продаж - доб. 1 
Техническая поддержка - доб. 3 
Адрес: 191036, Санкт-Петербург
Невский пр., д.111/3, лит. А
пн-пт 10:00 -18:30

Главная / ИТ для гос. управления / Часто задаваемые вопросы

Часто задаваемые вопросы

  1. Для чего предназначен комплекс Собственность-Смарт?

    Основные задачи данного комплекса это:

    • ведение реестра имущества;
    • учет движения муниципального (государственного) имущества;
    • учет прав, ограничений и обременений на объекты;
    • учет муниципальной (государственной) казны, имущественных фондов;
    • контроль сохранности имущества и использования его по назначению;
    • учет договоров по распоряжению имуществом (договоры аренды, купли-продажи, субаренды, безвозмездного пользования и др.);
    • учет начислений по договорам;
    • администрирование поступлений от использования муниципального (государственного) имущества;
    • претензионную деятельность по работе с должниками и неплательщиками;
    • информационный обмен с балансодержателями о закрепленном за ними имуществе;
    • межведомственное информационное взаимодействие в СМЭВ, в том числе с ФКП Росреестра, с ГИС ГМП и др.

  2. Как работает комплекс Собственность- Смарт?

    Комплекс представляет собой систему из 3 составляющих:
    1) Общий сервер БД;
    2) Сервер приложений;
    3) Тонкий клиент установленный на ваш ПК(в базовом комплекте лицензия идет на 3 ПК, дополнительное подключение - 7000р).
    Работа осуществляется как по сети интернет, так и автономно (по локальной сети).

  3. Каким образом осуществляется работа с ПК?

    При оформлении лицензии, происходит обучение сотрудников специалистом КейСистемс (абсолютно бесплатно). Интуитивно понятный интерфейс программы, позволит в кротчайшие сроки обучить любого сотрудника

    Для более подробного знакомства с программой, мы можем выслать по электронной почте краткую презентацию, провести удаленную демонстрацию(по работе с программой)или же организовать выезд специалистов для проведения презентации и ознакомления с программой (все перечисленное –бесплатно)

  4. Можно ли перенести имеющиеся БД?

    Можно, практически из любой прошлой программы

  5. Как долго будет происходить внедрение?

    В зависимости от количества подведомственных учреждений, старой БД, шаблонов, зачастую внедрение происходит за 2-3 дня.

  6. Что такое персональные данные?

    Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе: ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, паспортные данные, финансовые ведомости, медицинские карты, биометрия, другая идентификационная информация личного характера. 
    Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ.

  7. Можно ли не защищать персональные данные?

    Персональные данные необходимо защищать согласно 152-ФЗ 'О персональных данных', который устанавливает такую обязанность за каждой компанией, индивидуальным предпринимателем или бюджетной организацией, обрабатывающей персональные данные. Оператор персональных данных обязан принять ряд мер для выполнения требований законодательства Российской Федерации, касающиеся обработки и обеспечения безопасности персональных данных. 
    В противном случае оператор персональных данных и его сотрудники могут понести дисциплинарную, административную и уголовную ответственность.

  8. Какие организации осуществляют контроль за соблюдением требований по защите ПДн?

    В Российской Федерации существует три основных регулятора в данной сфере:

    1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
    2. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
    3. Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

  9. Зачем защищать персональные данные?

    Федеральный закон № 152-ФЗ «О персональных данных»

    Защита персональных данных является обязанностью организации, в которой они обрабатываются. Данное положение закрепляется статьёй 19 Федерального закона «О персональных данных». Оператор вправе поручить обработку, в том числе и защиту персональных данных другому лицу на основании договора при условии получения согласия субъектов ПДн.

    Постановления Правительства № 1119, № 687

    Требования по защите персональных данных установлены правительством РФ, а именно его постановлениями №№ 1119 и 687, в которых описаны вопросы неавтоматизированной обработки ПДн и их обработки с использованием средств автоматизации. Обязанность по контролю исполнения требований, а также по разработке необходимых нормативных документов возложены на уполномоченные органы исполнительной власти.

    Уполномоченными органами являются:

    • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор России);
    • Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
    • Федеральная служба безопасности (ФСБ России).

    Данные органы действуют строго в рамках своей компетенции. Таким образом, Роскомнадзор отвечает за общий контроль и надзор, представление интересов физических лиц при обработке их ПДн в организациях. ФСТЭК России регламентирует только вопросы технической защиты персональных данных, а ФСБ — вопросы криптографической защиты при передаче ПДн по каналам связи. Причем при осуществлении своих функций знакомиться с ПДн, обрабатываемыми в организации, имеют право только сотрудники Роскомнадзора.

    Кодекс об административных правонарушениях, Уголовный кодекс РФ

    За нарушение норм законодательства о персональных данных предусматривается как административная, так и уголовная ответственность, а также гражданская, дисциплинарная и другие виды ответственности.

  10. Как защищать персональные данные?

    Федеральный закон № 152-ФЗ «О персональных данных»

    В соответствии с законом «О персональных данных», а именно частью первой статьи 19, в отношении персональных данных, обрабатываемых в организации, необходимо применять технические и организационные меры защиты от несанкционированного, в том числе и случайного, доступа посторонних лиц, модификации, копирования, распространения, уничтожения и других несанкционированных действий.

    Организационные меры включают в себя:

    • разработку и внедрение в организации пакета локальной организационно-распорядительной документации, регламентирующей порядок обработки и защиты персональных данных, ознакомление с документами сотрудников и ответственных лиц;
    • введение физической охраны территории, внедрение систем видеонаблюдения, охранной сигнализации, усиление дверей и замков в помещения, установку решеток на окна первого и последнего этажей здания;
    • организацию хранения материальных носителей ПДн в сейфах, металлических запирающихся шкафах;
    • внедрение пропускной системы на территорию организации и в помещения, в которых хранятся и/или обрабатываются ПДн, установление контролируемой зоны;
    • обучение, периодическое повышение квалификации сотрудников, ответственных за организацию системы защиты ПДн, проведение для всех сотрудников обзорных лекций, семинаров по вопросам обработки и защиты ПДн;
    • осуществление аудита или внутреннего контроля обработки ПДн на соответствие принятым в организации мерам, нормативным и локальным актам;
    • организацию постоянного контроля защищенности персональных данных, работоспособности средств защиты, исполнения обязанностей ответственными сотрудниками;
    • расследование инцидентов, связанных с нарушением безопасности ПДн, и привлечение виновных лиц к дисциплинарной, административной и другим видам ответственности и т.п.

    Об угрозах безопасности персональных данных

    Организационные меры являются наиболее действенными и, как правило, минимизируют вероятность реализации до 80% всех угроз безопасности обрабатываемых персональных данных. Оставшиеся угрозы перекрываются техническими мерами обеспечения информационной безопасности, которые могут включать в себя:

    • программную или программно-техническую защиту от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест информационных систем персональных данных (ИСПДн);
    • организацию безопасного межсетевого взаимодействия при подключении ИСПДн к локальным сетям общего пользования или к сети Интернет;
    • применение систем шифрования ПДн при необходимости их передачи по открытым каналам связи, например, при обмене информацией между территориально удаленными филиалами или офисами через сеть Интернет;
    • защиту ПДн, обрабатываемых в информационных системах, от вредоносного программного обеспечения, вирусов, троянов и т.д.

    Постановление Правительства № 1119

    Важным моментом является тот факт, что все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, то есть сертифицированы ФСТЭК или ФСБ России. Данное требование устанавливается подпунктом «г» пункта 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1119.

  11. Автоматизированная и неавтоматизированная обработка персональных данных

    Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. С автоматизированной обработкой персональных данных всё понятно, но вопрос о том, что же является неавтоматизированной обработкой остается открытым.

    Постановление Правительства № 687

    В соответствии с пунктом первым Положения, утвержденного Постановлением Правительства РФ № 687, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

    Указанные понятия при первом прочтении сбивают с толка, но при тщательном изучении всё становится более-менее понятным. Так, видимо, наши нормотворцы подразумевали, что использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

  12. Угрозы безопасности персональных данных

    Угрозы безопасности — это некая совокупность условий или воздействующих факторов, которые создают опасность в отношении персональных данных, заключающуюся в ознакомлении посторонних лиц с защищаемыми персональными данными, несанкционированном изменении, уничтожении, распространении, а также других неправомерных действий с персональными данными.

    Источниками угроз безопасности персональных данных могут являться как внутренние нарушители, то есть собственные сотрудники, так и внешние нарушители, использующие в качестве реализации угрозы каналы связи, компьютерные сети и Интернет. Кроме того, угрозы безопасности могут возникать при внедрении в информационную систему вредоносных программ и вирусов.

    Способами реализации угроз безопасности могут быть несанкционированный доступ к информации, утечка по техническим каналам, а также специальные воздействия на персональные данные либо информационную систему.

    Угрозы несанкционированного доступа к персональным данным, обрабатываемым в информационной системе, могут осуществляться при помощи программных и аппаратно-программных средств. При этом происходит нарушение режима конфиденциальности в отношении персональных данных путем их неправомерного копирования и/или распространения. Также защищаемые персональные данные могут быть изменены или уничтожены нарушителем, что может также повлечь собой значительные последствия. В ходе реализации угрозы несанкционированного доступа могут быть созданы нештатные режимы работы операционной среды или программного обеспечения, которые возможно будут использованы нарушителем для кражи информации либо воздействия на нее извне.

    При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы.

    Базовая модель угроз безопасности персональных данных (утв. Приказом ФСТЭК от 15 февраля 2008г.)

    Другим видом угроз безопасности персональных данных являются угрозы, реализуемые при помощи технических каналов, таких как утечка речевой, видовой информации, содержащей персональные данные, утечка персональных данных, обрабатываемых в информационных системах, по каналу электромагнитных излучений и наводок. Такие угрозы целесообразно рассматривать в отношении информационных систем высшего класса, в которых обрабатываются специальные категории персональных данных, касающиеся национальной и расовой принадлежности человека, его религиозных либо философских убеждений, здоровья и интимной жизни. Для таких систем разрабатывается специальная модель угроз, при составлении которой анализируются отдельные уязвимости и угрозы, вычисляется их актуальность, определяется достаточность существующих и необходимость дополнительных методов защиты.

  13. Какие бывают информационные системы персональных данных?

    Все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны провести классификацию информационных систем, а также определить цели и содержание такой обработки. Классификация проводится с целью определения способов и методов, которые необходимо применить для защиты персональных данных. Классификация может проводиться как на стадии создания информационной системы, так и на стадии ее модернизации.

    Совместный приказ ФСТЭК, ФСБ и Мининформсвязи

    Для проведения классификации создается комиссия, в состав которой входят специалисты по защите информации и другие сотрудники, непосредственно отвечающие за безопасность персональных данных. Процедура проведения классификации устанавливается так называемым «приказом трех» (Совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008).

    В ходе проведения классификации члены комиссии осуществляют анализ собранной информации (исходных данных) об информационной системе. К исходным данным относятся:

    • количество субъектов, персональные данные которых обрабатываются (объем);
    • категория персональных данных;
    • характеристики безопасности персональных данных;
    • структура информационной системы (автономные, локальные или распределенные системы);
    • наличие подключений к сетям общего пользования, в том числе сети Интернет;
    • режим обработки (может быть однопользовательский и многопользовательский);
    • наличие разграничения прав доступа к персональным данным в информационной системе;
    • территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).

    По результатам анализа комиссия определяет класс информационной системы при помощи следующей таблицы:

    Категория обрабатываемых персональных данных (ПДн)

    Количество субъектов ПДн

    более 100 тыс.

    в объеме

    от 1 тыс. до 100 тыс.

    в объеме

    до 1 тыс. субъектов

    РФ

    субъекта РФ

    отрасли

    органа власти

    муниципального образования

    организации

    касающиеся национальной и расовой принадлежности, религиозных либо философских убеждений, здоровья и интимной жизни

    класс 1 (К1)

    класс 1 (К1)

    класс 1 (К1)

    позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию

    класс 1 (К1)

    класс 2 (К2)

    класс 3 (К3)

    позволяющие идентифицировать субъекта ПДн

    класс 2 (К2)

    класс 3 (К3)

    класс 3 (К3)

    обезличенные или общедоступные ПДн

    класс 4 (К4)

    класс 4 (К4)

    класс 4 (К4)

  14. Информационная система типовая или специальная?

    О классификации информационных систем

    При проведении классификации информационной системы, одним из определяющих параметров является характеристика безопасности персональных данных. В зависимости от того какие категории персональных данных обрабатываются и каким образом происходит обработка, определяется какой будет информационная система: типовой или специальной.

    Так к специальным относят информационные системы, в которых обрабатываются персональные данные первой (высшей) категории (информация о национальной и расовой принадлежности, о религиозных либо философских убеждениях, информация о здоровье и интимной жизни и другие сведения о субъектах, утечка которых может привести к серьезным последствиям). Также к специальным необходимо относить системы, в которых принятие юридически значимых решений в отношении субъектов персональных данных осуществляется в исключительно автоматизированном режиме. Если же данные характеристики не подходят для вашей информационной системы, то она является типовой.

    Методы и способы защиты персональных данных

    Разница между типовыми и специальными информационными системами существенная. Так, например, для типовой информационной системы необходимо обеспечить только предотвращение утечки персональных данных, то есть их конфиденциальность. Кроме того для типовой информационной системы определены методы и способы защиты информации в зависимости от класса (чем выше класс тем серьёзнее система защиты).

    Модели угроз безопасности персональных данных

    Для специальных же систем кроме обеспечения конфиденциальности необходимо обеспечить защиту от хотя бы одной из следующих угроз: уничтожение, блокирование или изменение персональных данных. И это еще не все. Также в отношении специальной информационной системы оператору необходимо составить модель угроз, и сделать это необходимо с привлечением специалистов по информационной безопасности, что значительно усложняет процесс приведения этой информационной системы в соответствие требованиям.

  15. Нужно ли уведомлять владельца персональных данных об их обработке?

    В соответствии с законом перед началом обработки персональных данных организации, в том числе и индивидуальные предприниматели, обязаны уведомить о своем намерении Роскомнадзор, являющийся уполномоченным органом по защите прав субъектов персональных данных.

    Новая форма уведомления об обработке персональных данных

    Уведомление оформляется по специальной форме, которая устанавливается отдельным Приказом Роскомнадзора. 19 августа 2011 года был подписан новый приказ, а соответственно была утверждена и новая форма уведомления об обработке персональных данных. С этой даты уведомление необходимо оформлять в соответствии с рекомендациями по заполнению, приведенными в этом же приказе.

    Адреса и телефоны территориальных органов Роскомнадзора

    Уведомление направляется в территориальное управление Роскомнадзора. Подписанное уполномоченным лицом уведомление может быть направлено как на бумажном носителе, так и в электронном виде. Во втором случае электронный документ должен быть подписан в соответствии с законодательством об электронной подписи.

    Существуют случаи, когда уведомление уполномоченного органа не требуется. Например, когда организацию и субъектов персональных данных связывают трудовые отношения, когда обрабатываются исключительно общедоступные персональные данные, когда обрабатываются только фамилии, имена и отчества либо когда обработка осуществляется неавтоматизированным способом. Все случаи, позволяющие осуществлять обработку без уведомления, перечислены в статье 22 федерального закона «О персональных данных».

    За неуведомление либо несвоевременное уведомление уполномоченного органа статьей 19.7 Кодекса об административных правонарушениях предусмотрено наказание в виде штрафа в сумме до пяти тысяч рублей.

  16. Как происходит аттестация информационных систем персональных данных

    Аттестация по требованиям безопасности информации — процедура не дешевая и в большинстве случаев удорожает обеспечение безопасности ИСПДн раза в полтора-два, поэтому многие операторы персональных данных хотели бы обойти данную процедуру.

    Сразу отметим, что в правовых, нормативных и методических документах понятия «аттестация ИСПДн» не существует. Но сразу расслабляться не стоит. Во-первых, ИСПДн в госоргане или госучреждении будут являться государственными информационными ресурсами, что накладывает на операторов обязательства по их защите в соответствии со Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К). Документ этот ограниченного доступа и получить его можно только в территориальном управлении ФСТЭК России.

    Во-вторых, аттестат соответствия требованиям по безопасности информации может понадобиться для доказывания должного уровня защиты ИСПДн. В этом случае данную процедуру можно провести в добровольном порядке.

    Сама процедура аттестации проводится организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом в данной организации создается аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая проводит оценку соответствия организационных и технических мер, а также испытания технических средств защиты персональных данных. В результате оценки соответствия выдается Аттестат либо предписание на устранение недостатков системы защиты ИСПДн, поэтому необходимо очень тщательно подойти к процедуре подготовки к аттестации, а лучше поручить подготовку компетентной организации.

    О декларировании соответствия ИСПДн

    Также в целях доказывания должного уровня защиты персональных данных возможно окажется достаточно и декларации соответствия, которая составляется самим оператором с привлечением специалистов в области защиты информации.

  17. Как необходимо декларировать соответствия ИСПДн требованиям по безопасности информации ?

    Об аттестации ИСПДн

    Декларирование соответствия — это документальное подтверждение соответствия свойств и характеристик ИСПДн предъявляемым к ней требованиям, которые установлены законодательством РФ о персональных данных, а также нормативными и методическими документами Роскомнадзора, ФСТЭК и ФСБ России. Декларирование является одной из форм подтверждения соответствия наряду с аттестацией ИСПДн.

    Декларирование соответствия осуществляется на основе доказательств, собранных собственными силами либо с привлечением сторонних организаций или специалистов.

    При проведении декларирования собственными силами оператору необходимо сформировать комплект документов, состоящий из технической документации, результатов исследований и других документов, которые могут служить основанием для подтверждения соответствия ИСПДн всем предъявляемым требованиям. К примеру, такими документами могут быть протоколы испытаний системы защиты информации, заключения специалистов по защите информации, сертификаты соответствия по требованиям безопасности информации на средства защиты информации, используемые в ИСПДн, и т.п. Такие заключения и протоколы испытаний могут быть получены от сторонних организаций, имеющих лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

    Декларация соответствия как правило должна содержать:

    • наименование и местонахождение оператора персональных данных;
    • информацию позволяющую идентифицировать информационную систему персональных данных;
    • перечень нормативно-правовых актов, нормативных и методических документов, на соответствие требованиям которых производится декларирование; ­
    • описание информационной системы, в том числе описание принятых оператором мер по обеспечению безопасности персональных данных в соответствии c необходимыми требованиями;
    • сведения и копии документов, служащих основанием для подтверждения соответствия ИСПДн требованиям по безопасности информации;
    • срок действия декларации соответствия. Срок действия декларации, как и аттестата, не должен превышать трёх лет.

  18. Какие бывают уровни защищенности персональных данных ?

    Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

    Постановление Правительства № 1119 от 1 ноября 2012

    Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

    Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

    Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

    1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

    2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

    3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

    4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

    По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

    • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
    • обработка персональных данных субъектов, не являющихся работниками вашей организации.

    По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

    • менее 100 000 субъектов;
    • более 100 000 субъектов;

    К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы...

    И наконец, типы актуальных угроз:

    • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
    • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
    • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

    Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

    Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

Отобразить все

Задать вопрос

Контактное лицо*
Телефон*
Ваш вопрос*
Защита от автоматического заполнения
Введите символы с картинки*
* - обязательные поля

© 2008 - 2018, ООО «Бизнес-ИНФО»