ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ - Студенческий научный форум

VIII Международная студенческая научная конференция Студенческий научный форум - 2016

Личный портфель

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Лушников Н.Д., Хасаншин А.И.
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Защита персональных данных граждан Российской Федерации-задача весьма насущная. В случае если персональные данные используются произвольно и становятся доступными лицам, которым они не должны быть известны, гражданам наносится моральный вред и материальный ущерб.

В настоящее время, характеризуемое бурным развитием информационных технологий, на первый план встает вопрос защиты персональных данных при их накоплении, обработке и передаче с использованием средств информатизации. Для регулирования информационных правоотношений в области персональных данных законодателем установлен целый ряд нормативно-правовых актов. Исходя из вышеизложенного, можно сделать вывод, что анализ правового регулирования персональных данных в системе информации довольно актуален, поэтому данная работа направлена на исследование персональных данных, на изучение информационных систем для защиты персональных данных, классификации типовых информационных систем персональных данных, двух основных методов защиты.

Для исследования и изучения данной темы использовались интернет ресурсы и библиографические единицы, связанные с защитой персональных данных и их информационными системами.

Наряду с закрепленными за работодателем обязанностями по обеспечению защиты персональных данных работника ст. 88 ТК РФ регламентирует права работников в этой области.

Условно права работника, направленные на обеспечение за­щиты его персональных данных, можно разделить на 3 группы:

1) на полную информацию о своих персональных данных и их обработке;

2) требовать устранения недостатков, имеющихся в персо­нальных данных работника;

3) на защиту от неправомерных действий (бездействия) рабо­тодателя всеми установленными законом способами.

Право на полную информацию о своих персональных данных и их обработке установлено также в Федеральном законе от 20 февраля 1995 г. «Об информации, информатизации и защите информации». Так, в соответствии с п. 1 ст. 14 указанного Зако­на работники имеют право на доступ к документированной ин­формации о них, имеют право знать, кто, в каких целях исполь­зует или использовал эту информацию. В силу п. 2 ст. 14 Закона работодатель, как владелец документированной информации о ра­ботнике, обязан предоставить по его требованию бесплатно ин­формацию в той части, которая касается непосредственно самого работника.

Право отдельной категории работников на полную информа­цию, составляющую их персональные данные, устанавливается также федеральными законами, указами Президента РФ, поста­новлениями Правительства РФ. Так, в соответствии с п. 9 Указа Президента РФ от 15 мая 1997 г. «О предоставлении лицами, за­мещающими государственные должности Российской Федерации, и лицами, замещающими государственные должности государст­венной службы и должности в органах местного самоуправления, сведений о доходах и имуществе» право знакомиться со всеми материалами своего личного дела и давать в письменном виде объяснение по указанным материалам, которое должно быть при­общено к личному делу, принадлежит лицам, замещающим госу­дарственные должности РФ.

Федеральный закон «О персональных данных» (№152-ФЗ), подписанный Президентом РФ в июле 2006 г., вступил в силу в январе 2007 г., однако основные нормативные документы, детализирующие его применение, и орган, контролирующий выполнение закона, появились только в 2007-8 гг. Кроме того, в 2008 г. в Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) было создано Управление по защите прав субъектов персональных данных в Российской Федерации. В его состав включено три отдела: отдел организации ведения реестра операторов, осуществляющих обработку персональных данных (ПД), отдел организации контроля и надзора за соответствием обработки ПД и отдел анализа и методологического обеспечения в области ПД. Дополнительно организованы специальные отделы в 78 территориальных органах Россвязькомнадзора.

Ранее принятые законы «Об информации, информационных технологиях и защите информации» (№149-ФЗ от 27 июля 2006 г.), «О коммерческой тайне» (№98-ФЗ от 29 июля 2004 г.), а также Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (№781 от 17 ноября 2007 г.) и совместный Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» (№55/86/20 от 13.02.2008) образуют нормативную базу для построения систем защиты ПД.

Информационная система персональных данных (ИСПД) – это совокупность программных и технических средств на которых обрабатываются персональные данные.. В зависимости от последствий нарушений заданной характеристики безопасности ПД, типовой ИС присваивается один из классов:

  • класс 1 — ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД;

  • класс 2 — ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД;

  • класс 3 — ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД;

  • класс 4 — ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД.

Для ИСПДн класса 1 и 2 обязательна сертификация (аттестация), для 3 класса – декларирование соответствия, для 4 класса оценка проводится по решению оператора ПД. Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

  • оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);

  • экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);

  • определение актуальных угроз (путем исключения неактуальных угроз по определенному алгоритму).

Инструментальный анализ защищенности ИСПДн включает анализ средств защиты информации: шлюзов VPN, антивирусных средств защиты, средств обнаружения атак IDP/IPS, межсетевых экранов и систем защиты от утечки конфиденциальной информации. Дополнительно проводится анализ безопасности сетевой инфраструктуры: коммутаторов, маршрутизаторов, сетей SAN и WLAN. Тест на проникновение позволяет получить независимую оценку безопасности ИСПДн по отношению к внешнему нарушителю.

Как правило, с технической точки зрения методы защиты можно разделить на две группы. К первой относится шифрование данных, когда конфиденциальная информация хранится в защищенной области, а доступ к ней жестко контролируется самими пользователями. Практика показывает, что в большинстве случаев этот метод себя оправдывает. Однако утечки данных могут происходить по вполне «легальным» каналам – например, при участии пользователей, имеющих права доступа к такой информации. В связи с этим получил распространение второй метод защиты – решения для предотвращения потери данных (Data Loss Prevention, DLP), которые позволяют осуществлять контроль за каналами передачи данных и информировать службу безопасности или блокировать передачу в случае обнаружения нарушений политики безопасности. Естественно, наиболее эффективно сочетание обоих методов.

Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия персональных данных и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами персональных данных являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах. Государство возложило на операторов персональных данных определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор персональных данных обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах персональных данных. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно методических документах. Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

  1. Трудовой кодекс Российской Федерации : ФЗ от 30.12. 2001 г. № 197.– М. : ОТиСС, 2002. – 142 с.

  2. Городов О.А. Информационное право. – М.: Проспект, 2009 г.

  3. Бачило И.Л. Информационное право. – М.: Высшее образование, 2009 г.

  4. Лютов Н.Л. Защита персональных данных: международные стандарты и внутреннее российское законодательство – М.: «Трудовое право», № 8, 2010 г.

  5. Шалыгина Л.С. Нормативно-правовое регулирование работы с информационными системами и персональными данными. - М.: «Медицинское право», № 2, 2010 г.

  6. Е.В. Бурцева, И.П. Рак, А.В. Селезнев, А.В. Терехов, В.Н. Чернышов. Информационные системы. – Тамбов: ТГТУ, 2009.

7. http://www.osp.ru/lan/2008/12/5808691/

 

5

 

Просмотров работы: 1296