- •Инновационно-технологический критерий
- •Критерий роста экономической значимости информации
- •Культурологический критерий
- •Критерий, связанный со сферой занятости
- •Количество и качество информации
- •Данные. Информация. Знания. Компетенции. Лучшие практики
- •Теоретическое знание
- •Феномен информации для специалиста — современные информационные угрозы и вызовы
- •Уровни описания ит-технологии — концептуальный (содержательный), логический и физический уровни
- •Состав корпоративных информационных систем (кис) и классификация информационных систем
- •Классификация ис
- •Жизненный цикл информационных систем
- •Соотношение и взаимосвязь ит-стратегии и бизнес-стратегии предприятия
- •Процессный, сервисный и проектный подходы для жизненного цикла кис
- •Концепция сбалансированных показателей (bsc) как основа информационных систем управления персоналом
- •Методологии idef0 и aris для моделирования бизнес-процессов управления персоналом
- •Примеры моделирования бизнес-процессов: «Прием специалиста в штат», «Увольнение сотрудника»
- •Концепции mrp/erp
- •Системы электронного документооборота. Технологии Workflow и ecm
- •Системы бизнес-анализа (bi-системы)
- •Соединение ит и hr практик на примере модуля «Управление персоналом» в erp-системе Microsoft Dynamics ax
- •Решение задачи «Расширение штата компании»
- •Решение задачи «Развитие персонала компании»
- •Бизнес-кейсы по автоматизации управления персоналом
- •Внедрение модулей «Зарплата» и «Кадры» на Раменском горно-обогатительном комбинате
- •Вопросы для самопроверки
- •Информационная система hr-менеджмента etWeb™ Enterprise от axes Management
- •Электронный рекрутмент. Социальная сеть как инструмент рекрутмента
- •Системы дистанционного образования e-learning. Электронные бизнес-симуляции
- •Средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System — fes)
- •Средства авторизации и разграничения доступа к информационным ресурсам, а также защита от несанкционированного доступа к информации
- •Средства защиты от внешних угроз
- •Средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи
- •Классификация и защита информационных систем персональных данных
- •Аудит информационной системы
- •Примерный план работ по it аудиту
- •Оценка эффективности ит для бизнеса
- •Виртуальные частные сети vpn
- •Беспроводный доступ
- •Проводные технологии
- •Унифицированные коммуникации
- •Контакт-центр
- •Вопросы для самопроверки
Классификация и защита информационных систем персональных данных
Одним из важных моментов в работе менеджера по управлению персоналом является соблюдение Федерального закона «О персональных данных», принятого в 2006 г. В настоящее время в соответствии с этим законом Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) приняла четыре ключевых документа:
рекомендации по построению защиты персональных данных с их классификацией;
базовую модель угроз;
методику определения актуальности угроз;
список мероприятий по организации защиты персональных данных.
На базе этих документов информационные системы, которые используют корпорации, должны быть аттестованы в соответствии с законом «О персональных данных», который с 1 января 2010 г. станет обязательными для всех, кто владеет хоть какими-нибудь персональными данными. Ключевые требования к создаваемой частной модели безопасности задаются в соответствии с классификацией персональных данных:
категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 — обезличенные и (или) общедоступные персональные данные.
Отсюда в зависимости от категории и количества (от 1 до 1000; от 1000 до 100000; свыше 100000), обрабатываемых в информационной системе субъектов персональных данных законом определена классификация информационных систем персональных данных.
По заданным оператором (оператор — государственный или муниципальный орган, юридическое или физическое лицо, которому принадлежит информационная система) характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы .
типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;
специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
По структуре информационные системы подразделяются на:
автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, владельцы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению владельца ИС — без участия ФСТЭК.
9.3.