Защита персональных данных

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

THE PROTECTION OF PERSONAL DATA

Лушников Н.Д., Хасаншин А.И.

Башкирский государственный университет

Уфа, Россия

Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Защита персональных данных граждан Российской Федерации-задача весьма насущная. В случае если персональные данные используются произвольно и становятся доступными лицам, которым они не должны быть известны, гражданам наносится моральный вред и материальный ущерб.

В настоящее время, характеризуемое бурным развитием информационных технологий, на первый план встает вопрос защиты персональных данных при их накоплении, обработке и передаче с использованием средств информатизации. Для регулирования информационных правоотношений в области персональных данных законодателем установлен целый ряд нормативно-правовых актов. Исходя из вышеизложенного, можно сделать вывод, что анализ правового регулирования персональных данных в системе информации довольно актуален, поэтому данная работа направлена на исследование персональных данных, на изучение информационных систем для защиты персональных данных, классификации типовых информационных систем персональных данных, двух основных методов защиты.

Для исследования и изучения данной темы использовались интернет ресурсы и библиографические единицы, связанные с защитой персональных данных и их информационными системами.

Наряду с закрепленными за работодателем обязанностями по обеспечению защиты персональных данных работника ст. 88 ТК РФ регламентирует права работников в этой области.

Условно права работника, направленные на обеспечение защиты его персональных данных, можно разделить на 3 группы:

1) на полную информацию о своих персональных данных и их обработке;

2) требовать устранения недостатков, имеющихся в персональных данных работника;

3) на защиту от неправомерных действий (бездействия) работодателя всеми установленными законом способами.

Право на полную информацию о своих персональных данных и их обработке установлено также в Федеральном законе от 20 февраля 1995 г. «Об информации, информатизации и защите информации». Так, в соответствии с п. 1 ст. 14 указанного Закона работники имеют право на доступ к документированной информации о них, имеют право знать, кто, в каких целях использует или использовал эту информацию. В силу п. 2 ст. 14 Закона работодатель, как владелец документированной информации о работнике, обязан предоставить по его требованию бесплатно информацию в той части, которая касается непосредственно самого работника.

Право отдельной категории работников на полную информацию, составляющую их персональные данные, устанавливается также федеральными законами, указами Президента РФ, постановлениями Правительства РФ. Так, в соответствии с п. 9 Указа Президента РФ от 15 мая 1997 г. «О предоставлении лицами, замещающими государственные должности Российской Федерации, и лицами, замещающими государственные должности государственной службы и должности в органах местного самоуправления, сведений о доходах и имуществе» право знакомиться со всеми материалами своего личного дела и давать в письменном виде объяснение по указанным материалам, которое должно быть приобщено к личному делу, принадлежит лицам, замещающим государственные должности РФ.

Федеральный закон «О персональных данных» (№152-ФЗ), подписанный Президентом РФ в июле 2006 г., вступил в силу в январе 2007 г., однако основные нормативные документы, детализирующие его применение, и орган, контролирующий выполнение закона, появились только в 2007-8 гг. Кроме того, в 2008 г. в Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) было создано Управление по защите прав субъектов персональных данных в Российской Федерации. В его состав включено три отдела: отдел организации ведения реестра операторов, осуществляющих обработку персональных данных (ПД), отдел организации контроля и надзора за соответствием обработки ПД и отдел анализа и методологического обеспечения в области ПД. Дополнительно организованы специальные отделы в 78 территориальных органах Россвязькомнадзора.

Ранее принятые законы «Об информации, информационных технологиях и защите информации» (№149-ФЗ от 27 июля 2006 г.), «О коммерческой тайне» (№98-ФЗ от 29 июля 2004 г.), а также Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (№781 от 17 ноября 2007 г.) и совместный Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» (№55/86/20 от 13.02.2008) образуют нормативную базу для построения систем защиты ПД.

Информационная система персональных данных (ИСПД) - это совокупность программных и технических средств на которых обрабатываются персональные данные.. В зависимости от последствий нарушений заданной характеристики безопасности ПД, типовой ИС присваивается один из классов:

* класс 1 -- ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД;

* класс 2 -- ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД;

* класс 3 -- ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД;

* класс 4 -- ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД.

Для ИСПДн класса 1 и 2 обязательна сертификация (аттестация), для 3 класса - декларирование соответствия, для 4 класса оценка проводится по решению оператора ПД. Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

* оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);

* экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);

* определение актуальных угроз (путем исключения неактуальных угроз по определенному алгоритму).

Инструментальный анализ защищенности ИСПДн включает анализ средств защиты информации: шлюзов VPN, антивирусных средств защиты, средств обнаружения атак IDP/IPS, межсетевых экранов и систем защиты от утечки конфиденциальной информации. Дополнительно проводится анализ безопасности сетевой инфраструктуры: коммутаторов, маршрутизаторов, сетей SAN и WLAN. Тест на проникновение позволяет получить независимую оценку безопасности ИСПДн по отношению к внешнему нарушителю.

Как правило, с технической точки зрения методы защиты можно разделить на две группы. К первой относится шифрование данных, когда конфиденциальная информация хранится в защищенной области, а доступ к ней жестко контролируется самими пользователями. Практика показывает, что в большинстве случаев этот метод себя оправдывает. Однако утечки данных могут происходить по вполне «легальным» каналам - например, при участии пользователей, имеющих права доступа к такой информации. В связи с этим получил распространение второй метод защиты - решения для предотвращения потери данных (Data Loss Prevention, DLP), которые позволяют осуществлять контроль за каналами передачи данных и информировать службу безопасности или блокировать передачу в случае обнаружения нарушений политики безопасности. Естественно, наиболее эффективно сочетание обоих методов.

Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия персональных данных и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами персональных данных являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах. Государство возложило на операторов персональных данных определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор персональных данных обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах персональных данных. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно методических документах. Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности.

защита персональные данные информация

Список использованной литературы

1. Трудовой кодекс Российской Федерации: ФЗ от 30.12. 2001 г. № 197.- М.: ОТиСС, 2002. - 142 с.

2. Городов О.А. Информационное право. - М.: Проспект, 2009 г.

3. Бачило И.Л. Информационное право. - М.: Высшее образование, 2009 г.

4. Лютов Н.Л. Защита персональных данных: международные стандарты и внутреннее российское законодательство - М.: «Трудовое право», № 8, 2010 г.

5. Шалыгина Л.С. Нормативно-правовое регулирование работы с информационными системами и персональными данными. - М.: «Медицинское право», № 2, 2010 г.

6. Е.В. Бурцева, И.П. Рак, А.В. Селезнев, А.В. Терехов, В.Н. Чернышов. Информационные системы. - Тамбов: ТГТУ, 2009.

7. http://www.osp.ru/lan/2008/12/5808691/

Размещено на Allbest.ru