Дипломная работа На тему: «Защита персональных данных в информационной системе организации МКУ «Молодежный центр» МО Кореновский район
Тема данной работы чрезвычайно актуальна в наше время, а все потому, что в нашем XXI веке появляется все больше инноваций и способностей владения компьютером. Возможностей взлома систем появляется все больше и чаще. Как известно, создание информационных систем (ИС) повышает производительность труда любой организации (предприятия), с любой формой собственности. Пользователи данной системы могут быстро получать данные, необходимые для выполнения их служебных обязанностей.
Но несмотря на многие плюсы от производства компьютеров, существует и множество минусов. Самой распространенной проблемой на сегодняшний день является то, что злоумышленники с легкостью могут получить доступ к вашим персональным данным. Обладая доступом к различным базам данных (БД), злоумышленники могут использовать их для вымогания денег, других ценных сведений, материальных ценностей и прочего.
Защита персональных данных является актуальной темой в нашей стране, поскольку законодательная база существует не так уж и много. Но не все специалисты, которые работают на предприятии, знают, как защитить систему своего компьютера, поэтому на специалистов по информационной безопасности ложиться не только ответственность за безопасность информационной системы, но и система обучения персонала. Целью работы, в настоящее время, является защита персональных данных, которая стоит на первом месте. Чаще всего злоумышленников интересуют сведения, хранящиеся в БД государственных структур, таких как МВД, ФСБ и прочих, а также подконтрольных им организациям, таким как учреждения здравоохранения, образования. Всё чаще в СМИ появляются статьи, на тему популярных SMSмошенничеств. А ведь получив доступ к БД какой-нибудь медицинской организации, злоумышленник может шантажировать больного, либо его родственников, либо испортить ему репутацию.
Поэтому, задачей данной дипломной работы, является разработка комплексной системы безопасности персональных данных в Отделе по делам молодежи города Кореновска, задачей которой является не только разработать, но и внедрить систему защиты персональных данных, а так же подробно составить пути решения для защиты информационных систем персональных данных и рассчитать затраченные средства на установку и защиту персональных данных от злоумышленников.
Предметом исследования моей работы стала защита персональных данных в МКУ «Молодёжный центр» Методом исследования стало Разработка и внедрение мер по защите персональных данных в МКУ «Молодежный центр»
Учреждение МКУ «Молодёжный центр» занимается разработкой, организацией молодежных проектов, создает условия и формы поддержки молодёжных идей и инициатив, а так же помощь ветеранам Великой Отечественной Войны и малоимущим. Сотрудничает с образовательными учреждениями Кореновского района и т. д.
В ходе изучения данной организации было установлено, что незащищенность персональных данных в данной организации проблема довольна большая, а так же на всех персональных компьютерах не установлены антивирусные программы, криптографические методы защиты информации, базы данных находятся в свободном доступе для всех сотрудников комитета без уровней доступа.
Было решено установить программу создания VPN, которая представляет собой объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных
В ходе работы была произведена покупка межсетевого экрана cisco asa, антивирусника web+Kaspersky, программы devicelock которая предназначена для защиты и устранения утечки информации, xspider-программа позволяет сканировать и искать уязвимости.
Так как задачей работы являлось не только создать, но и внедрить защищенную систему персональных данных, то в ходе работы была разработана защищенная локальная сеть организации МКУ «Молодежный центр» МО Кореновский район, по которой в защищенных каналах циркулирует информация относящаяся к персональным данным, так же предложены программные и аппаратные средства защиты. В частности была предложена базовая политика безопасности для защиты от несанкционированного доступа к критически важным ресурсам. В ходе внедрения, вся информация остается защищенной и доступ к ней имеет только каждый специалист Молодежного центра, под личным паролем и контролем, а так же начальник отдела, так как он имеет доступ просматривать данные со своего компьютера, при этом не пользуясь компьютером специалистов, что стало намного безопаснее и удобнее.
Федеральное агентство по образованию
Алтайский государственный университет
Исторический факультет
Кафедра архивоведения и исторической информатики
Правовая защита персональных данных в РФ
(Курсовая работа)
Выполнила студентка
1 курса 194 группы
Никифорова К.А.
________________________
(подпись)
Научный руководитель
к.и.н., ст. преп. Сарафанов Д.Е.
________________________
(подпись)
Работа защищена
«____»___________2010 г.
Оценка _________________
Барнаул 2010
Введение…………………………………………………………………………………...2
Глава 1 Понятие «персональные данные» в отечественном законодательстве и научной литературе…………………………………………………………...…………..6
1.1 Определение понятия «персональные данные» в законодательстве………………6
1.2 Определение понятия «персональные данные» в научной литературе………….13
Глава 2 Защита персональных данных и ответственность за нарушение работы с ними....................................................................................................................................17
1.1 Правовые меры по защите персональных данных...………………………………17
1.2 Ответственность за нарушение работы с персональными данными……….…….24
Заключение ……………………………………………………………………………....28
Список источников и литературы ……………………………………………………....30
Введение
С течением времени у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект на сегодняшний день – это информация. В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.
В виду вышесказанного, законодательными актами, как в России, так и зарубежных стран предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.
Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Ст.2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью» . Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством.
Цель работы заключается в исследовании правовой защиты персональных данных в РФ. Для достижения цели, необходимо решить следующие задачи:
1. на основе анализа научных работ и законодательств изучить содержание понятия «персональные данные»;
2. изучить различные аспекты защиты персональных данных
Историография. “Персональные данные” рассматриваются как информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие . В современном мире к защите этих сведений предъявляют все большие требования, к обеспечению гарантий по их сохранности и неразглашению относятся очень серьезно.
А.Г. Саидов посвятил свой труд вопросам информационной безопасности, правовому регулированию и компонентам системы информационной безопасности государства. Предметом его исследования выступает содержание и значение конституционно-правовых норм, обеспечивающих создание системы информационной безопасности личности, российского общества и государства. Абдулмуталиб Гасанович внес немалый вклад в исследование правовой защиты персональных данных и информационной безопасности в целом. По мнению А.Г.Саидова, главное, чего не хватает российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной (некарательной) направленности . Защита персональных данных – это новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать.
Автор считает необходимым принятие Федерального закона «О неприкосновенности частной жизни», в котором бы устанавливался исчерпывающий перечень случаев ограничении прав в соответствии с конституционными основаниями и решениями Европейского суда по правам человека. По мнению Саидова, государство должно создавать условия для обеспечения защиты персональных данных каждого гражданина Российской Федерации.
В работе В.Я. Ярочкина «Информационная безопасность», персональные данные относятся к тому типу информации, которым необходима правовая защита. Он рассматривает необходимость правовой защиты персональных данных человека и гражданина, доказывает важность сохранности личной информации. Автор перечисляет виды правовых актов, ориентированных на правовую защиту информации, и другие средства, направленные на сокрытие персональных данных . В его работе можно увидеть и угрозы конфиденциальной информации, а также виды таких угроз, приводящие к неправомерному овладению охраняемыми сведениями. В заключении, Владимир Иванович перечислил рекомендации по обеспечению защиты информации.
В целом, можно сказать, что труд В.И. Ярочкина направлен на характеристику и полное описание охраны безопасности персональных данных и других видов конфиденциальной информации.
В исследовании В.В. Полякова и В.А. Мазурова «Проблемы правовой и технической защиты информации» идет речь о создании и применении эффективных методов и средств для обеспечения информационной безопасности. Отдельной важной задачей, исследуемой в этом сборнике, является подготовка специалистов по защите информации .Авторы отмечают, что квалифицированных специалистов по информационной безопасности не хватает. Это связано в значительной степени с большими требованиями, предъявляемыми к ним.
В «Большом справочнике кадровика», автором которого является Н.А.Алимова, рассматриваются проблемы защиты персональных данных работника (на мой взгляд, они относятся к разновидностям персональных данных в целом). Н.А. Алимова, разъясняет, что такое персональные данные работника, для чего они нужны, каким образом они охраняются, какие требования должен выполнять работодатель при обработке данных работника при приеме на работу . В данной работе говориться о том, что порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Н.А. Алимова исследовала в своей работе сами правила передачи персональных данных работника и необходимые для этого требования. Немаловажным аспектом исследования данной темы в работе является порядок привлечения к дисциплинарной ответственности за невыполнение обязанностей и требований по хранению и обеспечению безопасности персональных данных работника, а также формы такой ответственности.
В.А. Мазуров в своем труде «Уголовно-правовые аспекты информационной безопасности» рассматривает понятие и принципы информационной безопасности, основные направления развития законодательства об информации, а также правовое понятие и классификацию охраняемой законом информации. Он выделил различные меры по обеспечению защиты конфиденциальных данных, а также раскрыл определение и классификацию возможных угроз безопасности . Особой частью его работы является исследование и описание уголовно-правовой защиты информации ограниченного доступа. В.А. Мазуров изучает и характеризует объект и предмет преступлений, посягающих на тайну частной жизни. Раскрывает объективную сторону составов преступлений, посягающих на неприкосновенность частной жизни, разъясняет в каком случае наступает правонарушение в сфере информационной защиты, и перечисляет формы ответственности за нарушение тайны о персональных данных, в соответствии со статьями УК РФ.
В целом, можно сказать, что тема, касающаяся персональных данных и их защиты, изучена довольно хорошо и тщательно. В большом количестве работ содержится информация о классификации, охраняемой законом информации, о видах правовых актов, направленных на сохранение безопасности персональных данных, о методах и способах защиты, о типах угроз, о видах ответственности за нарушение работы с персональными данными. Обилие такой информации способствует увеличению степени и качества защиты персональных данных.
Глава 1
Понятие «персональные данные» в отечественном законодательстве и научной литературе.
1.1. Определение понятия «персональные данные» в законодательстве.
В современном мире к защите персональных данных относятся очень серьезно. Нормативные акты, регулирующие обеспечение их сохранности предусмотрены не только национальным законодательством, но и международными актами.
Всеобщая декларация прав человека является одним из важнейших документов в истории человечества. 10 декабря 1948 года Генеральная Ассамблея Организации Объединенных Наций приняла Декларацию.
Статья 12 Всеобщей декларации прав человека 1948 года гласит «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию.Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств» .
Право на уважение к личной и семейной жизни содержится так же и в Конвенции о защите прав человека и основных свобод, в которой так же говориться о том, что «Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц» . Конвенция была принята Советом Европы 4 ноября 1950 года в Риме. Российская Федерация ратифицировала ее, приняв Федеральный закон № 54-ФЗ от 30 марта 1998 г.
Спустя некоторое время закрепление политических прав человека, право неприкосновенности личной жизни было подтверждено Международным пактом о гражданских и политических правах .
Международный пакт о гражданских и политических правах Принят резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года в Нью-Йорке. СССР подписал пакт 18 марта1968 года. Ратифицирован Президиумом Верховного Совета СССР 18 сентября1973 года с заявлением. Ратификационная грамота СССР депонирована Генеральному секретарю ООН 16 октября 1973 года. Вступил в силу для СССР 3 января 1976 года.
Эти международные правовые акты заложили основу создания национальных правовых систем. В Российской Федерации на ряду с международными правовыми актами сохранность персональных данных обеспечивается отечественными нормативными актами.
Во-первых это Конституция РФ . В ее положениях признается не только само право на неприкосновенность личной жизни, личную и семейную тайну (ч.1 ст.23), но и обеспечивающие это право дополнительные гарантии. В соответствии со ст. 2 Конституции «человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства». Таким образом, Российская Федерация не только устанавливает право, но и обязуется защищать его; ставит интересы человека и гражданина на ступень выше, чем интересы государства, общества, либо общественных или коммерческих организаций. Ч.1 ст. 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. И, наконец, согласно ст. 46 каждому гарантируется судебная защита его прав, в том числе в межгосударственных органах.
Конституция Российской Федерации обладает высшей юридической силой, ее прямое действие применяется на территории всей страны, любые законы, применяемые в стране не должны противоречить Конституции. Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются основной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора .
8 июля 2006 года Государственной думой был принят Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных». Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну . Данный закон дает определение понятию «персональные данные», а так же другим основным понятиям, используемым в Федеральном законе. Также, в законе рассматривается его сфера действия, принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора , контроль и надзор за обработкой персональных данных, ответственность за нарушение требований за нарушение настоящего Федерального закона.
Следуя статье 3 Федерального закона, персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
20.02.1995 г. был утвержден Федеральный закон N 24-ФЗ «Об информации, информатизации и защите информации», в котором в ч. 1 ст. 11 было определено, что персональные данные являются конфиденциальной информацией, а ч. 3 этой же статьи предупреждает о наступлении ответственности юридических и физических лиц за нарушение режима защиты, обработки и порядка использования этой информации. Также в этом законе было дано понятие «персональные данные», оно определялось как «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» . В настоящее время данный закон не действует, его заменил Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. N149-ФЗ.
В ст.2 нового закона об информации рассмотрены основные понятия, используемые в данном законе, а в ст. 3 говориться о правовом регулировании отношений, возникающих в сфере информации, информационных технологий и защите информации. В этой статье говориться о том, что ограничения доступа к информации может устанавливаться только федеральным законом. Конкретного понятия персональных данный в этом законе нет, очевидно, потому что был утвержден Федеральный закон «О персональных данных».
В статье 5, ФЗ «Об информации, информационных технологиях и защите информации», сказано: «информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Общедоступная информация – это та информация, которую нельзя скрывать от общества. Примером может служить информация о состоянии окружающей среды, о деятельности органов государственной власти и органов местного самоуправления, документы, накапливаемые в открытых фондах библиотек и архивов. Так же в эту категорию можно отнести нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, правовое положение организаций и полномочия государственных органов, органов местного самоуправления.
Информацией ограниченного доступа является информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию, составляющую государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация).
22 октября 2002 года был принят Федеральный Закон N 125-ФЗ «Об архивном деле в Российской Федерации». Этот закон регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда нашей страны и других архивных документов независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства. Данный закон в 3 статье рассматривает такие понятия, как документы по личному составу (отражающие трудовые отношения работника с работодателем), особо ценный документ (документ, который имеет непреходящую культурно-историческую и научную ценность, особую важность для общества и государства и в отношении которого установлен особый режим учета, хранения и использования), уникальный документ (особо ценный документ, не имеющий себе подобных по содержащейся в нем информации и (или) его внешним признакам, невосполнимый при утрате с точки зрения его значения и (или) автографичности) и т.д. Также в этом законе выделяются архивные документы, относящиеся к государственной собственности, а так же муниципальной и частной . В ст. 10 поясняются особенности положения архивных документов, находящихся в собственности Российской Федерации или муниципальных образований. Глава 6 посвящена сфере доступа к архивным документам и их использованию. Пользователь архивными документами имеет право свободно искать и получать для изучения архивные документы. Но существует и ограничение на доступ к архивным документам, которые рассматриваются в 25 статье. В данной статье сказано, что Доступ к архивным документам может быть ограничен в соответствии с международным договором Российской Федерации, законодательством Российской Федерации, а также в соответствии с распоряжением собственника или владельца архивных документов, находящихся в частной собственности, также в данной статье сказано, что ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, устанавливается на срок 75 лет со дня создания указанных документов.
ФЗ РФ “Об оперативно - розыскной деятельности” от 12 августа 1995 № 144-ФЗ предусмотрены ограничения конституционных прав граждан на тайну телефонных переговоров, переписки, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи на основании судебного решения и только при наличии информации о подготовке, совершении или совершенном противоправном деянии либо о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации.
Данный нормативный устанавливает исчерпывающий перечень оперативно - розыскных мероприятий и органов, осуществляющих оперативно - розыскную деятельность. Он разрешает иметь оперативно - технические силы и средства для контроля почтовых отправлений, телеграфных и иных сообщений; прослушивания телефонных переговоров с подключением к стационарной аппаратуре предприятий, учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги связи; снятия информации с технических каналов связи только лишь органам ФСБ и МВД, которые могут предоставлять эти силы и средства на основе специальных соглашений или межведомственных нормативных актов другим органам, осуществляющим оперативно - розыскную деятельность . Но органы (должностные лица), осуществляющие оперативно-розыскную деятельность, при проведении оперативно-розыскных мероприятий должны обеспечивать соблюдение прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну, неприкосновенность жилища и тайну корреспонденции .
Сфера отношений, касающаяся персональных данных работника регулируется гл.14 Трудового кодекса Российской Федерации. Где установлено понятие персональных данных работника, установлен порядок работы с ними и закрепляется ответственность работодателя за нарушение соответствующих норм. В Трудовом кодексе говориться, что персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника .
В Уголовно-процессуальном кодексе Российской Федерации от 5.12.2001 г. также затрагивается сфера персональных данных. В ст. 13 говорится о тайне переписки, телефонных и иных переговоров, почтовых, телеграфных и иных сообщений. В данной статье сказано о том, что наложение ареста на почтовые и телеграфные отправления и их выемка в учреждениях связи, контроль и запись телефонных и иных переговоров могут производиться только на основании судебного решения .
Перечень сведений конфиденциального характера опубликован в Указе Президента РФ от 6.03.97 г. N 188 «Об утверждении перечня сведений конфиденциального характера». К видам конфиденциальной информации можно отнести следующее:
- Персональные данные - сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- Тайна следствия и судопроизводства - сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации;
- Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
- Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
- Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
- Сведения о сущности изобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Перечень сведений, отнесенных к государственной тайне опубликован в ст. 5 Закона РФ N 5485 от 21.07.1993 «О государственной тайне». Согласно данному закону к таким сведениям относятся: сведения в военной области; в области экономики, науки и техники; в области внешней политики и экономики; в области разведывательной, контрразведывательной и оперативно-розыскной деятельности. Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с настоящим Законом. В ст. 2 раскрывается понятие государственной тайны – «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». В данном законе также говориться о рассекречивании, защите, распоряжении сведениями, относящихся к государственной тайне.
Федеральный закон Российской Федерации «О коммерческой тайне» рассматривает и регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну. Согласно данному закону «коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных доходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду» . А также рассматриваются понятия режима коммерческой тайны; обладателя такой информации; передачи и предоставления информации, составляющей коммерческую тайну и т.д. В ст. 5 перечислены данные, которые не могут составлять коммерческую тайну. В Федеральном законе «О коммерческой тайне» сказано также и об охране конфиденциальности информации и последствиях невыполнения необходимых мер по охране такой информации.
В Федеральном законе «О кредитных историях» говорится о создании единой системы формирования, хранения и раскрытия информации о добросовестности исполнения заемщиками обязательств перед кредиторами. Нормами закона вводится легальное определение кредитной истории, регламентируется ее состав, порядок формирования, основания хранения и использования кредитных историй, а также круг субъектов данных правоотношений, в состав которых входят: заемщики, бюро кредитных историй, пользователей кредитных историй, Центральный каталог кредитных историй .
2.02.2010 года вышел приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) N 58 об утверждении положения о методах и способах защиты информации в информационных системах персональных данных. Это положение было разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001). Данное положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных. В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
1.2. Определение понятия «персональные данные» в научной литературе
В юридической литературе представлена неоднозначная классификация охраняемой законом информации (сведений).
Так, В.А. Копылов по доступу к информации подразделяет ее на открытую и ограниченного доступа.
К открытой информации он относит информацию как объект гражданских прав (произведения, патенты, авторские свидетельства); массовую информацию; информацию о выборах, референдуме (данные о ходже подготовки выборов, референдуме и результатах голосования); официальные документы (документы принятые органами законодательной, исполнительной и судебной власти, носящие обязательный, рекомендательный или информационный характер); обязательно представляемую (контрольные экземпляры документов, представляемые в органы статистики, регистрационная и другая такого рода информация); научно-юридическую и другую информацию.
К информации ограниченного доступа относится информация, составляющая государственную тайну; ноу-хау, коммерческая тайна, персональные данные (в порядке защиты личной тайны), другая информация ограниченного доступа .
Информация о гражданах (персональные данные), по мнению В.А.Копылова, создается самими гражданами в их повседневной деятельности, в том числе связанной с реализацией прав и свобод (прав на труд, на жилище, на отдых, медицинское обслуживание, социальное страхование, пенсионное обеспечение, на свободу слова и многое другое) и выполнением обязанностей (например, воинской обязанности) и представляется как сведения о себе (персональные данные) разным субъектам .
И.В. Смолькова дает следующую классификацию:
1. Государственная (в том числе военная) тайна.
2. Конфиденциальная информация.
· Личная тайна (в том числе персональные данные)
· Семейная тайна
· Профессиональная тайна
· Коммерческая тайна
На взгляд В.А. Мазурова информацию можно классифицировать следующим образом: информация открытого доступа, ограниченного доступа (конфиденциальная информация (тайна частной жизни, профессиональная тайна, служебная тайна, коммерческая тайна) и государственная тайна) .
Наличие нескольких точек зрения поп поводу классификации информации подтверждает то, что в научно-исследовательской литературе нет единого мнения по вопросам о персональных данных. Они изучаются все глубже и тщательней, что обеспечивает более полные знания об информации ограниченного доступа, а принятие множества законодательных актов, направленных на защиту различных видов тайн, обеспечивают более качественную защиту персональных данных. Но все же создание правовой базы защиты различных видов информации, и персональных данных в частности, находится на стадии становления. Несмотря на то, что число нормативных актов, регулирующих те или иные аспекты различных видов информации, насчитывает большое количество. Нельзя сказать, что правовое обеспечение защиты персональных данных удовлетворяет потребностям современного общества.
Глава 2
Защита персональных данных.
2.1. Защита персональных данных.
Вопрос о необходимости охраны и защиты персональных данных не вызывает сомнений. На данный момент Российское законодательство всеми силами пытается предотвратить нарушение прав граждан государства в сфере персональных данных. Существует масса законов обеспечивающих информационную безопасность, которые обновляются с каждым годом, создавая все большие условия по сохранности конфиденциальности персональных данных. За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности.
Повышению информационной безопасности способствует международное сотрудничество Российской Федерации со странами мирового сообщества в области обеспечения информационной безопасности. Это неотъемлемая составляющая политического, военного, экономического, культурного и многих других видов взаимодействия стран, входящих в мировое сообщество.
Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Так же является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.
Государственная система защиты информации как система более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.
Органы, которые регулируют защиту персональных данных:
· Федеральная служба технического и экспортного контроля (ФСТЭК России) и ее территориальные органы (региональные управления в субъектах Российской Федерации)
· Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)
· Структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации
· Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации
· Научно-исследовательские организации по проблемам защиты информации
· Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации
· Предприятия, оказывающие услуги в области защиты информации
· Организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации
· Органы системы лицензирования деятельности в области защиты информации
· Органы системы сертификации средств защиты информации
· Органы системы аттестации объектов защиты по требованиям безопасности информации
Правовые меры – деятельность законодательных органов по созданию правовой базы, обеспечивающей надлежащее формирование, распространение и использование информации; регулирующей деятельность субъектов, осуществляющих создание, преобразование и потребление информации; предусматривающей ответственность за нарушение в информационной сфере, меры обеспечения безопасности и правовой защиты информации, информационной инфраструктуры .
Правовая основа механизма защиты персональных данных сформировалась по двум направлениям: специализированное законодательство и иное законодательство, которое лишь частично содержит правовые нормы, гарантирующие неприкосновенность частной жизни и регулирующие сферу защиты персональных данных. К специализированному законодательствуотносятся такие правовые акты как: Федеральный закон «О персональных данных» от 27 июля 2006 г., Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г., Указ Президента РФ от 6 марта 1997 г. №188, утверждающий «Перечень сведений конфиденциального характера», и другие.
Правовые нормы, регулирующие работу с персональными данными, содержатся также в главе 14 Трудового кодекса РФ «О защите персональных данных работника», в Законе «Об архивном деле в Российской Федерации» от 22 октября 2004 г. (ст.25), в Законе «Об оперативно-розыскной деятельности» (ст. 3, 5, 9, 10, 12, 21), в Законе «О средствах массовой информации» (ст. 41, 43, 46, 51, 57), Закон «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования», в соответствии с которым персональные данные содержатся в индивидуальном лицевом счете застрахованного лица, нормы о защите сведений, полученных в ходе всероссийской переписи населения (персональные данные) содержатся в Законе «О всероссийской переписи населения».
В Европейском Союзе вопросам защиты интересов владельцев персональных данных, которые были подвергнуты электронной обработке, посвящена Конвенция СЕ «О защите физических лиц при автоматизированной обработке персональных данных», подписанная в Страсбурге (Франция) в 1981 году. Федеральный закон о ратификации Конвенции был подписан Президентом РФ 19 декабря 2005 года.
В соответствии со ст. 5 Конвенции, персональные данные, подвергающиеся автоматизированной обработке:
a) собираются и обрабатываются на справедливой и законной основе;
б) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями;
в) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения;
г) являются точными и, когда это необходимо, обновляются;
д) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных .
Основным Законом, регулирующим защиту персональных данных в Российской Федерации, является Федеральный Закон «О персональных данных». Основу этого Закона составляют базовые принципы и условия обработки персональных данных, которые были разработаны во исполнение норм Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», а также положений Директивы Европейского Парламента и Совета Европы 95/46/ЕС «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных» и Директивы Европейского Парламента и Совета Европы 2002/58/ЕС от 12 июля 2002 г., касающейся защиты персональных данных и защиты личных данных в электронном коммуникационном секторе, которая заменила Директиву Европейского Парламента и Совета Европы 97/66/ЕС от 15 декабря 1997 г., регламентирующую использование персональных данных и гарантирующую неприкосновенность частной жизни в сфере телекоммуникаций.
Принципы и условия, обработки персональных данных, которые дополняются также обязательными базовым требованиям, предъявляемыми к деятельности по обработке персональных данных, соответствуют принципам и критериям, касающимся персональных данных и легитимизации их обработки, установленные в статьях 6 и 7 Директивы95/46/ЕС. Статья 5 Закона «О персональных данных» устанавливает шесть принципов обработки персональных данных, защищающих персональную информацию человека; данные принципы схожи с принципами, содержащимися во многих европейских правовых актах. Во-первых, персональные данные должны собираться и использоваться законно и добросовестно. Эта норма говорит о том, что персональные данные должны быть собраны и использованы в соответствии с законодательством РФ и только с согласия субъекта персональных данных, но за исключением случаев, четко оговоренных в части 2 статьи 6 Закона, когда такое согласие не требуется. Согласие на обработку своих персональных данных субъект персональных данных должен дать в письменной форме; содержание этого документа четко установлено в п. 4 статьи 9 Закона. К примеру, в письменном согласии субъекта должна быть обязательно указана цель обработки персональных данных и их перечень, а также срок, в течение которого действует согласие и порядок его отзыва.
Во-вторых, заранее четко определенные цели использования персональных данных не должны изменяться. Персональные данные не могут собираться и использоваться для иных целей, о которых субъект, давший письменное согласие на обработку своих данных, не был заранее информирован (п.2 ч. 1 ст. 5).
В-третьих, объем, характер и способы обрабатываемых персональных данных должны соответствовать целям обработки персональных данных. Эта норма направлена на исключение ситуаций, когда при сборе персональных данных пытаются получить иную персональную информацию, выходящую за рамки объявленных целей.
В-четвертых, персональные данные должны быть достоверными, а объем собираемой персональной информации должен быть оправдан целями ее сбора. Объем собираемых персональных данных не должен быть избыточным, если это не соответствует определенным и законным целям. При этом, если обнаружено, что были допущены ошибки и персональные данные неточны, субъекту персональных данных принадлежит право внести необходимые изменения (п.3 статья 20).
В-пятых, Закон запрещает объединение персональных данных в единую информационную систему персональных данных, которые были собраны операторами персональных данных для разных целей. Эта норма направлена на то, чтобы избежать ситуации, когда оператор связи содержит базу персональных данных человека, и в случае утечки такой базы, человек будет уязвим перед несанкционированным и недобросовестным использованием этих сведений.
И, наконец, в-шестых, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Эта норма соответствует п. «е» статьи 5 Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» и также направлена на защиту субъекта персональных данных от несанкционированного использования его персональных данных. Стоит иметь в виду, что данное правило не относится к персональным данным человека, содержащимся в архивных документах, срок хранения которых установлен Законом «Об архивном деле в Российской Федерации» 2004 г.
Доктрина информационной безопасности РФ, утвержденная Президентом РФ 9 сентября 2000г. представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Доктрина информационной безопасности определяет 4 основные составляющие национальных интересов РФ в информационной сфере, в том числе соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, а также защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
Настоящая доктрина служит основой для:
· Формирования государственной политики в области обеспечения информационной безопасности РФ;
· Подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
· Разработки целевых программ обеспечения информационной безопасности Российской Федерации .
Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
В пункте 2 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных говорится о том, что безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. В пункте 10 сказано, чтобезопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).При обработке персональных данных в информационной системе должно быть обеспечено:
· проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
· своевременное обнаружение фактов несанкционированного доступа к персональным данным;
· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
· постоянный контроль за обеспечением уровня защищенности персональных данных.
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных из-за несанкционированного доступа к ним ;
2.2. Ответственность за нарушение работы с персональными данными
Закон устанавливает, что лица, виновные в нарушении требований настоящего Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность . В случае нарушения прав субъекта персональных данных, он может обжаловать действия или бездействия в Уполномоченныйорган по защите персональных данных или в судебном порядке. Уполномоченный орган по защите прав субъекта персональных данных является новым для России институтом, деятельность которого направлена на осуществление контроля и надзора за обработкой персональных данных. Уполномоченный орган имеет право обращаться в суд с исковыми заявлениями для защиты персональных данных и представлять интересы субъектов персональных данных в суде.
Дисциплинарная ответственность должна быть установлена внутренними правилами распорядка организации (в данном случае оператора). В виде дисциплинарной ответственности работнику, совершившему какой-либо дисциплинарный проступок в связи с обработкой персональных данных, не повлекший за собой административную, гражданскую или уголовную ответственность, может быть вынесено замечание, выговор, или он может быть уволен по соответствующим основаниям, предусмотренным ст.81 Трудового кодекса РФ. В Трудовом кодексе РФ четко не установлен вид дисциплинарной ответственности за нарушение порядка обработки персональных данных, а лишь указано, за нарушение норм защиты персональных данных работника также устанавливается гражданская, уголовная, административная, дисциплинарная ответственность.
Что касается гражданской ответственности, то субъект персональных данных в порядке гражданского судопроизводства может требовать возмещение убытков и (или) компенсацию морального вреда.
В соответствии со статьей 13.11 Кодекса РФ об административных правонарушениях (КоАП) административная ответственность предусмотрена за нарушение установленного Законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения на граждан административного штрафа в размере от трех до пяти минимальных размеров оплаты труда (МРОТ), от пяти до десяти МРОТ для должностных лиц и от пятидесяти до ста МРОТ для юридических лиц. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет за собой наложение административного штрафа на граждан в размере от пяти до десяти МРОТ, а на должностных лиц - в размере от сорока до пятидесяти МРОТ .
Посколькузащита персональных данных человека являются составной частью института гарантий неприкосновенности частной жизни человека, нормы особенной части Уголовного кодекса РФ относительно уголовной ответственности за нарушение неприкосновенности частной жизни человека распространяются, в том числе, и на порядок защиты персональных данных. Так, уголовная ответственность статьей 137 Уголовного кодекса РФ устанавливается за незаконное собирание или распространение сведений о частной жизни лица, составляющих личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Указанные деяния наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Заключение
Таким образом, проанализировав ситуацию по поводу охраны персональных данных, можно сделать следующие выводы.
Существует несколько точек зрения по поводу классификации информации, но в целом, ее можно разделить на информацию открытого и ограниченного доступа. Ограничение доступа к информации может устанавливаться только федеральными законами. Перечень информации ограниченного доступа, установлен в Указе Президента «Об утверждении перечня сведений конфиденциального характера». К таким сведениям относятся и персональные данные.
Следуя статье 3 Федерального закона «О персональных данных», можно сформировать следующее определение понятия «персональные данные» - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
Также, благодаря нормативно-правовым актам и научно-исследовательским работам становиться ясно, что персональные данные являются конфиденциальной информацией и что за нарушение работы с ними наступает юридическая ответственность.
Что касается защиты персональных данных, то нужно заметить, что безопасность персональных сведений находится на высоком уровне. Этому способствуют как правовая база, так и многочисленные средства технического контроля. Законодательствами стран Европы и Российской Федерации предусмотрены практически все необходимые нормы для защиты этой категории правоотношений. Основным Законом, регулирующим работу с персональными данными, является Федеральный закон «О персональных данных». В нем описаны основные принципы и условия обработки и защиты таких сведений
Закон устанавливает, что лица, виновные в нарушении требований настоящего закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерацией, ответственность.
Обилие нормативно-правовых актов, регулирующих отношения в сфере персональных данных, обеспечивает надежную защиту безопасности информации ограниченного доступа, но следует заметить, что необходимо дальнейшее совершенствование механизмов защиты персональных данных, находящихся в распоряжении федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и др.
Список источников и литературы
Источники
1. Конституция Российской Федерации принята на всенародном голосовании 12 декабря 1993 г.– М., 2002.
2. Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.)//СПС Консультант плюс, 2009 г.
3. Конвенция о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) (с изменениями от 21 сентября 1970 г., 20 декабря 1971 г., 1 января, 6 ноября 1990 г., 11 мая 1994 г.)//СПС Консультант плюс, 2009 г.
4. Международный пакт о гражданских и политических правах (Нью-Йорк, 19 декабря 1966 г.)//СПС Консультант плюс, 2009 г.
5. Конвенция о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (ратифицирована РФ 19 декабря 2005 года)// СПС Консультант плюс, 2009 г.
6. Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»//СПС Консультант плюс, 2009 г.
7. Федеральный закон РФ от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" //СПС Консультант плюс, 2009 г.
8. Федеральный Закон РФ от 12 августа 1995 № 144-ФЗ “Об оперативно - розыскной деятельности” // СПС Консультант плюс, 2009 г.
10. Перечень сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. N 188) //СПС Консультант плюс, 2009 г.
11. Гражданский кодекс Российской Федерации от 30 ноября 1994 г. N 51-ФЗ (с изменениями и дополнениями, вступившими в силу 11 января 2009г.) //СПС Консультант плюс, 2009 г.
12. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ (с изменениями от 30 декабря 2008г.) //СПС Консультант плюс, 2009 г.
13. Кодекс Российской Федерации об административных правонарушениях от 20 декабря 2001 г. N 195-ФЗ (с изменениями от 30 декабря 2008 г.) //СПС Консультант плюс, 2009 г.
14. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г.) //СПС Консультант плюс, 2009 г.
15. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17 ноября 2007г. N-781(утв. Постановлением Правительства РФ)//СПС Консультант плюс, 2009г.
Список литературы
1. Алимова Н.А. Большой справочник кадровика. – М.: Издательско-торговая корпорация «Дашков и Кْ», 2007. – 536 с.
2. Копылов В.А. Информационное право. М.: Юристъ, 2005. – 512 с.
3. Магнитская Е.В. Правоведение: учебник, Е.В. Магнитская, Е.П. Евстигнеев: Питер, 2003. - 512с.
4. Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: учебное пособие – Барнаул: Изд-во Алт. Ун-та, 2004. – 288с.
5. Поляков В.В., Мазуров В.А. Проблемы правовой и технической защиты: сб. науч. ст./ АлтГУ, 2008. – 179 с.
6. Саидов А.Г. Конституционно-правовые основы обеспечения информационной безопасности Российской Федерации: автореферат: Махачкала, 2004. – 26 с.
7. Смолькова И.В. Проблемы охраняемой законом тайны в уголовном процессе. – М.: 1999. – 346 с.
8. Теория оперативно-розыскной деятельности: учебник. Ред. – сост. К.К. Горяинов, В.С. Овчинский, Г.К. Синилов – М.: Лист Нью, 2008. - 842 с.
9. Ярочкин В.И. Информационная безопасность: учебник для ВУЗов. - М.: Гаудеамус, 2004. - 544с.
Конституция Российской Федерации, принятая на всенародном референдуме 12 декабря 1993 года//СПС Консультант плюс, 2009 г.
Магнитская Е.В. Правоведение: учебник, Е.В. Магнитская, Е.П. Евстигнеев: Питер, 2003. – С. 346.
Саидов А.Г. Конституционно-правовые основы обеспечения информационной безопасности РФ: Махачкала, 2004. – С. 24.
Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2004. – С.31-49, 99-117.
Поляков В.В., Мазуров В.А. Проблемы правовой и технической защиты: сб. науч. ст./ АлтГУ, 2008. – С. 73-76.
Алимова Н.А. Большой справочник кадровика. – М.: Издательско-торговая корпорация «Дашков и Кْ», 2007. – С. 126-129, 192-196.
Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: Издательство Алтайского университета, 2004. – С. 12-16.
Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.)//СПС Консультант плюс, 2009г.
Конвенция о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) (с изменениями от 21 сентября 1970 г., 20 декабря 1971 г., 1 января, 6 ноября 1990 г., 11 мая 1994 г.) //СПС Консультант плюс, 2009г. ст. 8.
Международный пакт о гражданских и политических правах (Нью-Йорк, 19 декабря 1966 г.)//СПС Консультант плюс, 2009г. ст. 17.
Конституция Российской Федерации от 12 декабря 1993 г.//СПС Консультант плюс, 2009 г. ст.15
Федеральный закон № 152-ФЗо «персональных данных» //СПС Консультант плюс, 2009г. гл.1 ст.2
Федеральный закон № 152-ФЗ о «персональных данных» гл.1 ст.3: оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Федеральный закон N24-ФЗ «Об информации, информатизации и защите информации» от 20.02.1995 г.//СПС Консультант плюс, 2009г. ст.
Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: учебное пособие – Барнаул: Изд-во Алт. Ун-та, 2004. – С. 244.
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17 ноября 2007г. N-781//СПС Консультант плюс, 2009г., п. 11.
Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»// СПС Консультант плюс, 2009 г., ст. 24.
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г.) //СПС Консультант плюс, 2009 г., ст. 13.14.
В современном мире технологии, связанные с хранение и обработкой персональных данных, стали незаменимой частью жизни общества. Они используются в банковской сфере, медицине, детсадах, школах, ВУЗах и на различных предприятиях. Помимо всего прочего за последние пять лет социальные сети получили огромное влияние и хранят в себе неисчислимое количество личной информации. Следовательно, все чаще встаёт вопрос о сохранности персональных данных, ведь все эти факторы плодотворно влияют на развитие киберприступности, а информация имеет еще больший вес.
На различных предприятиях, где весьма важно сохранить различные секретные данные, применяются многие методы борьбы с этим. В своем проекте я хочу ознакомиться с ними и узнать, можно ли применять какие-либо из них в школах для повышения безопасности учеников и учителей.
Результаты экспертной оценки
Экспертная карта межрайонного этапа 2017/2018 (Экспертов: 5)
Сумма баллов: 7,8
Министерство просвещения ПМР
Муниципальное учреждение «УНО г. Бендеры»
МОУ «Бендерский теоретический лицей»
Секция: информатика ИКТ
Компьютерная безопасность
Выполнила:
Марина Алина Андреевна, 11 А класс,
г. Бендеры, ул. 40 лет Победы, 44/19, тел. 5-54-88
Руководитель:
Коврикова Ольга Анатольевна,
методист-организатор по ИО
Бендеры, 2016
Оглавление
Сравнение и описание антивирусов (приложение № 2).
Таким образом, можно сказать, что программный код вируса, встроенный в другую программу или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на несущем компьютере наносят колоссальный вред. Необходимо систематически производить профилактику компьютеров на наличие вредоносных программ.
Глава II . Исследование современных угроз информационной безопасности
2.1. Анализ результатов анкетирования учащихся лицея
Среди учеников 7-11 классов было проведено анкетирование с целью выявления представления о вредоносных программах.
На основе анкетирования выявили часто встречаемые виды вирусов среди опрашиваемых учеников МОУ «Бендерский теоретический лицей».
В анкетировании приняло участие 387 человек. Результаты ответов по классам (приложение №3).
На вопрос «Сталкивались ли вы когда-то с вирусами на своем компьютере? Если да, то с какими?» были получены следующие ответы:
На вопрос « Взламывали ли ваши аккаунты и где?»
На вопрос «Сталкивались ли вы с вирусами в интернете?»
Из результатов тестирования видно, что учащиеся лицея часто сталкиваются с взломом аккаунтов в «Вконтакте», «Одноклассниках», на почте и в « S kype», поэтому в работе я решила исследовать, каким образом происходит взлом аккаунтов и как защититься от этого.
2.2. Взлом аккаунтов
Взлом электронной почты и аккаунтов в социальных сетях
Как работают хакеры, и как у них получается, регулярно взламывать почтовые ящики известных личностей? Этим вопросом наверняка задаются все, кто читает новости про успешные хакерские атаки.
Чаще всего взлом почты и аккаунтов в соцсетях происходит из-за неправильно подобранного пароля. Он слишком простой и его легко подобрать. Поэтому нужно правильно его составлять на основе приведенных ниже рекомендаций.
Каким образом лучше выбирать составляющие для пароля?
Не применять пароль, который является словарным словом.
Если есть возможность, то можно использовать знаки препинания.
Можно применять символы из нижнего и верхнего регистров, а так же цифры от 0 до 9.
Оптимальным для составления пароля является количество цифр (букв) от 8 до 10.
Использовать последние символы из списка цифр, знаков или алфавита.
рис. 1. Программа подбора пароля
Существуют также специальные программы (рис. 1), подбирающие пароли к аккаунту в почтовом сервисе в автоматическом режиме.
Метод защиты: использование сложного пароля, который невозможно угадать или логически вычислить; использование сервиса восстановления пароля с помощью контрольного вопроса.
Вторая причина взлома электронной почты происходит после попадания на нее вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код.
Третья причина взлома не только почты, но и аккаунтов соцсетей – это взлом cookies. Сookies – это информация, которую браузер хранит «по просьбе» веб-сайта. Как правило, это данные, необходимые для аутентификации пользователя. Сookies хранится в файлах в рабочей папке браузера, и злоумышленники, похитив их, могут получить доступ к учетной записи (рис. 2).
рис. 2. Сохраненные данные Сookies
Метод защиты заключается в том, что необходимо постоянно при завершении работы выходить из почтового сервиса для его автоматического закрытия. Т.е. именно нажимать на «Выход», а не просто закрывать браузер или страницу.
2.3. Взлом « Skype»
В «Skype» все чаще стали «заводиться» вирусы. Вредоносные «червяки» забираются под видом каких-то сообщений со ссылками в различные компьютерные программы. Поэтому следует быть осторожными и не переходить по сомнительным ссылкам.
« Skype » может быть подвержен взлому или заражению даже во время установки, если он скачан с какого-либо сайта, который занимается распространением вредоносного софта. Поэтому скачивать «Skype» нужно только с официального сайта разработчика (skype.com). Тем более что предлагается программа в свободном доступе.
Недавно я и сама столкнулась с тем, что получила от знакомого человека, который находится в моих контактах в « Skype », подозрительное сообщение. Вскоре я поняла, что мой знакомый «удачно» поймал в данной соцсети вирус, который послал сообщение и мне.
Сообщения, которые содержат вредоносные программы, могут быть различного рода. Например, началась атака подобным вирусом с сообщения «Это новый аватар вашего профиля?». Затем формулировка стала таковой: «Посмотри на эту фотографию», «На этой фотографии он похож на Путина», а сейчас можно встретить и такое: «Жесть! Как можно было так спалиться?». Рядом с сообщением находится ссылка. Она может быть как непонятной, так и вполне логичной, похожей на нормальную ссылку, на которую хочется перейти. Например:
это новый аватар вашего профиля?))http://goo.gl/...
очень хорошая фотография, вы http://is.gd/uqfHnA?id=pk-help.com
invoice_{цифры}.pdf.exe
Важно! Переходить по ссылке ни в коем случае нельзя! Иначе на компьютер загрузится вирус, который заражает программы, ворует пароли и блокирует доступ к сайтам с антивирусами, также рассылается сообщение-вирус всем контактам, находящимся в данном аккаунте.
Файл является сетевым червем и IRC -ботом, который может распространяться через файл autorun . inf , прописываясь в ветку реестра oftware \ Microsoft \ Windows \ CurrentVersion \ Run .
При этом файл-вирус копирует себя в %
APPDATA
%\
7658354235994425565\
winsvc
.
ex
и пытается распространяться через вложения в электронной почте. Чтобы избавиться от него, нужно удалить и файл winsvc.ex, и ссылку на него из реестра.
Также существует второй вид вируса в « Skype». Это вирус Т9000 – он записывает разговоры пользователей, не распознается ни одной антивирусной программой и распространяется путем рассылок писем со ссылками на зараженные файлы формата RTF.
Единственный способ распознать присутствие вируса на компьютере - это при запуске «Skype» на экране появляется сообщение следующего содержания: «explorer.exe wants to use Skype».
Главная цель трояна - это не сбор личной информации пользователей «Skype», а доступ к данным финансового характера.
Методы защиты. Прежде всего, нужно приостановить действие вируса и отключить его возможность публиковать информацию, используя другие программы. Для этого следуйте инструкции: установите антивирусную программу и уберите доступ любых программ «Skype» (рис. 3) в настройках программы (желательно это сделать после установки «Skype»).
рис.3. Окно настройки Skype
На зараженном компьютере может быть надпись, пример которой указан на рис. 4.
рис. 4. Окно контроля доступа Skype
Нужно избавиться от этой надписи, нажав кнопку «Удалить». Окно обязательно должно быть чистым, то есть не иметь каких-либо записей.
Таким простым способом можно избавить « Skype» и компьютер от дальнейшего распространения вируса, но полностью от него не избавиться. Для этого лучше использовать специальные утилиты, а также проверить весь компьютер на вирусы.
Можно воспользоваться утилитой «VBA32 AntiRootkit». После ее скачивания и запуска откроется окно, в котором нужно будет нажать кнопку «No» и дождаться загрузки программы. В меню «Tools» следует выбрать LowLevel DiskAccessTool. Откроется окно, в котором будет прописан путь к папке «%AppDatа%». Справа в программе Вы увидите вредоносный файл, который может иметь совершенно бессмысленное название. Нажав на этот файл правой клавишей мыши, выберите из контекстного меню «Удалить». Затем следует подтвердить это действие, выйти из утилиты и перезагрузить компьютер.
Совет! Перед перезагрузкой лучше всего проверить компьютер на наличие вирусов, используя для этого Kaspersky Anti-Virus или Dr.Web.
Но многие вирусы не обнаруживаются привычными нам антивирусными программами. Поэтому для проверки «Skype» и удаления в нем вирусов можно использовать программу Malwarebytes Anyi-Malware. Чтобы проводить сканирование компьютера, эту программу можно скачать бесплатно с официального сайта (malwarebytes.org).
Запустите программу и перейдите в «Настройки». В открывшемся окне уберите три галочки (рис. 5).
рис. 5. Окно настройки Malwarebytes
Затем перейдите во вкладку «Сканер» и выставьте флажок «Полное сканирование» (рис. 6).
рис. 6. Окно сканирования Malwarebytes на наличие вирусов
Так программа проверит компьютер на наличие вирусов и удалит их.
2.4. Уголовный кодекс ПМР
Нормативные акты большинства стран мира, в том числе и в Приднестровской Молдавской Республике, предусматривают уголовную ответственность за киберпреступления. Наказания в нашей республике назначаются в виде штрафа от 700 до 5000 РУМЗП или в виде лишения свободы от 2 до 7 лет, в зависимости от тяжести преступлений.
Рассказав учащимся лицея о результатах моего исследования, я ознакомила их со статьями уголовного кодекса ПМР.
Статья 268. Неправомерный доступ к компьютерной информации
Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере от 700 (семисот) до 1700 (тысячи семисот) расчетных уровней минимальной заработной платы либо исправительными работами на срок от 6 (шести) месяцев до 1 (одного) года, либо лишением свободы на срок до 2 (двух) лет.
То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от 1700 (тысячи семисот) до 3000 (трех тысяч) расчетных уровней минимальной заработной платы либо исправительными работами на срок от 1 (одного) года до 2 (двух) лет, либо арестом на срок от 3 (трех) до 6 (шести) месяцев, либо лишением свободы на срок от 2 (двух) до 5 (пяти) лет.
Статья 269. Создание, использование и распространение вредоносных программ для ЭВМ
Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, -
наказываются лишением свободы на срок до 3 (трех) лет со штрафом в размере от 700 (семисот) до 2000 (двух) тысяч расчетных уровней минимальной заработной платы.
Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от 3 (трех) до 7 (семи) лет.
Статья 270. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 (двух) до 5 (пяти) лет либо обязательными работами на срок от 180 (ста восьмидесяти) до 240 (двухсот сорока) часов, либо ограничением свободы на срок до 2 (двух) лет.
То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок от 1 (одного) года до 4 (четырех) лет.
В Законодательстве предусмотрена уголовная ответственность за нарушения такого характера. Но по этим статьям никого не наказывают, так как отдел по работе с киберпреступлениями полностью отсутствует.
2.5. Обобщение полученных результатов
На основе моего исследования я разработала памятку (приложение
№ 4), подготовила обзор рекомендованной литературы и интернет источников (приложение № 5) с которыми были ознакомлены учителя и ученики теоретического лицея 5-11 классов (приложение № 6).
После представления изученных мной материалов учащимся было предложено ответить на следующие вопросы, в результате которых я получила данные, представленные на графике.
Всего участвовало в опросе 597 учащихся.
Обобщенные результаты ответов 5-11 классов
Из графика видно, что подготовленная мной информация была полезна и актуальна.
Сравнительный анализ ответов по классам
При сравнительном анализе по классам видно, что информация была полезна в большинстве классов. Среди учеников 8-х классов показатель ниже по сравнению с другими классами.
Таким образом, проанализировав результаты анкетирования, выделив наиболее опасные вредоносные программы и ознакомив учащихся с моим исследованием, ученики лицея будут наиболее информационно защищены.
Заключение
В настоящее время все мы можем наблюдать положительную динамику информатизации нашего общества. Там, где ещё вчера работа велась «дедовским методом» (кипы бумаг, счёты, калькуляторы), сегодня всё чаще и чаще мы видим компьютеры. Количество компьютеров растёт, их объединяют в локальные сети и со временем, как правило, подключают к глобальной сети Интернет. Люди, работающие с использованием передовых технологий вычислительной техники, как правило, не имеют ни малейшего опыта работы и достаточной информации обо всех подстерегающих их опасностях.
За последние два года наибольшим источником компьютерных вирусов является именно глобальная сеть Интернет. Из нее к пользователям попадают минимум 95 % всех вредоносных программ.
По определению вирусами являются программы, которые имеют возможность создавать свои копии, которые в свою очередь сохраняют способность к размножению (размножение – главное свойство вируса). Но это определение вируса в узком смысле этого слова. В широком же смысле, мы называем вирусами как собственно сами вирусы, так и Internet-черви, сетевые черви, троянские программы, утилиты скрытого администрирования.
Поэтому на основе анкетирования мной было выявлено, с какими вредоносными программами чаще всего сталкиваются учащиеся лицея. Были рассмотрены соответствующие вирусы, принцип их работы и методы защиты.
Выдвинутая мной гипотеза о том, что при установлении путей проникновения вредоносных программ, принципа их работы и разработки методов защиты от них, можно повысить уровень защиты персональных данных – подтвердилась. Это было видно из результатов, полученных после обобщения мной исследовательской работы среди учащихся и учителей МОУ «Бендерский теоретический лицей».
В Законодательстве ПМР предусмотрена уголовная ответственность за неправомерный доступ к компьютерной информации, создание и распространение вредоносных программ. Но по этим статьям, как выяснилось, никого не наказывают, так как отдел по работе с киберпреступлениями полностью отсутствует.
Остается еще раз призвать проявлять осторожность при использовании интернет-технологий, и тогда, наверняка, проблема компьютерных вирусов не будет представлять никакой угрозы вашим данным. Я описала некоторые интернет-источники и литературу, позволяющие дополнительно получить информацию о защите своего ПК от различных угроз, которые рекомендую прочитать учащимся, учителям и родителям.
Также в заключении хочется выделить список правил при работе с компьютером, чтобы избежать возможности заражения вирусами:
Пользуйтесь антивирусными программами.
Соблюдайте осторожность при установке всевозможных приложений на ваш ПК, особенно с неофициальных сайтов.
Не переходите по подозрительным разного рода ссылкам.
Не позволяйте устанавливаться автоматически незнакомым программам.
Список использованной литературы
Касперски К. «Компьютерные вирусы изнутри и снаружи», 2013 г.
Климентьев К. Е. Компьютерные вирусы и антивирусы: взгляд программиста, -М., ДМК, 2013 г.
Курбанова Ф.Ф., Залкеприева А.А. Мобильные вирусы и методы защиты от них//Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. XLII междунар. студ. науч.-практ. конф. № 5, 2015 г.
Хлестова Д.Р., Попов К.Г. Защита детей от Интернет-угроз. Журнал «Символ науки». Выпуск № 7-2 / 2016
Шаньгин В.Ф. Компьютерная безопасность компьютерных сетей и систем: учебное пособие - М.:ИД « ФОРУМ»: ИНФРА-М, 2011 г. 416с. https://a-panov.ru/antivirus http://www.ferra.ru/ru/mobile/s26687/#.VjN4h7fhCUk
Приложение № 1
По данным исследователя компании McAfee Торалв Дирро опубликовал блог о росте новых вредоносных программ, примерно до 20 000 новых образцов вредоносных программ в день. Затем он продолжил, сказав, что «сейчас с постоянным, хотя все еще массивным, ростом все же есть свет в конце туннеля для индустрии безопасности»…
К сожалению, то «вредоносное плато» в 2008 году было лишь временной передышкой: к 2010 году объемы создания новых вредоносных программ утроились до уровня 63000 образцов в день, а в 2015 году, по данным антивирусной лаборатории PandaLabs, их количество достигло 230000 новых образцов ежедневно.
Для 2016 года красный сектор показывает количество новых угроз, зарегистрированных в AV - Test , по состоянию на 16 ноября 2016г., а синий сектор показывает примерное количество новых угроз, которые будут зарегистрированы в оставшиеся недели 2016 года. Как видно из графика, общее количество новых зарегистрированных вредоносных программ в 2016 году ожидается ниже, чем в 2015 году.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Защита персональных данных
Введение
Почему необходимо защищать персональные данные?
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника - в средство мщения, в руках инсайдера - товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.
С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.
Защита персональных данных - это требование бизнеса
Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?..
Защита персональных данных - это требование законодательства
Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.
Законодательство
В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.
Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Каждый из этих актов и документов посвящен отдельным областям и тематикам законодательства и будет раскрываться в дальнейшем по ходу изложения материала. Целью российского законодательства в области ЗПД является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
шифровальный безопасность персональный данные
Персональные данные
В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Состав и содержание персональных данных определяют операторы ПДн1 в зависимости от целей их обработки. Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.
Отличие российского и международного законодательства США, Великобритания и Канада, так же как и Россия, разработали технические регламенты, которые транслируют положения законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных. В Великобритании в 1998 году был принят «Закон о защите персональных данных» - «Data Protection Act 1998». Его техническая реализация - проект стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012) должен получить статус официального документа в июне 2009. Параллельно с англичанами свою версию стандарта по безопасности ПДн выпустили в США. Проект документа по защите персональных данных для американских государственных структур - «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122) регламентирует выполнение Законов «The Privacy Act of 1974» и «Privacy Protection Act of 1980». Канада выпустила «Privacy Code» - набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).
Канадский, английский и американский стандарты, в отличие от документов российских регуляторов, дают более общие екомендации по обеспечению безопасности ПДн и не предписывают, как конкретно должны защищаться персональные данные. Более того, тот же американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.
Существуют случаи, когда цели, состав и содержание ПДн четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами ПДн и операторами нуждаются в строгой регламентации. При этом в некоторых случаях2 субъект персональных данных обязан предоставлять оператору сведения о себе.
Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные:
· фамилия, имя, отчество;
· дата и место рождения;
· вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет);
· пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);
· дата поездки.
Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся:
· фамилия, имя, отчество;
· дата рождения;
· гражданство;
· номер страхового свидетельства;
· знание иностранных языков;
· данные об образовании (номер, серия дипломов, год окончания);
· данные о приобретенных специальностях
· данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения);
· фактическое место проживания;
· данные о военной обязанности;
· данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).
К другим нормативным актам, регулирующим отношения в сфере деятельности человека и определяющим цели обработки, состав и содержание ПДн, относятся ФЗ-179 «Трудовой кодекс РФ», ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и т.п.
Какие сведения о сотрудниках государственных организаций собирать и как их обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Своя специфика существует и в различных отраслях экономики.
Определенные рамки обработки персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О кредитных историях», для авиационного транспорта - Воздушный кодекс, для торговых организаций (Интернет-магазинов и т.п.) - Постановление Правительства Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи товаров дистанционным способом», для туристического бизнеса - Постановление Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» и т.п.
Невозможно не упомянуть и ФЗ-143 «Об актах гражданского состояния», в котором государство четко определяет, какие сведения о личности должны собираться, храниться и обрабатываться на протяжении всей его жизни.
Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Общедоступные ПДн
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
· субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
· персональные данные являются общедоступными;
· персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
· обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
· обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:
1. В информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или Российской Федерации в целом.
2. В информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.
3. В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Биометрические персональные данные
Биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения - в системах видеонаблюдения и т.п.
Оператор персональных данных
Согласно Закону №152-ФЗ операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Под обработкой ПДн понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.
Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением.
В каких случаях оператор ПДн имеет право не уведомлять Роскомнадзор Оператор вправе осуществлять обработку следующих персональных данных без уведомления уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор):
· относящихся к субъектам ПДн, которых с оператором связывают трудовые отношения;
· полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
· относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
· являющихся общедоступными персональными данными;
· включающих в себя только фамилии, имена и отчества субъектов персональных данных;
· необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
· включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем (далее ИС), а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
· обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
При этом бытует ошибочное мнение о том, что в случае, если нет необходимости регистрироваться как оператор ПДн в Роскомнадзоре (а законом такие случаи предусмотрены), то компания не является оператором ПДн и на нее не распространяются обязанности, предусмотренные законодательством. Более того, таким образом компании пытаются оправдать свое бездействие в области обеспечения безопасности ПДн. Если компания не предпринимает никаких усилий по защите персональных данных, это однозначно расценивается как «невыполнение требований российского законодательства».
Обязанности оператора ПДн
Российское законодательство возлагает на операторов ПДн определенные обязанности, основными из которых являются:
1. Обеспечение безопасности обработки персональных данных, что означает обязанность «принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
2. Уведомительный характер обработки персональных данных. В соответствии со статьей 22 Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
3. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
4. При получении персональных данных (в том числе от третьих лиц) оператор ПДн до начала обработки обязан получить у субъекта этих ПДн письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными).
5. Оператор обязан предоставить субъекту ПДн по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных. Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Более того, оператор ПДн обязан предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПДн являются общедоступными.
6. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ3.
Невыполнение требований законодательства?.. Какие последствия?..
Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).
В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
Обработка персональных данных
В российском законодательстве определяются основные принципы обработки персональных данных4 . К ним, в частности, относятся:
· Оператор персональных данных определяет цели их обработки в соответствии со своими полномочиями.
· Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки.
· Недопустимо объединять созданные для разных целей персональные данные (например, в одну базу данных).
· Персональные данные подлежат уничтожению по достижении целей (утраты необходимости в) их обработки.
Большое значение в Законе уделено условиям обработки персональных данных5. Так, обработка персональных данных может осуществляться оператором только с письменного согласия субъектов ПДн.
В каких случаях не требуется согласие субъекта ПДн на обработку сведений о нем?
Согласие субъекта ПДн не требуется в следующих случаях:
· обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
· оператор и субъект ПДн связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
· бработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
· обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
· обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;
· осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный. Об этих видах обработки ПДн речь пойдет в следующих разделах статьи.
Жизненный цикл персональных данных
Обработка персональных данных требует создание специального режима, в котором четко определены технология их обработки, порядок и условия существования ПДн на каждом этапе их жизненного цикла. Это предусматривает разработку и внедрение процедур их сбора, приема, учета, регистрации, хранения, использования, уничтожения и т.п. Большое значение при этом имеет срок хранения ПДн, а также наличие системы контроля обработки ПДн на всех этапах их жизненного цикла.
Срок обработки ПДн
Определение сроков обработки ПДн крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».
Анализ технологических процессов обработки ПДн
В своих проектах по защите ПДн специалисты компании «Инфосистемы Джет» большое внимание уделяют учету технологических процессов обработки персональных данных (жизненный цикл ПДн) и получению информации о существующих процедурах обработки ПДн. С этой целью ими проводятся следующие работы:
· анализ документов, определяющих технологические процессы обработки ПДн;
· проведение интервью с сотрудниками заказчика, реализующими процедуры обработки ПДн;
· определение владельца технологического процесса обработки ПДн (соотнесение технологического процесса со структурным подразделением заказчика и используемой ИСПДн);
· определение процедур сбора, приема, учета и регистрации ПДн в информационных системах персональных данных, хранения, обработки, выпуска, копирования и передачи ПДн, их уничтожения и контроля за этими процедурами.
Сроки обработки также определяются на основании других нормативно-правовых актов. Так, требованиями трудового, гражданского, пенсионного законодательства, отраслевых нормативных актов устанавливаются определенные сроки обработки персональных данных. Например, для карточек Т-2 - это 75 лет6 (Постановление Госкомстата № 1), а для сведений о предоставленных абоненту услугах связи - 3 года (Постановление Правительства № 538).
Неавтоматизированная обработка ПДн
Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Согласно данному Постановлению, обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия осуществляются при непосредственном участии человека.
Вопрос разделения неавтоматизированной и автоматизированной обработки у многих организаций вызывает затруднения.
Постановления РФ:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Исходя из этого, некоторые организации полагают, что всю обработку ПДн можно отнести к неавтоматизированной, поскольку во всех случаях имеется факт «обработки ПДн при непосредственном участии человека». И это является ошибкой. В данном случае неправильно рассматривать эту обработку только как неавтоматизированная. К примеру, если пользователь внес данные в персональный компьютер только для того, чтобы их распечатать, и не сохранял данные на компьютере, то эту обработку можно считать неавтоматизированной. Если пользователь сохранил эти данные в виде файла и хранит их на компьютере, то нужно рассматривать эту обработку ПДн в том числе и как автоматизированную.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой из них должен использоваться отдельный материальный носитель.
Постановление определяет, какая информация должна быть включена в типовые формы документов, включающих персональные данные, условия ведения журналов (реестров, книг), содержащих ПДн (например, необходимых для однократного пропуска субъекта ПДн на территорию оператора), описывает важнейшие этапы жизненного цикла персональных данных, зафиксированных на материальном носителе.
Автоматизированная обработка персональных данных
Для того, чтобы определить, что является «автоматизированной обработкой ПДн», необходимо ввести понятие «автоматизированного файла ПДн», которое означает любой комплекс данных о субъектах ПДн, подвергающийся автоматизированной обработке («Конвенция о защите физических лиц при автоматизированной обработке персональных данных», СЕД №108, от 28 января 1981 г.).
«Автоматизированная обработка ПДн» подразумевает действия с «автоматизированными файлами ПДн», которая включает следующие операции, осуществляемые полностью или частично с помощью средств автоматизации: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.
Обеспечение безопасности персональных данных
В соответствии со статьей 19 Федерального Закона «О персональных данных» оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Обеспечение безопасности ПДн, обрабатываемых в информационных системах персональных данных
В данном разделе рассказывается о требованиях к обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн), которые содержатся в Постановлении Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.
В каких случаях обеспечение безопасности ПДн не требуется?..
Обеспечение безопасности (в данном случае конфиденциальности) в соответствии с российским законодательством не требуется лишь для обезличенных и общедоступных персональных данных.
Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПДн.
Персональные данные могут быть общедоступными только с письменного согласия субъекта ПДн. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.
Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:
· проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
· своевременно обнаруживать факты НСД к персональным данным;
· не допускать воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
· незамедлительно восстанавливать ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
· осуществлять постоянный контроль за обеспечением уровня защищенности ПДн.
Кто должен обеспечивать безопасность ПДн?..
Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПДн при их обработке в ИСПДн.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.
Что такое ИСПДн?
Информационные системы персональных данных представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:
· информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
· технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации);
· программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);
· средства защиты информации;
· вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приема программ радиовещания и телевидения, электрочасофикации7, средства электронной оргтехники).
Сроки и условия приведения ИСПДн в соответствие с законодательством
Российским законодательством определены сроки и условия приведения ИСПДн в соответствие требованиям по обеспечению безопасности ПДн.
Для информационных систем персональных данных, находившихся в эксплуатации до введения в действие Федерального закона от 27 июля 2006 г. № 152ФЗ «О персональных данных», должна быть обеспечена их доработка, обеспечивающая безопасность ПДн в соответствии с требованиями Законодательства, в срок до 1 января 2010 г.
Для функционирующих ИСПДн доработка (модернизация) систем защиты персональных данных (далее СЗПДн) должна проводиться в случае, если:
· изменился состав или структура самой информационной системы или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);
· изменился состав угроз безопасности ПДн в информационной системе;
· изменился класс ИСПДн.
Для вновь создаваемых или модернизируемых информационных систем деятельность по обеспечению безопасности ПДн является неотъемлемой частью работ по их созданию или модернизации. Производителей приложений, в которых предусмотрена обработка сведений о физических лицах, обязаны реализовывать в своих
разработках требования по безопасности ПДн, предусмотренные российским законодательством.
Компания «Инфосистемы Джет», являясь системным интегратором, осуществляет в своих проектах разработку и внедрение различных вычислительных комплексов и бизнес-приложений. Подобные работы проводятся с учетом требований российского законодательства по обеспечению информационной безопасности, в том числе по защите персональных данных.
Какие ИСПДн существуют?
Персональные данные обрабатываются в массе приложений. Как показал опыт компании «Инфосистемы Джет» по выполнению проектов по ЗПД, их количество может варьироваться от 3 до 5 в малых и средних компаниях, от 30 до 50 - в крупных компаниях. К информационным системам персональных данных могут быть отнесены:
· CRM-системы (данные о клиентах - физических лицах и представителях клиентов - юридических лиц);
· биллинговые системы (данные о клиентах, осуществляющих оплату услуг);
· автоматизированные банковские системы (данные о сотрудниках банка, о клиентах, партнерах и т.п.);
· автоматизированные медицинские системы (данные о пациентах и т.п.);
· Call-центры (данные о клиентах и сотрудниках в зависимости от предназначения call-центра);
· кадровые системы (данные о сотрудниках организации);
· бухгалтерские системы (данные о сотрудниках и клиентах организации);
· системы документооборота (данные о сотрудниках организации, клиентах, партнерах);
· почтовые системы (данные о сотрудниках организации, клиентах, партнерах, заполненные карточки в адресных книгах почтовых систем и т.п.);
· автоматизированные системы бюро пропусков (данные о посетителях).
С точки зрения принадлежности информационные системы могут быть следующих видов: ИСПДн государственных и муниципальных органов, юридических и физических лиц, организующих или осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).
Классификация ИСПДн
Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20, а также на основании нормативно-методических документов регуляторов ФСТЭК и ФСБ.
Классификация информационных систем проводится на этапе создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
Проведение классификации информационных систем включает в себя следующие этапы:
· сбор и анализ исходных данных по информационной системе;
· присвоение ей соответствующего класса;
· его документальное оформление (составление и утверждение руководством организации Актов классификации на конкретные ИСПДн).
При проведении классификации информационной системы учитываются следующие исходные данные:
Таб. 1. Определение класса типовой информационной системы
· объем обрабатываемых персональных данных (количество субъектов ПДн, персональные данные которых обрабатываются в информационной системе - 1, 2, 3)9;
· заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
· структура информационной системы;
· наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
· режим обработки персональных данных;
· режим разграничения прав доступа пользователей информационной системы;
· местонахождение технических средств информационной системы.
Классификация ИСПДн
Практика показала, что существуют определен ные сложности в проведении классификации ИСПДн силами операторов, поскольку для выполнения данной задачи не всегда хватает компетенции собственных специалистов.
Обладая опытом проведения проектов по защите персональных данных, компания «Инфосистемы Джет» сформировала свой подход к проведению данного вида работ. При этом отличительной особенностью является «правильная» классификация ИСПДн, при которой удается в значительной степени минимизировать расходы наших заказчиков на создание системы защиты персональных данных.
В частности, это становится возможным за счет минимизации мест хранения и обработки ПДн, разделения/сегментирования ИС, снижения требований к части сегментов, сокращения числа сотрудников, имеющих доступ к персональным данным, обезличивания части персональных данных, выведения части данных из ИСПДн.
В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее:
· Абстрагирование ПДн - сделать их менее точными, например, путем группирования общих характеристик;
· Скрытие ПДн - удалить всю или часть записи ПДн;
· Замена ПДн - переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;
· Замена данных средним значением - заменить выбранные данные средним значением для группы ПДн;
· Разделение ПДн на части - использование таблиц перекрестных ссылок;
· Маскирование ПДн - замена одних символов в ПДн другими.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, ИСПДн подразделяются на типовые и специальные:
· типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;
· специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик их безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
По структуре информационные системы подразделяются:
· на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств (автоматизированные рабочие места);
· на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
· на комплексы автоматизированных рабочих мест и локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям.
По режиму обработки персональных данных в информационной системе ИСПДн подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах РФ, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
Классификация типовых ИСПДн
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
· класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
· класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
· класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
· класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Класс типовой информационной системы определяется в соответствии с таблицей №1 .
Классификация специальных ИСПДн
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
· информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;
· информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
Составление моделей угроз для специальных ИСПДн
Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:
· типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.
На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Что подлежит защите в ИСПДн?
Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
...Подобные документы
Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа , добавлен 01.07.2011
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа , добавлен 23.03.2018
Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа , добавлен 10.06.2011
Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа , добавлен 17.12.2015
Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа , добавлен 07.10.2016
Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа , добавлен 17.11.2012
Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.
курсовая работа , добавлен 30.09.2013
Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация , добавлен 15.11.2016
Классификация информации по уровню доступа к ней: открытая и ограниченного доступа. Понятие о защите информационных систем, использование шифровальных средств. Компетенция уполномоченных федеральных органов власти в области защиты персональных данных.
реферат , добавлен 13.10.2014
Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.