Главная Приватизация муниципальной квартиры

Защита информационных систем обработки персональных данных. Выбор средств защиты персональных данных. Примерный перечень документов по защите персональных данных

Предъявляет особые требования к информсистемам, содержащим персональные данные, и предполагает создание особых средств и систем защиты информации.

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера , направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

Важно! Контролировать выполнение требований по защищенности информации, оператор может самостоятельно либо привлечь лицензированную организацию, которая специализируется на создании и реализации СЗПД.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информаци и, которую субъект предоставляет оператору организации.

Организационные меры включают:

  1. Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

    2. Разработка пакета документации для внутреннего пользования , которой регламентируются операции с ПД, их обработка и хранение, в частности это , Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете , а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем .

    Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

    Подписание соглашений с третьими лицами , которые участвуют в обработке информации.

    Составление перечня ограниченного круга лиц , которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

    Рациональное расположение рабочих мест в организации , исключающее несанкционированный доступ к личным сведениям.

  2. Внутренний контроль за соблюдением требований к в соответствии с законодательством.

Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

  • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
  • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

Пошаговая инструкция по разработке СЗПД

Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных» . Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

  1. Издание внутреннего приказа , в соответствии с которым начинаются процессы подготовки и реализации мер по защите ПД и построение защитной системы. В приказе обязательно должен быть указан сотрудник, который несет ответственность за выполнением соответствующих мероприятий, перечисляются локальные документы, в том числе Положение по защите и обработке данных и состав специальной комиссии.
  2. Обследование внутренних систем , содержащих конфиденциальную информацию. На этом этапе нужно определить, является ли организация оператором ПД. Если да, то к какой категории относятся обрабатываемые данные. Составляется отчет о диагностических мероприятиях, создается акт о классификации системы информации, уровне ее защищенности и модели угроз, которым могут подвергаться личные сведения на объекте.
  3. Если в ходе обследования выяснилось, что организация является оператором ПД, направляется Уведомление в Роскомнадзор о намерении производить обработку ПД (ст. 22 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
  4. Разработка и утверждение документов согласия субъекта на обработку ПД и отзыва согласия (ст. 9 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
  5. Внедрение защитной системы. На этом этапе создается ряд документов, которые регламентируют внутренний порядок работы, хранения, передачи и уничтожения ПД. Составляется перечень лиц, которые допущены к обработке данных и перечень сведений, с которыми осуществляются операции.

    Необходимо разработать специальное Положение об обработке и защите ПД в организации, разработать инструкции пользователям и администраторам для работы с информацией, для резервного копирования и восстановления.

  6. Определение содержания технических защитных мер. В частности, они должны оберегать информацию от несанкционированного доступа, включать антивирусные и криптографические средства и пр. (Приказ ФСТЭК России от 18.02.2013 № 21).
  7. Подписание «Заключения о соответствии системы защиты данным , обрабатываемым в информационных системах организации».

Подробную инструкцию по реализации защиты ПД в различных организациях найдете .

Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России .

Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .

После выхода в свет постановления Правительства РФ № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” от 17 ноября 2007 г. и совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 “Об утверждении порядка проведения классификации информационных систем персональных данных” (далее "Порядок…") перед службами разработки и эксплуатации информационных систем (ИС), обрабатывающих персональные данные, возникло два почти гамлетовских вопроса:

  • как классифицировать ИС, предназначенные для защиты персональных данных;
  • как выбрать средства защиты информации для защиты персональных данных в этих системах.

"Порядок…" утверждает, что “классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных”. Это означает, что персональные данные (ПД) классифицирует их владелец , что является серьезным подспорьем для объективного выбора методов и средств защиты ПД и создает объективную базу для диалога с проверяющими органами о достаточности принятых в организации мер защиты персональных данных.

При проведении классификации ИС, предназначенной для обработки персональных данных, учитываются следующие исходные данные: ·

  • категория обрабатываемых в информационной системе персональных данных; ·
  • объём обрабатываемых ПД (количество субъектов, персональные данные которых обрабатываются в ИС); ·
  • заданные владельцем информационной системы характеристики безопасности персональных данных, обрабатываемых в ИС; ·
  • структура информационной системы; ·
  • наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена; ·
  • режим обработки ПД; ·
  • режим разграничения прав доступа пользователей информационной системы; ·
  • местонахождение технических средств ИС.

В первую очередь определим, что относится к персональным данным. Это сведения различного характера о конкретных физических лицах. Заметим, что мы говорим только о сведениях в электронной форме, вводимых, хранящихся, обрабатываемых и передаваемых в информационной системе. Данные сведения разделяются на четыре основные категории: ·

  • категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; ·
  • категория 2 - ПД, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1; ·
  • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; ·
  • категория 4 - обезличенные и (или) общедоступные ПД.

Например, отдельно фамилия является данными 4-й категории, сочетание фамилии и адреса - третьей, фамилия, адрес, номера страховок и карт - второй, а если к этим данным добавлена электронная медкарта, то получившиеся персональные данные относятся исключительно к первой категории.

Исходя из этой классификации можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу “национальность” (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории. Понятно также, что фрагменты персональных данных почти всегда имеют меньшую категорию, чем их совокупность. Даже подробные сведения о здоровье физического лица могут быть бессмысленны, если неизвестна его фамилия или другие данные, однозначно привязывающие эти сведения к пациенту.

Объем обрабатываемых ПД может принимать следующие значения: ·

  1. - в ИС одновременно обрабатываются персональные данные более чем 100 000 субъектов или персональные данные субъектов в пределах региона Российской Федерации или Российской Федерации в целом; ·
  2. - в ИС одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов или персональные данные субъектов, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; ·
  3. - в ИС одновременно обрабатываются данные менее чем 1000 субъектов или персональные данные субъектов конкретной организации.

По характеристикам безопасности ПД, обрабатываемых в информационной системе, ИС подразделяются на типовые и специальные. Первые - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Характеристика “конфиденциальность” означает, что обращаться (вводить, хранить, обрабатывать и передавать) с ПД в электронной форме может только тот, для кого они предназначены. Для обеспечения конфиденциальности при передаче персональных данных в сетях, включая Интернет, необходимо использовать шифрование данных.

Специальные информационные системы - это такие ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (например, целостность или доступность). Характеристика “целостность” означает, что персональные данные должны меняться только регламентированным образом, например изменения в файл электронной медкарты может вносить только уполномоченный врач, а в любых других случаях информация в медкарте не должна меняться. При передаче по сетям целостность обеспечивается применением электронной цифровой подписи.

Характеристика “доступность” означает, что работа с ПД должна обеспечиваться для заданного количества данных и пользователей с соблюдением установленных временных регламентов. Иначе говоря, “доступность” - другая формулировка надежности системы. Заметим также, что говорить о доступности в открытых сетях практически бессмысленно - ни один провайдер не обеспечит гарантированного доступа к данным или их бесперебойной передачи.

К специальным информационным системам относятся: ·

  • ИС, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов; ·
  • ИС, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы.

По структуре информационные системы для обработки ПД подразделяются: ·

  • на автономные (не подключенные к иным ИС), предназначенные для обработки персональных данных (автоматизированные рабочие места); ·
  • на комплексы автоматизированных рабочих мест, объединенных в единую ИС средствами связи без использования технологии удаленного доступа (локальные информационные системы); ·
  • на комплексы автоматизированных рабочих мест и (или) локальных ИС, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределённые информационные системы).

По наличию подключений к сетям связи общего пользования и (или) международного информационного обмена ИС подразделяются на системы, имеющие подключения не имеющие подключений.

Исходя из того, что в обязательном порядке требуется обеспечение конфиденциальности данных, можно выделить необходимые элементы информационной системы для обработки персональных данных.

В первую очередь информационная система обязана идентифицировать пользователей и иметь возможность устанавливать индивидуальные полномочия по доступу пользователей к ПД, т. е. обладать системами идентификации и аутентификации и разграничения доступа.

Во-вторых, необходимо обеспечивать защиту персональных данных, которые могут отчуждаться из системы. Например, следует контролировать перенос информации на съёмные носители. Весьма вероятно, что в ряде случаев надо учитывать возможность хищения и утраты (потери) компьютерной техники с персональными данными. В этом случае также обязательно шифрование хранимых на носителях компьютера ПД.

Если система имеет подключения к открытым сетям или предусматривает обмен данными, обязательно применение шифрования данных и электронной цифровой подписи, а также обеспечение защиты от атак из внешних сетей, включая антивирусную защиту.

Для шифрования и электронной подписи используются ключи и сертификаты, которые генерируются самими пользователями и регистрируются в так называемых удостоверяющих центрах.

Весьма важный момент - регистрация действий с ПД, которая, с одной стороны, позволяет выявить виновных в их утечке, а с другой - создает психологическую мотивацию для корректной работы с ними.

Информационной системе для обработки ПД может быть присвоен один из следующих классов: ·

  • класс 1 (К1) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; ·
  • класс 2 (К2) - ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; ·
  • класс 3 (К3) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; ·
  • класс 4 (К4) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Таблица 1

Категория

Во-первых, из “Порядка…” следует существование категорий персональных данных. Логично осуществить агрегирование базы данных в ИС, содержащей ПД, на непересекающиеся части, содержащие данные различных категорий. Также ИС для обработки ПД должна быть разделена на контуры , содержащие данные только одной категории. Это вполне возможно сделать, поскольку физические лица однозначно идентифицируются номером паспорта или ИНН либо номером полиса медицинского страхования, который позволяет индексировать базы медицинских данных и другие массивы однозначно. Таким образом, необходимо следовать принципу, что в каждом контуре ИС для обработки персональных данных необходимо использовать сертифицированные средства одного класса , а контуры должны быть изолированы друг от друга.

Можно констатировать, что большинство информационных систем для обработки ПД (особенно медицинского назначения) будут специальными , т. е. в них необходимо обеспечивать не только конфиденциальность, но и целостность в обязательном порядкеи другие характеристики безопасности и надежности.

В случае распределённой ИС для обработки персональных данных даже при необходимости обеспечения только конфиденциальности в соответствии с "Порядком…" в обязательном порядке потребуется защита передаваемых и хранимых ПД . Это полностью соответствует действующим требованиям ФСБ РФ к автоматизированным ИС, предназначенным для защиты конфиденциальной информации, не составляющей государственной тайны, а именно - положению, что “должна осуществляться защита всей конфиденциальной информации, передаваемой по каналам связи; информация, передаваемая по каналам связи, должна быть зашифрована с использованием средств криптографической защиты информации (СКЗИ), или для ее передачи должны использоваться защищенные каналы связи. Должна осуществляться защита информации, записываемой на отчуждаемые носители”.

Последнее требование безусловно применимо для изолированных ИС ПД, не имеющих каналов для передачи ПД, т. е. для отдельных рабочих мест, обрабатывающих персональные данные.

Это означает, что для обработки персональных данных ИС должны быть аттестованы по классу не ниже АК2 в классификации ФСБ РФ. Например, такому классу соответствует защищенная Windows XP c пакетом обновления Secure Pack Rus. В состав средств защиты должны входить средства криптографической защиты информации (СКЗИ) класса не ниже КС2.

Исходя из этого для любой ИС ПД, обрабатывающей ПД категорий выше 4-й (к которой безусловно будут отнесены все системы обработки медицинских ПД), потребуется выполнение всех требований класса АК2 в классификации ФСБ РФ.

Из архитектуры ИС ПД при достаточно большом количестве обрабатываемых ПД (показатель 1 или 2) однозначно будет выделяться серверный компонент, который также потребует защиты. В этом случае должна осуществляться защита всей конфиденциальной информации хранимой на магнитных носителях рабочих станций и серверов, что соответствует требованиям класса АК3.

Таким образом, можно предложить вполне обоснованную стратегию защиты ПД, состоящую в том, что табл. 1 заполняется в следующей редакции (см. табл. 2).

Таблица 2

Категория ИС Класс ИС в зависимости от объема обрабатываемых ПД

Не ниже АК3

Не ниже АК3

Не ниже АК3

Примечание. “-” - означает, что требования не предъявляются.

Таким образом, для защиты ПД первой категории, к которой относятся все медицинские данные, необходимо использовать средства защиты классов не ниже АК3 и средств криптографической защиты классов не ниже КС3.

Для практического оснащения ИС средствами защиты можно рекомендовать продукты, специально адаптированные для защиты персональных данных и имеющие необходимые разрешительные документы (сертификаты и заключения). Это в первую очередь Secure Pack Rus и средства криптографической защиты семейства CryptoPro.

Попробуем теперь оценить затраты на оснащение одного рабочего места для обработки ПД. Без учета скидок цена пакета Secure Pack Rus составляет приблизительно 2000 руб., при этом средства криптографической защиты семейства CryptoPro уже включены в этот пакет. Далее, для защиты хранимой на компьютере персональной информации целесообразно докупить один из пакетов защиты данных CryptoPro EFS, Secure Pack Explorer либо "Криптопроводник". Цена каждого из этих продуктов составляет от 600 до 1000 руб. Итого защита одного рабочего места без учета установки и настройки обойдется примерно в 3000 руб., а установка и адаптация программ традиционно добавит 10--15% к стоимости

Условно можно выделить “мистические десять шагов на пути” к защищенной системе для обработки ПД.

  1. Определите те элементы вашей ИС, которые необходимо защитить в первую очередь. Сначала выясните, какие именно персональные данные нуждаются в защите и где в вашей системе они находятся в настоящее время. Затем проверьте, действительно ли нуждаются в защите данных рабочие места всех без исключения сотрудников. Может быть, проще выделить отдельные компьютеры для работы с персональной информацией, которую необходимо защищать особенно надежно? Помните, что компьютер, подключенный к Интернету, - не самое удачное место для хранения ПД!
  2. Оцените текущее состояние информационной безопасности. Насколько оно удовлетворительно? Если есть возможность, проведите внешний аудит защищенности вашей системы. Классифицируйте вашу ИС в соответствии с приведенными выше рекомендациями. Сравните ваши выводы с выводами внешнего аудита.
  3. Определите, кто в данное время отвечает за обеспечение защиты ИС. Нельзя ли сузить круг лиц, от которых зависит надежность этой защиты? В то же время помните - безопасность не может зависеть от одного человека! Обязательно назначьте аудиторов, например, главный врач может контролировать работу специалистов по заполнению и перемещению ПД.
  4. Критически относитесь к требованиям специалистов, если они настаивают на установке аппаратных средств обеспечения безопасности. Учтите также, что применение криптографических средств - довольно серьезная работа. Важно понять: не помешает ли обслуживание средств шифрования и использование цифровой подписи основной деятельности вашей компании? Учтите также, что далеко не каждый сотрудник может и должен заниматься шифрованием данных.
  5. Наведите порядок в сфере безопасности вашей клиники. Установите режим, который позволит обеспечить требуемый уровень информационной безопасности, однако не перегните палку. Например, нельзя лишать людей возможности пользоваться мобильными телефонами. Нецелесообразно также запрещать сотрудникам обращаться к электронной почте и Интернету в личных целях. В то же время вполне целесообразно регламентровать порядок внесения на территорию компании флэш-носителей и собственных ноутбуков, либо использовать имеющуюся в Secure Pack Rus функцию отключения не разрешенных к использованию администратором USB-накопителей
  6. Потребуйте от ИТ-специалистов составить чёткий план работы по созданию и настройке системы безопасности. Попросите обосновать необходимость закупок дополнительных средств обеспечения безопасности. Настаивайте на гарантиях того, что настройка системы безопасности не скажется на основной работе системы.
  7. Контролируйте выполнение плана по созданию системы безопасности.
  8. Выслушайте мнения врачей и сотрудников - не мешают ли меры безопасности их работе и основной деятельности?
  9. Поддерживайте и проверяйте состояние защищенности ПД, а также укрепляйте лояльность сотрудников, занимающихся безопасностью.
  10. Спокойно относитесь к инновациям в области безопасности - здоровый консерватизм позволить сэкономить ваши деньги.

Многие руководители предприятий до сих пор не вполне ясно представляют себе, что конкретно нужно делать для защиты персональных данных в соответствии с требованиями Федерального закона № 152 от 27.07.2006 года «О персональных данных» . Такая ситуация вызвана отсутствием практики применения норм Закона в проектах по обеспечению защиты персональных данных .

Основные требования по защите персональных данных общеизвестны:

  • предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
  • вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями
  • за неисполнение требований предусмотрены различные виды ответственности
  • перечень организационных и технических мероприятий также определен:
    • уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
    • разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)
    • создание системы защиты персональных данных , в т.ч. выполнение требований по инженерно-технической защите помещений
    • аттестация ИСПДН (аттестация или декларирование соответствия информационных систем персональных данных (ИСПДн) требованиям безопасности информации)
    • повышение квалификации сотрудников в области защиты персональных данных

Вопросы, которые требуется решить каждому предприятию:

  • Как обеспечить защиту персональных данных в соответствии с требованиями законодательства?
  • Как завершить работы в установленный срок?
  • Как минимизировать затраты на создание системы защиты?

Действие 1. С чего начинать?

Вначале нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов предприятия. Это можно сделать самостоятельно или пригласить сторонних специалистов – экспертов в области защиты персональных данных , которые проведут работы на высоком профессиональном уровне.

1.1. Установить перечень персональных данных, обрабатываемых на предприятии

Перечень персональных данных. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные клиентов, заказчиков, посетителей, партнеров, контрагентов и т.п.

Цели обработки персональных данных. Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

1.2. Способы обработки персональных данных?

Обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.

Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.

Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система взаимоотношений с клиентами, биллинговая система и т.п).

1.3. Определить состав и объем обрабатываемых персональных данных?

Состав персональных данных. В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся:

  • категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • категория 4 - обезличенные и (или) общедоступные персональные данные.

Объем обрабатываемых ПДн. Установить объем персональных данных (количество субъектов ПДн), обрабатываемых в каждой информационной системе ПДн.

1.4. Провести предварительную классификацию информационных систем ПДн

Информационные системы ПДн (ИСПДн) делятся на:

  • Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
  • Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На основании данных, полученных в предыдущих пунктах, провести предварительную классификацию «типовых» информационных систем ПДн. Классификация ИСПДн осуществляется в соответствии с таблицей, рекомендованной регуляторами:

В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.

1.5. Полученные результаты и способы защиты персональных данных

После проведения предварительного анализа информационных ресурсов собственного предприятия можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), осознать масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных» .

Если в результате предварительной классификации на предприятии оказались информационные системы ПДн 1-го и 2-го классов это значит, что к таким системам предъявляются повышенные требования по обеспечению их безопасности и существенно увеличиваются расходы на проведение работ по созданию системы защиты ПДн.

Способы минимизации затрат на создание системы защиты персональных данных.

  • При классификации информационной системы ПДн (ИСПДн) как «специальная» возможно снижение затрат на создание системы защиты ПДн. Классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные.
  • При разработке требований к системе защиты персональных данных (СЗПДн) проводится логическое структурирование, основанное на анализе возможности сегментирования и (или) объединения ИСПДн. Такой подход позволяет выбрать оптимальное количество ИСПДн в соответствии с бизнес-процессами обработки ПДн.
  • Разработка требований с учётом возможностей инфраструктуры Заказчика, при этом максимально используются штатные средства ОС, СУБД и механизмов обеспечения ИБ корпоративной информационной системы
Перечисленные методы позволяют минимизировать затраты и выполнить требования Закона «О персональных данных» .

Для проведения таких мероприятий целесообразнее пригласить специализированную организацию с опытом работ по данному направлению.

Действие 2. Подача уведомления в уполномоченный орган

Обработка персональных данных без уведомления.

Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:

  • если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
  • при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
  • если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
  • если персональные данные являются общедоступными;
  • если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
  • если персональные данные необходимы для однократного пропуска на территорию предприятия;
  • персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
  • персональные данные обрабатываются без использования средств автоматизации.

Если один или несколько из перечисленных пунктов относится к Вашему предприятию, подавать уведомление в Роскомнадзор не нужно.

Подача уведомления в Роскомнадзор.

Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения предприятия; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Действие 3. Организационные меры защиты персональных данных

Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации.

Организационные меры по защите персональных данных включают в себя:

  • разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
    • Положение об обработке персональных данных;
    • Положение по защите персональных данных;
    • Регламент взаимодействия с субъектами персональных данных;
    • Регламент взаимодействия при передаче персональных данных третьим лицам;
    • Инструкции администраторов безопасности персональных данных;
    • Инструкции пользователей по работе с персональными данными;
  • перечень мероприятий по защите персональных данных:
    • определение круга лиц, допущенного к обработке персональных данных;
    • организация доступа в помещения, где осуществляется обработка ПДн;
    • разработка должностных инструкций по работе с персональными данными;
    • установление персональной ответственности за нарушения правил обработки ПДн;
    • определение продолжительности хранения ПДн и т.д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.

Действие 4. Техническая защита персональных данных

Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

  • средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
  • средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

  • для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) на выполнение такого вида деятельности;
  • требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
  • на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
  • далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
  • аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

Действие 5. Выбор исполнителя

После изучения вопроса и понимания того, что выполнять работы необходимо, каждый руководитель задает себе следующий вопрос: можно ли самостоятельно выполнить требования законодательства или воспользоваться услугами специализированных организаций?

Если обработка персональных данных в компании осуществляется без использования средств автоматизации (неавтоматизированная обработка), обеспечение защиты ПДн вполне реализуемо собственными силами. При обработке ПДн с использованием средств автоматизации необходимо оценить сложность и масштабность работ, взвесить все положительные и отрицательные стороны того или иного подхода и принять оптимальное решение по выбору исполнителя проекта.

Выполнение работ своими силами

Реализовать работы по защите ПДн можно и собственными силами, но их эффективность зависит от наличия следующих ресурсных возможностей:

С учетом временных ограничений (срок завершения работ – 01.01.2010 года) проведение работ собственными силами может растянуться на длительный период, превышающий установленные законом сроки. Соответственно, возникают риски предъявления претензий со стороны регуляторов за неисполнение требовании законодательства.

Привлечение специализированной организации

Воспользовавшись услугами организации, специализирующейся на оказании услуг по обеспечению безопасности информации, заказчик получает следующие выгоды:

  • специализированная компания обладает необходимыми ресурсными возможностями: соответствующие лицензии; штат высокопрофессиональных специалистов; практический опыт реализации проектов; знание нормативно – методической базы в сфере обработки ПДн;
  • реализации работ в минимальные сроки: выполнение всего комплекса работ одним исполнителем; использование практического опыта ведения аналогичных проектов; минимум времени на подготовку и реализацию технических заданий;
  • минимизация затрат: выбор оптимальной конфигурации программно – аппаратных средств защиты, отвечающей требованиям защиты информации; минимизация требований защиты при согласовании документов с регуляторами; отсутствие методических ошибок, что не исключено при проведении работ самостоятельно.

Подробнее об услугах компании Weta в разделе .

Заключение

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных » нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.

Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:

  • временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;
  • поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;
  • выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.

Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.

Создание Системы защиты персональных данных (СЗПДн) и приведение процессов обработки и обеспечения безопасности персональных данных (ПДн) в соответствие с положениями Федерального закона № 152-ФЗ «О персональных данных» и требованиями нормативных документов позволяет минимизировать правовые и репутационные риски, связанные с потенциальными утечками ПДн и несоблюдением законодательства РФ. При проведении указанных работ учитываются процессы обработки и защиты ПДн как без использования средств автоматизации (на бумажных носителях), так и в информационных системах персональных данных (ИСПДн).

Для организации эффективной защиты персональных данных в Компании необходимо создать и внедрить комплекс организационных, программно-технических и нормативно-методических мер, которые включают в себя:

  • определение состава обрабатываемых ПДн, угроз безопасности ПДн и требуемого уровня защищенности ПДн (обычно осуществляется );
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения требуемого уровня защищенности ПДн;
  • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Создание системы защиты персональных данных

Работы по построению системы защиты персональных данных начинаются с разработки «Технического задания на создание системы защиты ПДн» и внутренних организационно-распорядительных документов, регулирующих процессы обработки и защиты ПДн. Техническое задание на создание системы защиты персональных данных подготавливается с учетом «Модели нарушителя и угроз безопасности ПДн» и требуемого уровня защищенности ПДн, определенного , и содержит следующие сведения:

  • обоснование необходимости разработки СЗПДн;
  • исходные данные об ИСПДн в техническом, программном, информационном и организационном аспектах;
  • сведения об актуальных угрозах безопасности ПДн и требуемом уровне защищенности ПДн при их обработке в ИСПДн;
  • ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • перечень необходимых для реализации организационных и технических мер по обеспечению безопасности ПДн, определенный в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 № 21, путем адаптации, дополнения и уточнения базового набора мер;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн;
  • требования к составу и содержанию организационно-распорядительной документации и к эксплуатационной документации на СЗПДн.

Зафиксированные в Техническом задании меры по обеспечению безопасности должны обеспечивать как требуемый уровень защищенности персональных данных, так и нейтрализацию актуальных угроз безопасности.

До внедрения средств защиты информации по желанию Заказчика могут быть проведены их макетирование и стендовые испытания с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на создание СЗПДн.

Следующий рекомендуемый шаг – разработка Технического проекта системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе Технического задания и результатов стендовых испытаний средств защиты информации.

Более подробную информацию о проектировании систем защиты информации можно получить на .

Разработка организационно-распорядительных документов

Как правило, параллельно с разработкой Технического задания на создание СЗПДн осуществляется разработка комплекта внутренних нормативных актов, регулирующих процессы обработки и защиты ПДн. Разрабатываемый комплект документов направлен на реализацию мер по защите, предусмотренных Техническим заданием, а также на выполнение прочих обязанностей Операторов ПДн, предусмотренных законодательством РФ.

Аннотация: Цель лекции: определить содержание этапов организации обеспечения безопасности ПД, а также необходимые организационные и технические мероприятия в рамках построения СЗПД.

9.1. Основные этапы при построении системы защиты персональных данных

Система защиты ПД может быть как отдельной системой, так и подсистемой в составе системы защиты информации организации в целом. Как правило, выполнение работ по построению СЗПД происходит поэтапно и включает в себя следующие стадии:

  1. предпроектная стадия или оценка обстановки;
  2. стадия проектирования;
  3. ввод в действие СЗПД.

Предпроектная стадия или оценка обстановки. В самом начале построения СЗПД производится оценка обстановки. На данном этапе производятся следующие работы:

  1. разрабатывается перечень информационных систем организации, которые работают с ПД;
  2. определение состава ПД и необходимость их обработки;
  3. определение перечня ПД, которые необходимо защищать;
  4. определение контролируемой зоны и расположения компонентов ИСПД относительно границ этой зоны;
  5. строится модель корпоративной сети;
  6. определение топологии и конфигурации ИСПД, программ и технических средств, которые используются или предполагаются к использованию для обработки ПД;
  7. установление связей ИСПД с другими системами организации;
  8. определение режимов обработки ПД;
  9. определение угроз безопасности;
  10. определение класса ИСПД;
  11. уточняется степень участия персонала в обработке ПД.

Важным пунктом данного этапа является построение частной модели угроз и предварительная классификация ИСПД данной организации. Классификация ИСПД производится в соответствии с приказом " Об утверждении Порядка проведения классификации информационных систем персональных данных" от 13 февраля 2008 года. Результатом данного этапа является формирование частного технического задания (ТЗ) к СЗПД.

Техническое задание должно содержать:

  • обоснование разработки СЗПД;
  • исходные данные создаваемой (модернизируемой) ИСПД в техническом, программном, информационном и организационном аспектах;
  • класс ИСПД;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПД и приниматься в эксплуатацию ИСПД;
  • конкретизацию мероприятий и требований к СЗПД;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПД.
  1. стадия проектирования. На данном этапе разрабатывается задание и проект проведения работ в соответствии с ТЗ, выполняются все требуемые работы, в том числе закупка технических средств защиты и их сертификация в случае необходимости. Разрабатывается система доступа к ПД должностных лиц и определяются ответственные за эксплуатацию средств защиты информации.

    Важным подэтапом является разработка эксплуатационной документации на ИСПД и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов).

    Этап проектирования является наиболее важным и трудоемким, так как при реализации СЗПД необходимо учесть множество факторов, таких как масштабирование, совместимость средств защиты со штатным программным обеспечением, возможность периодического тестирования системы защиты и замены отдельных компонентов системы в случае необходимости.

  2. ввод в действие СЗПД. Данный этап включает в себя:
    • генерация пакета прикладных программ в комплексе с программными средствами защиты информации;
    • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами;
    • приемо-сдаточные испытания;
    • организация охраны и физической защиты помещений ИСПД;
    • оценка соответствия ИСПД требованиям безопасности ПД.

В случае если в процессе опытной эксплуатации выявляются недостатки разработанной СЗПД, проводится ее доработка.

Для ИСПД, находящихся в эксплуатации до введения ФЗ №152 "О персональных данных" от 27 июля 2006 года, должны быть проведены работы по их модернизации в соответствии с требованиями Федерального закона и "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" №781.

9.2. Комплекс организационных и технических мероприятий в рамках СЗПД

Для обеспечения безопасности персональных данных организации требуется провести комплекс технических и организационных мероприятий в рамках построения СЗПД и ее эксплуатации.

Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования ИСПД, обработку ПД и действия персонала. Организационные меры включают в себя:

  1. разработка организационно-распорядительных документов, предназначенных для регламентации процессов хранения, обработки, сбора и накопления персональных данных, а также их защиту;
  2. уведомление уполномоченного органа (Роскомнадзора) о намерении обрабатывать ПД;
  3. получение письменного согласия на обработку ПД от субъектов ПД;
  4. определение должностных лиц, которые будут работать с ПД;
  5. организация доступа в помещения, где будет вестись обработка ПД;
  6. разработка должностных инструкций по работе с ПД;
  7. определение сроков хранения ПД;
  8. планирование мероприятий по защите ПД;
  9. обучение персонала.

Организационные меры индивидуальны для каждой организации и в первую очередь определяются классом ИСПД, которые обрабатывают персональные данные . Чем выше класс ИСПД, тем больше мероприятий организационного характера требуется для ее защиты. Организационные меры необходимы для регламентации функционирования системы в целом, но явно не достаточны. Для обеспечения безопасности они должны быть подкреплены использованием технических средств защиты.

Техническое мероприятие – это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Техническая защита по своей структуре и содержанию является более сложным и трудоемким процессом в отличие от организационных мероприятий и предусматривает выполнение следующих условий:

  1. для выполнения работ по технической защите требуется лицензия;
  2. для выбора адекватных и достаточных средств защиты необходимо тщательное обследование ИСПД, построение модели угроз и классификация ИСПД;
  3. на основе данного обследования формируется перечень требований по обеспечению безопасности;
  4. требуется провести работы по проектированию, созданию и вводу в эксплуатацию СЗПД;
  5. для проведения аттестации(сертификации) на соответствие ИСПД требованиям законодательства необходимо наличие соответствующих лицензий.

Согласно Указу Президента РФ "Об утверждении перечня сведений конфиденциального характера" персональные данные относятся к категории сведений конфиденциального характера. На основании Федерального закона от 8 августа 2001 г. №128-ФЗ "О лицензировании отдельных видов деятельности" техническая защита конфиденциальной информации (в нашем случае персональных данных) относится к лицензированному виду деятельности. Таким образом, для проведения мероприятий по защите персональных данных необходимо привлекать организации, имеющие соответствующие лицензии ФСТЭК. Деятельность по защите информации без наличия соответствующих лицензий влечет за собой как административную, так и уголовную ответственность.

Помимо вышеперечисленного, средства технической защиты согласно п.6 Положения №781 " "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" должны проходить процедуру соответствия. Другими словами, можно применять только те средства защиты, которые имеют сертификат соответствия ФСТЭК или ФСБ в зависимости от назначения средства.

9.3. Уведомление Роскомнадзора об обработке персональных данных

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении в соответствии с ФЗ "О персональных данных".Уведомление должно быть в письменной форме с подписью уполномоченного лица или в электронной форме с ЭЦП . Уведомление должно содержать:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных.

В поле цель обработки персональных данных указываются цели обработки персональных данных, указанные в учредительных документах оператора, либо фактические цели обработки.



Последние материалы раздела:

Сколько в одном метре километров Чему равен 1 км в метрах
Сколько в одном метре километров Чему равен 1 км в метрах

квадратный километр - — Тематики нефтегазовая промышленность EN square kilometersq.km … квадратный километр - мера площадей метрической системы...

Читы на GTA: San-Andreas для андроид
Читы на GTA: San-Andreas для андроид

Все коды на GTA San Andreas на Андроид, которые дадут вам бессмертность, бесконечные патроны, неуязвимость, выносливость, новые машины, парашют,...

Классическая механика Закон сохранения энергии
Классическая механика Закон сохранения энергии

Определение Механикой называется часть физики, изучающая движение и взаимодействие материальных тел. При этом механическое движение...