X Международная студенческая научная конференция Студенческий научный форум - 2018

Одной из актуальных проблем современности, которая возникает из-за технического прогресса, является защита персональных данных. Так персональные данные каждого гражданина Российской Федерации находятся под защитой законодательства, но для комфортной жизни необходимо их предоставлять организациям, с которыми взаимодействуют граждане. Одними из важных вопросов, которые связаны с защитой данных являются:

как предупредить распространение информации о персональных данных или самих персональных данных;

какие мероприятия позволяют обеспечивать защиту персональных данных.

Для ответа на подобные вопросы необходимо определится с понятиями.

Персональные данные – это любая информация о физическом лице. К такой информации можно отнести, например [1]:

ФИО;

место и дата рождения;

место проживания и регистрации;

социальное, имущественное и семейное положение;

профессия;

образование;

доход

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства Российской Федерации относительно хранения, обработки и передачи персональных данных граждан [1].

Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных [1].

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных [1].

Информационная система персональных данных (далее ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств [1].

Главной задачей при работе с персональными данными в ИСПДн является их защита. Обеспечение защиты данных имеет юридическую силу, а именно закреплено в законодательной базе. Также определенные органы государственной власти уполномочены осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона "О персональных данных". Согласно ему установлены три регулятора [1]:

Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций);

ФСБ (Федеральная служба безопасности Российской Федерации);

ФСТЭК России (Федеральная служба по техническому и экспортному контролю).

Целью российского законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Органы, отвечающие за обеспечение защиты данных на уровне законодательства, имеют определенный функциональный набор, так ФСБ обеспечивает требования в области криптографии, Роскомнадзор – защиту прав субъектов персональных данных, и ФСТЭК России – требования по защите информации от несанкционированного доступа и утечки по техническим каналам.

Регулирование защиты данных необходимо на законодательном уровне, потому что при их утечке может пострадать объект информации.

Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на конфиденциальность персональных данных. Возможен вариант, что при оформлении дисконтной карты в магазине покупателю необходимо для ее получения указать такие сведения: фамилию, номер телефона, электронный адрес, а затем получает сообщения и письма, иногда даже звонки оператора, совершенно из других магазинов, в которых даже никогда не бывал. То есть магазин без согласия покупателя передал его данные третьим лицам. Кроме того некоторые магазины, кафе, салоны запрашивают для такой карты паспортные данные, что тоже должно сопровождаться обеспечением безопасности конфиденциальных данных, потому что посетитель не знает, как используются его данные. Еще примерами может послужить печать ФИО и суммы выигрыша победителей лотереи в газете без их ведома, или ТСЖ вывешивает на подъезде списки должников и сумму их долга – это примеры утечек, которые не повлекут за собой серьезные последствия из-за предоставления информации третьим лицам.

Стоит отметить, что кража персональных данных может нанести правообладателю, как несерьезный, так и ощутимый материальный ущерб, если в качестве утечки для последнего рассматривать кредитные карты или информацию о сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить пользователя показать свою личную информацию (фишинг), также возможно подделать сайт почтового клиента, для получения доступа к персональным письмам, в которых могут храниться персональные данные. На самом деле зачастую даже трудно установить источник утечки вследствие высокой информатизации современного общества [2].

Такие примеры показывают необходимость в защите данных. На сегодняшний день безопасность данных означает их конфиденциальность, целостность и подлинность. Критерии безопасности могут быть определены следующим образом.

Целостность информации предполагает ее неизменность в процессе передачи от отправителя к получателю. Под обеспечением целостности информации понимается достижение идентичности отправляемых и принимаемых данных.

Конфиденциальность данных предполагает их доступность только для тех лиц, которые имеют на это соответствующие полномочия. Под обеспечением конфиденциальности информации понимается создание таких условий, при которых понять содержание передаваемых данных может только законный получатель, кому и предназначена данная информация.

Подлинность информации предполагает соответствие этой информации ее явному описанию и содержанию, в частности, соответствие действительным характеристикам указанными отправителем, времени отправления и содержания. Обеспечение подлинности информации, реализуемое на основе аутентификации, состоит в достоверном установлении отправителя, а также защите информации от изменения при ее передаче от отправителя к получателю. Своевременно обнаруженное нарушение подлинности и целостности полученного сообщения позволяет предотвратить отрицательные последствия, связанные с дальнейшим ис­пользованием такого искаженного сообщения.

Большинство средств защиты информации базируется на использовании криптографических шифров и процедур шифрования (расшифрования).

Для обеспечения безопасности персональных данных необходимо поддерживать три основные функции [3]:

защиту конфиденциальности передаваемых или хранимых в памяти данных;

подтверждение целостности и подлинности данных;

аутентификацию абонентов при входе в систему и при установлении соединения.

Для реализации указанных функций используются криптографические технологии шифрования, цифровой подписи и аутентификации.

Конфиденциальность обеспечивается с помощью, например, алгоритмов и методов симметричного и асимметричного шифрования, а также путем взаимной аутентификации абонентов на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт.

Целостность и подлинность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на односторонних функциях и асимметричных методах шифрования.

Аутентификация разрешает устанавливать соединения только между легальными пользователями и предотвращает доступ к средствам сети нежелательных лиц. Абонентам, доказавшим свою легитимность (аутентичность), представляются разрешенные виды сетевого обслуживания [3].

Таким образом, защита (обеспечение информационной безопасности) персональных данных базируется на российском законодательстве, документах ФСБ, ФСТЭК и  Роскомнадзора, которые должны обеспечивать конфиденциальность, целостность и подлинность данных. Это возможно осуществить с использованием криптографических шифров и процедур шифрования (расшифрования), подтверждения целостности и подлинности данных при работе с ними персональными данными, аутентификацию.

Список литературы:

О персональных данных [Электронный ресурс], режим доступа: http://www.consultant.ru/ document/cons_doc_LAW_61801/

Жунусова, Ч. С. Перспективы развития направления «Прикладная информатика» / Ч. С. Жунусова // Вестник КГАСТА. – 2011. – Т. 2 № 2. – С. 292–298.

Шаньгин, В. Ф. Комплексная защита информации в корпоративных системах [Текст] : учебное пособие для студентов вузов по направлению 230100 "Информатика и вычислительная техника" : допущено Учебно-методическим объединением вузов по университетскому политехническому образованию / В. Ф. Шаньгин. - 2013

Код для цитирования: Скопировать