Научная исследовательская работа по защите персональных данных. Защита персональных данных. X. дополнительные сведения

Телевизоры

Глава 1. Конституционно-правовое регулирование персональных данных

1. Конституционная защита персональных данных.

2. Юридическая ответственность за нарушение норм о персональных данных.

3. Систематизация законодательства о персональных данных.

Глава 2. Обеспечение информационных процессов в сфере персональных данных

1. Регулирование порядка автоматизированного сбора и обработки персональных данных.

2. Технико-правовое обеспечение накопления и хранения персональных данных.

3. Распространение персональных данных.

Введение диссертации (часть автореферата) на тему «Защита персональных данных»

Актуальность темы исследования. Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей «персональные данные».

Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.

Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.

Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации»1, а также Федеis ральный закон «Об участии в международном информационном обмене» . Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.

Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном анализе и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера.

Оценка возможностей законодательства по оказанию позитивного воздействия на состояние системы обеспечения защиты персональных данных до настоящего времени юридической наукой практически не исследовалась, хотя, по мнению автора, здесь открываются довольно широкие возможности.

1 СЗ РФ, 20.02.95, №8, ст.609.

2 СЗ РФ, 08.07.1996, №28, ст.3347.

Исходя из вышеизложенного, исследование в данном направлении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.

Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема защиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных работ, посвященных информационной безопасности, защите информации лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации.

В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.

Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В.А. Копыловым, В.Н. Лопатиным, В.А. Пожилых, М.М. Рассо-ловым, А.А. Фатьяновым, М.А. Федотовым, О.А. Федотовой, С.Г. Чубуко-вой, А.А. Шиверским, В.Д. Элькиным и др.

Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л. Балыбердина, М.А. Вуса, В.А. Герасименко, А.А. Грушо, С.В. Дворянкина, П.Д. Зегжды, Е.В. Касперского, В.Д. Курушина, А.А. Малюка, В.А. Минаева, В.Е. Потанина, В.Н. Саблина, С.В. Скрыля, А.П. Фисуна и ряда других ученых.

Вместе с тем, проблемы совершенствования защиты персональных данных предметом отдельного монографического исследования до сего времени не становились.

Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения, складывающиеся в процессе правового регулирования обеспечения защиты персональных данных.

Предметом исследования выступает совокупность правовых норм, регулирующих отношения в информационной сфере и, в частности, совокупность норм законодательства по обеспечению конфиденциальности персональных данных.

Цель и задачи исследования. Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.

В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи:

1) рассмотреть актуальные проблемы конституционно-правового регулирования персональных данных на современном этапе;

2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить рекомендации по их реализации и совершенствованию с учетом имеющегося международного опыта;

3) исследовать проблемы систематизации законодательства о персональных данных, учитывая как действующие законы, так и существующие проекты и предложения;

4) изучить технический опыт и нормативно-правовые акты, по регулированию порядка автоматизированного сбора и обработки персональных данных;

5) исследовать проблемы технико-правового обеспечения накопления и хранения персональных данных;

6) раскрыть с позиции имеющихся современных возможностей процесс распространения персональных данных для разработки рекомендаций и совершенствования норм по их защите.

Методологическая и источниковедческая основы исследования. Методологическую основу исследования составляет диалектический метод познания, исторический, системный, комплексный, целевой подходы к изучаемой проблеме, а также специальные методы познания: формальнологический, формально-юридический, сравнительно-правовой, а также методы абстрагирования, аналогии и моделирования.

В ходе работы автором диссертации проанализированы следующие источники: Конституция Российской Федерации, международные правовые акты, административное, гражданское, уголовное законодательство, подзаконные акты федерального уровня, а также иной юридический и технический материал.

Положения, выносимые на защиту:

1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктриналь-ного понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».

2. Разработанный автором исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и гражданина, не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.

3. Обоснование положения о том, что нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.

4. Вывод о том, что защита конфиденциальной информации персо- . нального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.

5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления: «Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ», а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций.

6. Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.

7. Рекомендации по урегулированию порядка распространения персональных данных, учитывая происходящий в обществе процесс информатизации. В этой связи особое внимание уделено возрастающей популярности глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.

Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персональных данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной важной для общества и государства области общественных отношений.

Теоретическая и практическая значимость результатов исследования. В соответствии с поставленными целью и задачами все выводы и положения, являющиеся результатом проведенного исследования, подчинены идее использования их при разработке нового и совершенствовании действующего законодательства и построения эффективной системы обеспечения защиты персональных данных.

Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые могут быть использованы при отработке понятийного аппарата нормативно-правовых актов в сфере защиты персональных данных.

Автором предлагается изложить в новой редакции два действующих состава КоАП РФ и УК РФ, дополнить составом главу 28 УК РФ, а также внести некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ и иные федеральные законы, что в комплексе позволит определенным образом повысить уровень обеспечения защиты персональных данных с помощью юридических санкций. Помимо этого предложены нормативно-правовые акты в целях систематизации законодательства о сведениях персонального характера.

Теоретические и практические выводы диссертационного исследования, его содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.

Эмпирическую базу исследования составили анализ изучения результатов анкетирования 120 сотрудников правоохранительных органов из двадцати субъектов России, из которых три республики, три края, тринадцать областей и один город федерального значения (г. Москва), а также результаты изучения 50 материалов гражданских дел, затрагивающих сферу частной жизни.

Апробация работы и внедрение результатов исследования. Основные положения диссертации докладывались и обсуждались на кафедре конституционного и административного права Воронежского института МВД России, на практических занятиях с адъюнктами очной формы обучения, на IV Всероссийской научно-практической конференции «Охрана, безопасность и связь» (г. Воронеж, 2003 г.), на Всероссийской научно-практической конференции курсантов, адъюнктов и слушателей «Современные проблемы борьбы с преступностью» (г. Воронеж, 2004 г.).

Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 п.л. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.

Структура диссертации. Диссертация состоит из введения, двух глав (включающих 6 параграфов), заключения, списка использованной литературы и приложения.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

  • Конституционно-правовое регулирование личной и семейной тайны в Российской Федерации 2010 год, кандидат юридических наук Пашаев, Станислав Юрьевич

  • 2010 год, кандидат юридических наук Волков, Олег Юрьевич

  • Институциональное развитие правового обеспечения информационной безопасности в российском информационном праве 2012 год, кандидат юридических наук Андреев, Павел Геннадьевич

  • Правовые основы оборота информации с ограниченным доступом (конфиденциальной информации) в Российской Федерации 2008 год, кандидат юридических наук Семашко, Александр Викторович

  • Организационно-правовая защита персональных данных в служебных и трудовых отношениях 2006 год, кандидат юридических наук Маркевич, Анна Сергеевна

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Просветова, Ольга Борисовна

Обобщая ранее изложенное, отметим основные выводы по диссертации.

1. В настоящее время в России нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.

2. Защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.

Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.

3. В совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства, однако, уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня.

Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения.

Следует констатировать, что имеющиеся недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.

В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере защиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.

4. Имеющиеся в нормативно-правовых актах определения информационных процессов свидетельствуют, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, т.е. понятия информационных процессов не соотносятся друг с другом.

В контексте рассматриваемого положения приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах (особенно если используются автоматизированные системы). И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации» к категории конфиденциальной информации.

Следуя изложенному, в представленном исследовании предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Данное определение, по мнению автора, должно быть включено как в действующие федеральные законы, так и в проекты законов, призванных регулировать сферу персональных данных.

5. В государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.

6. Исходя из того, что распространение конфиденциальной информации персонального характера представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.

В этой связи автор предлагает раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Для полного, всестороннего и объективного понимания проблемы урегулированности распространения персональных данных, предлагается рассматривать ее с позиции определения способов распространения. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В связи с этим особую озабоченность вызывает возрастающая популярность глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.

7. Учитывая пробелы правового регулирования Интернета, они должны быть устранены в новом информационном законодательстве. Наряду с законом, регулирующим государственную политику в Сети, следует принять рамочный закон об Интернете. В нем, как считает автор, необходимо: 1) отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий; 2) закрепить наиболее важные принципы «сетевых отношений»; 3) отразить специфику субъектного состава сетевых отношений; 4) установить правила информационного обмена в сети Интернет; 5) сформулировать ответственность участников сетевых отношений за нарушение закрепленных норм, а также предусмотреть способы доказывания и особенности рассмотрения «сетевых споров»; установить пределы ответственности каждого участника сетевых отношений.

В завершении хотелось бы отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества.

Список литературы диссертационного исследования кандидат юридических наук Просветова, Ольга Борисовна, 2005 год

1. Конституция Российской Федерации М.: «Проспект», 2000. - 48с.

2. Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.

3. Европейская конвенция о защите прав человека и основных свобод // Собрание законодательства РФ, 2001, 8 января, №2, ст. 163.

4. Конвенция о правах ребенка // Издание Организации Объединенных Наций Нью-Йорк, 1992.

5. Международный пакт о гражданских и политических правах // Ведомости Верховного Совета СССР, 1976, № 17(1831), ст. 291.

6. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 17.12.1999) // Собрание законодательства РФ, 29.01.1996, №5, ст. 410.

7. Кодекс об административных правонарушениях. Кодексы Российской Федерации: Выпуск 2. М.: МНФРА - М, 2002. - 283с.

9. Семейный кодекс Российской Федерации. М.: Ассоциация авторов и издателей «ТАНДЕМ». Издательство «ЭКМОС», 2002. 96 с.

10. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ // СЗ РФ от 7 января 2002 г. № 1 (часть I) ст. 3.

11. Уголовный кодекс РФ от 13 июня 1996 г. № 63-Ф3 // СЗ РФ от 17 июня 1996 г. № 25 ст. 2954.

12. Уголовно-процессуальный кодекс Российской Федерации // Российская газета, 2001,22 декабря.

13. Доктрина информационной безопасности Российской Федерации» от 9 сентября 2000 г. утв. Президентом РФ № ПР 1895. // Российская газета, №187, от 28 сентября 2000 г.

14. Федеральный закон от 20.02.95 г. №24-ФЗ «Об информации, информатизации и защите информации» // СЗ РФ 20.02.95, №8, ст.609.

15. Федеральный закон РФ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» // СЗ РФ. 1995. № 17. Ст. 1455.

16. Федеральный закон РФ от 12.08.95г. №144-ФЗ (ред. 30.12.99.) «Об оперативно-розыскной деятельности» // СЗ РФ 14.08.95, №33, ст.3349.

17. Федеральный закон от 3.04.95 г. №40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации» // Российская газета. 1995, 12 апреля.

19. Федеральный закон от 9 августа 1995 г. №129 ФЗ «О почтовой связи» // СЗ РФ. 1995, №33, ст.3334.

20. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» // СЗ РФ, 08.07.1996, №28, ст.3347.

21. Федеральный закон от 26.09.97 г. № 125-ФЗ «О свободе совести и о религиозных объединениях» // СЗ РФ, 1997, № 39, ст. 4465.

22. Федеральный закон РФ от 25.07.98 г. №128-ФЗ «О государственной дактилоскопической регистрации в РФ» // Российская газета, 1998, №145.

23. Федеральный закон от 30.03.99 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» // СЗ РФ, 1999, № 14, ст. 1650.

24. Федеральный закон от 18.06.01 г. № 77-ФЗ «О предупреждении распространения туберкулеза в Российской Федерации» // СЗ РФ, 2001, № 26, ст. 2581.

25. Федеральный закон от 25.04.02 г. № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств» // СЗ РФ от 6 мая 2002 г., № 18, ст. 1720.

26. Федеральный закон от 10.01.03 г. № 20-ФЗ «О Государственной автоматизированной системе Российской Федерации «Выборы» // СЗ РФ от 13 января 2003 г. № 2 ст. 172.

27. ЗО.Закон Российской Федерации «О милиции» от 18.04.91 г. №1026-1 // Ведомости Съезда народных депутатов и Верховного Совета РСФСР, 18.04.91. №16, ст.503.

28. Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» // Российская газета, 1993, 21 сентября.34.3акон Воронежской области от 13 января 1998 г. № 28-Н-ОЗ «Об информатизации Воронежской области».

29. Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» // СЗ РФ 1997, №10, ст. 1127.

30. Постановление Правительства РФ от 14.03.97 г. № 298 «Об утверждении образцов и описания бланков основных документов, удостоверяющих личность гражданина Российской Федерации за пределами Российской Федерации» // СЗ РФ от 24 марта 1997 г. № 12, ст. 1435.

31. Постановление Администрации Воронежской области от 6 сентября 1999 г. № 886 «О внедрении системы защиты информационных ресурсов Воронежской области».

32. Комментарий к Закону РФ «О средствах массовой информации» М.: Га-лерия, 2001.

33. Комментарий к Закону Российской Федерации «О милиции» / Ю.П. Соловей, В.В. Черников. Издание второе, переработанное и дополненное. М.: «Проспект», 2001.

34. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В. М. Лебедев. М., 2001.

35. Комментарий к «Закону о СМИ». Под ред. В.Н. Монахова. М., 2001.

36. Комментарий к Налоговому кодексу Российской Федерации для торговых организаций / М.Ю. Ракитина, O.JI. Арутюнова, С.В. Шарова М.: Изда-тельско-консультационная компания «Статус-Кво 97», 2003.

37. Комментарий к Трудовому кодексу Российской Федерации (под ред. К.Н. Гусова) М.: ООО «ТК Велби», ООО «Издательство Проспект», 2003.

38. Комментарий к Гражданскому кодексу Российской Федерации, части второй / Под ред. проф. Т.Е.Абовой и А.Ю.Кабалкина; Ин-т государства и права РАН. М.: Юрайт-Издат; Право и закон, 2003. - 976 с.

39. Научно-практический комментарий к Конституции Российской Федерации / Отв. ред. В.В. Лазарев // Электронная версия для справочной правовой системы «Гарант» по состоянию на 1 октября 2004 г.1. МОНОГРАФИИ И СТАТЬИ

40. Агапов А.Б. Проблемы правовой регламентации информационных отношений в Российской Федерации // Государство и право, 1993, №4. С. 125130.

41. Аносов В.Д., Стрельцов А.А. О доктрине информационной безопасности РФ (проект) // Информационной общество, 1997, № 2, 3.

42. Архипов А.В. Информационная защита объекта- задача многогранная. // Конфидент. №1-2.1999. С.30-31.

43. Бачило И.Л. Правовое регулирование процессов информатизации // Государство и право 1994, №12. С.72-80.

44. Бойко Б.Б. Комплексный подход к обеспечению информационной безопасности. // Межрегиональная конференция «Информационная безопасность регионов России», Санкт-Петербург, 13-15 октября 1999г.: конференции. Части 1и 2. СПб., 1999.- С.38-39.

45. Волков С., Булычев В. Защита деловой репутации от порочащих сведений // Российская юстиция, 2003, №8. С. 51.

46. Волчинская Е.К. О направлениях развития законодательства в сфере обращения информации / Аналитическая записка, 1998, август. С.24-32.

47. Гиляров Е.М., Янина Е.В. Информация как объект правового регулирования //Безопасность информационных технологий. 2001, №3. С.5-10.

48. Гостев И. М. Защита персональных данных и сведений о частной жизни граждан. // Конфидент. № 3. 1999. С. 13.

49. Гросс Г. Украли очень личное // Computerworld, 2003, №35.

50. Жуков И.А., Леонов Т.Е. Комплексная защита информации в сетях передачи данных органов внутренних дел / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. М., 1998. С. 112-119.

51. Калятин В.О. Персональные данные в Интернете // Журнал российского права, 2002, №5. С. 12.

52. Кирин В.И. Зарубежный опыт законодательной практики использования технических средств / Компьютерные технологии и управление органами внутренних дел. Труды Академии управления. М., 2000. С.181-187.

53. Климова Ю. Как пресечь распространение компромата в виртуальном мире // Российская юстиция, 2001, № 12. С. 48-50.

54. Копылов А.В. Защита информации в помещениях и технических каналах горрайорганов внутренних дел / Организационно-технические, математические и правовые аспекты информации деятельности органов внутренних дел. Труды Академии управления. М., 2001. С.49-57.

55. Костенко М.Ю. Налоговая тайна и другие виды конфиденциальной информации // Ваш налоговый адвокат, 2001, №2.

56. Крылов В. В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. № 3.

57. Маршани М.Б. Имеет ли право врач разглашать наши тайны // Безопасность информационных технологий. 2001, №3. С.52-54.

58. Погуляева Е. Не болтай! // «эж-ЮРИСТ», 2003, № 43.

59. Полупанов В. Чем лечат это секрет // Аргументы и факты, 2002, №7. С.24.

60. Сабынин В.Н. Организация работ по обеспечению безопасности информации в фирме// Информост. 2001, №18. С.56-58.

61. Степанов О.А. Сущность юридического режима регулирования информационно-электронных отношений в Российской Федерации / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. - М., 1998. С.50-59.

62. Степанюк Л. Какие гарантии защиты персональных данных работников установлены ТК РФ? // Финансовая газета. Региональный выпуск, 2003, №37.

63. Тибенко К.А. Некоторые аспекты правового обеспечения информационной безопасности // Безопасность информационных технологий. 2001, №3. С.63-69.

64. Фатьянов А.А. Тайна и право (основные системы ограничения на доступ к информации в российском праве): Монография. - М.: МИФИ, 1999. 288 с.

65. Французова Л. Личные данные работников // Кадровое дело, 2003, № 4.

66. Ходорыч А. Расколотая база // Коммерсант деньги. 2001, №7. С. 13-20.

67. Ходорыч А. «На каждый роток не накинешь платок» // Коммерсант деньги. 2001, №7. С.21.

68. Чекулаев Р.А. Обеспечение информационной безопасности как новая функция частных охранных и сыскных структур // Безопасность информационных технологий. 2001, №3. С.76-79.

69. Шляхтина С. Интернет в цифрах и фактах (http://www/compress.ru/Article.asp.id=4205).

70. УЧЕБНИКИ, УЧЕБНЫЕ ПОСОБИЯ, ЛЕКЦИИ, ДИССЕРТАЦИИ,1. АВТОРЕФЕРАТЫ

71. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. М., 1999.

72. Бачило И.Л., Лопатин В.Н. Федотов М.А. Информационное право: Учебник / Под ред. акад. РАН Б.Н. Топорнина. СПб.: Издательский центр Пресс, 2001.789 с.

73. Бородин С.В. Постатейный Комментарий к Уголовному кодексу РФ 1996г. / Под ред. А.В. Наумова М.: «Гардарика», Фонд «Правовая культура», 1996.

74. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. Н.Г. Шурухнова. М.: Книжный мир, 2001. 88 с.

75. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М.: МИФИ, 1995. 96 с.

76. Герасименко В.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997. 537с.

77. Гомьен Д., Харрис Д., Зваак JI. Европейская конвенция о правах человека и Европейская социальная хартия: право и практика». М., 1998.

78. Грачев Г.В. Информационно-психологическая безопасность личности: состояние, возможности психологической защиты. М.: Изд. РАГС, 1998. 125с.

79. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. Серия «Информатизация России на пороге 21 века».- М.: СИНТЕГ, 1999. 232 с.

80. Домарев В.В. Защита информации и безопасность компьютерных систем. Киев: Издат-во: ДиаСофт. 1999. 480с.

81. Карелина М.М. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В.М. Лебедев. М.: Юрайт-М, 2001.

82. Ковалев В.И. Комментарий к Трудовому кодексу Российской Федерации о материальной ответственности работников М.: За право военнослужащих, 2003.

83. Компьютерные террористы: Новейшие технологии на службе преступного мира. / Автор-составитель Т.И. Ревяко. Мн.: Литература, 1997. -640с.

84. Кондратьева C.J1. Юридическая ответственность: соотношение норм материального и процессуального права. Дисс. . канд. юрид. наук. М., 1998. 187 с.

85. Копылов В.А. Информационное право: Учебное пособие. М.: Юристъ, 1997. 472 с.

86. Костюк В.Д. Нематериальные блага. Защита чести, достоинства и деловой репутации. М., 2002.

87. Котов Б.А. Юридический справочник руководителя. Тайна. - М.: «Издательство ПРИОР», 1999. 128с.

88. Крапивин О.М., Власов В.И. Работодатель: права и обязанности / Под общ. ред. профессора С.И. Шкуро. М.: Норма, 2004. 400 с.

89. Лопатин В.Н. Информационная безопасность в системе государственного управления (теоретическме и организационно-правовые проблемы). Дисс. . канд. юрид. наук. СПб., 1997. 193с.

90. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности Российской Федерации (проект). - М.: Издание Государственной Думы, 1998. 159с.

91. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / Санкт-Петербургский университет МВД России. - СПб., 2000. 428 с.

92. Лопатин В.Н. Правовые основы информационной безопасности: Курс лекций, М.: МИФИ, 2000. 355 с.

93. Люшер Ф. Конституционная защита прав и свобод личности. М., 1993.

94. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информацию в автоматизированных системах. М.: Горячая линия-Телеком, 2001. - 148с.

95. Матвеева А.А. Преступления в сфере компьютерной информации. / Курс уголовного права. Том 4. Особенная часть / Под ред. доктора юридических наук, профессора Г.Н. Борзенкова и доктора юридических наук, профессора B.C. Комиссарова. М., 2002. 543 с.

96. Мелик-Гайказян И.В. Информационные процессы и реальность. М., 1997.

97. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика. 1997. 368с.

98. Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции: Учебное пособие. М.: МИФИ, 1995. 112 с.

99. Наумов В.Б. Право в Интернете: Очерки теории и практики. М.: Книжный дом «Университет», 2002. 135 с.

100. Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка: 80 000 слов и фразеологических выражений / Российская академия наук. Институт русского языка им. В.В. Виноградова. 4-е издание, дополненное. М.: Азбуковник, 1999. 944 с.

101. Организация и современные методы защиты информации (под общей редакцией Диева С.А., Шаваева А.Г.)- М., Концерн «Банковский Деловой Центр». 1998. 472с.

102. Осипенко A.JI. Борьба с преступностью в глобальных компьютерных сетях: Международный опыт: Монография. М., 2004. 432 с.

103. Основы информационной безопасности: Учебник / В.А. Минаев, С.В. Скрыль, А.П. Фисун, В.Е. Потанин, С.В. Дворянкин. Воронеж: Воронежский институт МВД России, 2000. - 464с.

104. Пожилых В.А. Организационно-правовые особенности защиты информации в автоматизированных информационных системах органов внутренних дел. Автореф. дисс. . канд. юрид. наук. Воронеж, 2003. 21 с.

105. Право и информационная безопасность // Под общ. ред. доктора юрид. наук, профессора Е. Н. Щендригина. В 2-х кн. Кн.1. Орел: ОрЮи МВД РФ, 2000. 143.

106. Преступления в сфере компьютерной информации: Квалификация и доказывание: Учебное пособие / Под ред. Ю. В. Гаврилина. М., 2003.

107. Расследование неправомерного доступа к компьютерной информации / Под ред. Н. Г. Шурухнова. М., 1999.

108. Рассолов М.М. Информационное право: Учебное пособие. М.: Юристъ, 1999. 400с.

109. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М., 2003.

110. Симкин JI.C. Программы для ЭВМ: правовая охрана (правовые средства против компьютерного пиратства). - М.: издательство «Городец», 1998. 208с.

111. Смолькова И. В. Тайна: понятие, виды, правовая защита: Юридический терминологический словарь - комментарий. М., 1998. 79с.

112. Снытников А.А., Туманов JI.B. Обеспечение и защита права на информацию. М.: Городец - издат, 2001. 344с.

113. Стельмах Н.Н. Практическое пособие по налогообложению доходов индивидуальных предпринимателей. -М.: «Статус-Кво 97», 2002.

114. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. -М.: ИНФРА-М, 2001. 304с.

115. Фатьянов А. А. Правовое обеспечение безопасности информации. Дисс. док. юрид. наук. -М., 1999. 503 с.

116. Фатьянов А.А. Правовое обеспечение безопасности информации в РФ. Учебное пособие. -М., 2001. 412 с.

117. Фисун А.П., Касилов А.Н. Мешков А.Г. Информатика и информационная безопасность: Учебное пособие. // Под общей редакцией к.т.н., доцента Фисуна А.П. Орел: ОГУ, 1999. 282с.

118. Федотова О.А. Административная ответственность в сфере обеспечения информационной безопасности. Дисс. . канд. юрид. наук. - М., 2003. 195 с.

119. Черешкин Д.С., Антопольский А.Б. Кононов А.А., Смолян Г.Л., Цы-гичко В.Н. Защита информационных ресурсов в условиях развития мировых открытых сетей. М., 1997. 75с.

120. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики) Учебное пособие / Под ред. доктора юридических наук, профессора М.М. Рассолова. М., 2004. 252 с.

121. Шиверский А.А. Защита информации: проблемы теории и практики. -М.: Юристъ, 1996. 112с.

122. Шевердяев С. Информационные отношения и система информационного законодательства. М., 1999.

123. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. М.: Финансы и статистика. 1985. 224с.

124. Энтин М.Л. Международные гарантии прав человека. Опыт Совета Европы. М., 1997.

125. Эределевский A.M. Моральный вред и компенсация за страдания. М. БЕК. 1997.

126. Grande С. Plan to fight moves on long-term eOmail records//Financial Times. 2001.29 June.

127. Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 21-22.

128. Regulation of Investigatory Powers Act 2000.

129. See Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 8, 24.

130. Tareg al Baho v. Marc Fermigier, Hans Hermann, and Francoise Vireux, Tribunal Correctionnel de Paris, 2000.

131. The Washington Post Company: http://www.newsbvtes.eom/news/01/166216.html; BBC: http://news.bbc.co.uk/hi/english/world/europe/newsid 1325000/1325186.stm.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обеспечение защиты информации и персональных данных является одним из приоритетных направлений и важнейшей задачей в обеспечении информационной безопасности любой организации. Невозможно представить деятельность организации без обработки информации о человеке. В них хранятся и обрабатываются данные о членах органов управления и сотрудниках, партнерах, об акционерах (АО) и о лицах, посещающих организацию. Все это является персональными данными (ПДн).

Нарушение конфиденциальности в обеспечении сохранности базы персональных данных организации может стать серьезным инцидентом в обеспечении информационной безопасности, который может привести к невосполнимому ущербу и к многочисленным рискам. Это прежде всего финансовые риски, связанные с затратами на принятие срочных мер по устранению данной проблемы (проведение расследования, организация мероприятий по ликвидации данной проблемы), потеря репутации организации, а порой и полная остановка деятельности.

Именно необходимость обеспечения безопасности персональных данных в настоящее время стала объективной реальностью. Эта необходимость вызвана быстрым развитием современных информационных технологий, средств электронной коммерции и электронного информационного обмена между партнерами по бизнесу, свободного доступа к средствам массовых коммуникаций, возможностью копирования и распространения информации.

Организации, обрабатывающие персональные данные, принимали меры по их защите, исходя из собственных представлений, закрепленных во внутренней политике информационной безопасности. Сейчас ситуация изменилась. В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции № 261-ФЗ от 25.07.2011), существенно возросли требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.

Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 установлены требования к защите персональных данных при их обработке в информационных системах, определяющие классификацию информационных систем по видам обрабатываемых данных, классификацию угроз для разных видов систем, а также необходимые уровни защищенности для каждого из видов таких систем. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России.

Согласно Федеральному закону №152 «О персональных данных» персональные данные являются информацией ограниченного доступа. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

При несоблюдении положений закона 152-Федеральному закон «О персональных данных» предусматривается гражданская, уголовная, административная, а так же дисциплинарная и другие виды ответственности. В отдельных случаях, предусмотренных законом, может быть приостановлена деятельность организации или отозвана лицензия. Это одна из причин того, что защита персональных данных является неотъемлемой частью успешного функционирования любого предприятия.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Защита персональных данных

Введение

Почему необходимо защищать персональные данные?

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника - в средство мщения, в руках инсайдера - товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.

Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.

Защита персональных данных - это требование бизнеса

Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?..

Защита персональных данных - это требование законодательства

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

Законодательство

В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.

Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

Каждый из этих актов и документов посвящен отдельным областям и тематикам законодательства и будет раскрываться в дальнейшем по ходу изложения материала. Целью российского законодательства в области ЗПД является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.

шифровальный безопасность персональный данные

Персональные данные

В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Состав и содержание персональных данных определяют операторы ПДн1 в зависимости от целей их обработки. Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.

Отличие российского и международного законодательства США, Великобритания и Канада, так же как и Россия, разработали технические регламенты, которые транслируют положения законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных. В Великобритании в 1998 году был принят «Закон о защите персональных данных» - «Data Protection Act 1998». Его техническая реализация - проект стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012) должен получить статус официального документа в июне 2009. Параллельно с англичанами свою версию стандарта по безопасности ПДн выпустили в США. Проект документа по защите персональных данных для американских государственных структур - «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122) регламентирует выполнение Законов «The Privacy Act of 1974» и «Privacy Protection Act of 1980». Канада выпустила «Privacy Code» - набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).

Канадский, английский и американский стандарты, в отличие от документов российских регуляторов, дают более общие екомендации по обеспечению безопасности ПДн и не предписывают, как конкретно должны защищаться персональные данные. Более того, тот же американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.

Существуют случаи, когда цели, состав и содержание ПДн четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами ПДн и операторами нуждаются в строгой регламентации. При этом в некоторых случаях2 субъект персональных данных обязан предоставлять оператору сведения о себе.

Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные:

· фамилия, имя, отчество;

· дата и место рождения;

· вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет);

· пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);

· дата поездки.

Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся:

· фамилия, имя, отчество;

· дата рождения;

· гражданство;

· номер страхового свидетельства;

· знание иностранных языков;

· данные об образовании (номер, серия дипломов, год окончания);

· данные о приобретенных специальностях

· семейное положение;

· данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения);

· фактическое место проживания;

· контактная информация;

· данные о военной обязанности;

· данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).

К другим нормативным актам, регулирующим отношения в сфере деятельности человека и определяющим цели обработки, состав и содержание ПДн, относятся ФЗ-179 «Трудовой кодекс РФ», ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и т.п.

Какие сведения о сотрудниках государственных организаций собирать и как их обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Своя специфика существует и в различных отраслях экономики.

Определенные рамки обработки персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О кредитных историях», для авиационного транспорта - Воздушный кодекс, для торговых организаций (Интернет-магазинов и т.п.) - Постановление Правительства Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи товаров дистанционным способом», для туристического бизнеса - Постановление Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» и т.п.

Невозможно не упомянуть и ФЗ-143 «Об актах гражданского состояния», в котором государство четко определяет, какие сведения о личности должны собираться, храниться и обрабатываться на протяжении всей его жизни.

Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.

Общедоступные ПДн

Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

· субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;

· персональные данные являются общедоступными;

· персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

· обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;

· обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:

Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:

1. В информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или Российской Федерации в целом.

2. В информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.

3. В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.

Биометрические персональные данные

Биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.

Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения - в системах видеонаблюдения и т.п.

Оператор персональных данных

Согласно Закону №152-ФЗ операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Под обработкой ПДн понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением.

В каких случаях оператор ПДн имеет право не уведомлять Роскомнадзор Оператор вправе осуществлять обработку следующих персональных данных без уведомления уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор):

· относящихся к субъектам ПДн, которых с оператором связывают трудовые отношения;

· полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;

· относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;

· являющихся общедоступными персональными данными;

· включающих в себя только фамилии, имена и отчества субъектов персональных данных;

· необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;

· включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем (далее ИС), а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;

· обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.

При этом бытует ошибочное мнение о том, что в случае, если нет необходимости регистрироваться как оператор ПДн в Роскомнадзоре (а законом такие случаи предусмотрены), то компания не является оператором ПДн и на нее не распространяются обязанности, предусмотренные законодательством. Более того, таким образом компании пытаются оправдать свое бездействие в области обеспечения безопасности ПДн. Если компания не предпринимает никаких усилий по защите персональных данных, это однозначно расценивается как «невыполнение требований российского законодательства».

Обязанности оператора ПДн

Российское законодательство возлагает на операторов ПДн определенные обязанности, основными из которых являются:

1. Обеспечение безопасности обработки персональных данных, что означает обязанность «принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

2. Уведомительный характер обработки персональных данных. В соответствии со статьей 22 Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

3. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.

4. При получении персональных данных (в том числе от третьих лиц) оператор ПДн до начала обработки обязан получить у субъекта этих ПДн письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными).

5. Оператор обязан предоставить субъекту ПДн по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных. Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Более того, оператор ПДн обязан предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПДн являются общедоступными.

6. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ3.

Невыполнение требований законодательства?.. Какие последствия?..

Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Обработка персональных данных

В российском законодательстве определяются основные принципы обработки персональных данных4 . К ним, в частности, относятся:

· Оператор персональных данных определяет цели их обработки в соответствии со своими полномочиями.

· Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки.

· Недопустимо объединять созданные для разных целей персональные данные (например, в одну базу данных).

· Персональные данные подлежат уничтожению по достижении целей (утраты необходимости в) их обработки.

Большое значение в Законе уделено условиям обработки персональных данных5. Так, обработка персональных данных может осуществляться оператором только с письменного согласия субъектов ПДн.

В каких случаях не требуется согласие субъекта ПДн на обработку сведений о нем?

Согласие субъекта ПДн не требуется в следующих случаях:

· обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;

· оператор и субъект ПДн связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;

· бработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;

· обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

· обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;

· осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный. Об этих видах обработки ПДн речь пойдет в следующих разделах статьи.

Жизненный цикл персональных данных

Обработка персональных данных требует создание специального режима, в котором четко определены технология их обработки, порядок и условия существования ПДн на каждом этапе их жизненного цикла. Это предусматривает разработку и внедрение процедур их сбора, приема, учета, регистрации, хранения, использования, уничтожения и т.п. Большое значение при этом имеет срок хранения ПДн, а также наличие системы контроля обработки ПДн на всех этапах их жизненного цикла.

Срок обработки ПДн

Определение сроков обработки ПДн крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».

Анализ технологических процессов обработки ПДн

В своих проектах по защите ПДн специалисты компании «Инфосистемы Джет» большое внимание уделяют учету технологических процессов обработки персональных данных (жизненный цикл ПДн) и получению информации о существующих процедурах обработки ПДн. С этой целью ими проводятся следующие работы:

· анализ документов, определяющих технологические процессы обработки ПДн;

· проведение интервью с сотрудниками заказчика, реализующими процедуры обработки ПДн;

· определение владельца технологического процесса обработки ПДн (соотнесение технологического процесса со структурным подразделением заказчика и используемой ИСПДн);

· определение процедур сбора, приема, учета и регистрации ПДн в информационных системах персональных данных, хранения, обработки, выпуска, копирования и передачи ПДн, их уничтожения и контроля за этими процедурами.

Сроки обработки также определяются на основании других нормативно-правовых актов. Так, требованиями трудового, гражданского, пенсионного законодательства, отраслевых нормативных актов устанавливаются определенные сроки обработки персональных данных. Например, для карточек Т-2 - это 75 лет6 (Постановление Госкомстата № 1), а для сведений о предоставленных абоненту услугах связи - 3 года (Постановление Правительства № 538).

Неавтоматизированная обработка ПДн

Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Согласно данному Постановлению, обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия осуществляются при непосредственном участии человека.

Вопрос разделения неавтоматизированной и автоматизированной обработки у многих организаций вызывает затруднения.

Постановления РФ:

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Исходя из этого, некоторые организации полагают, что всю обработку ПДн можно отнести к неавтоматизированной, поскольку во всех случаях имеется факт «обработки ПДн при непосредственном участии человека». И это является ошибкой. В данном случае неправильно рассматривать эту обработку только как неавтоматизированная. К примеру, если пользователь внес данные в персональный компьютер только для того, чтобы их распечатать, и не сохранял данные на компьютере, то эту обработку можно считать неавтоматизированной. Если пользователь сохранил эти данные в виде файла и хранит их на компьютере, то нужно рассматривать эту обработку ПДн в том числе и как автоматизированную.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой из них должен использоваться отдельный материальный носитель.

Постановление определяет, какая информация должна быть включена в типовые формы документов, включающих персональные данные, условия ведения журналов (реестров, книг), содержащих ПДн (например, необходимых для однократного пропуска субъекта ПДн на территорию оператора), описывает важнейшие этапы жизненного цикла персональных данных, зафиксированных на материальном носителе.

Автоматизированная обработка персональных данных

Для того, чтобы определить, что является «автоматизированной обработкой ПДн», необходимо ввести понятие «автоматизированного файла ПДн», которое означает любой комплекс данных о субъектах ПДн, подвергающийся автоматизированной обработке («Конвенция о защите физических лиц при автоматизированной обработке персональных данных», СЕД №108, от 28 января 1981 г.).

«Автоматизированная обработка ПДн» подразумевает действия с «автоматизированными файлами ПДн», которая включает следующие операции, осуществляемые полностью или частично с помощью средств автоматизации: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.

Обеспечение безопасности персональных данных

В соответствии со статьей 19 Федерального Закона «О персональных данных» оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Обеспечение безопасности ПДн, обрабатываемых в информационных системах персональных данных

В данном разделе рассказывается о требованиях к обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн), которые содержатся в Постановлении Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.

В каких случаях обеспечение безопасности ПДн не требуется?..

Обеспечение безопасности (в данном случае конфиденциальности) в соответствии с российским законодательством не требуется лишь для обезличенных и общедоступных персональных данных.

Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПДн.

Персональные данные могут быть общедоступными только с письменного согласия субъекта ПДн. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.

Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:

· проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

· своевременно обнаруживать факты НСД к персональным данным;

· не допускать воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

· незамедлительно восстанавливать ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

· осуществлять постоянный контроль за обеспечением уровня защищенности ПДн.

Кто должен обеспечивать безопасность ПДн?..

Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПДн при их обработке в ИСПДн.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.

Что такое ИСПДн?

Информационные системы персональных данных представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:

· информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;

· технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации);

· программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);

· средства защиты информации;

· вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приема программ радиовещания и телевидения, электрочасофикации7, средства электронной оргтехники).

Сроки и условия приведения ИСПДн в соответствие с законодательством

Российским законодательством определены сроки и условия приведения ИСПДн в соответствие требованиям по обеспечению безопасности ПДн.

Для информационных систем персональных данных, находившихся в эксплуатации до введения в действие Федерального закона от 27 июля 2006 г. № 152ФЗ «О персональных данных», должна быть обеспечена их доработка, обеспечивающая безопасность ПДн в соответствии с требованиями Законодательства, в срок до 1 января 2010 г.

Для функционирующих ИСПДн доработка (модернизация) систем защиты персональных данных (далее СЗПДн) должна проводиться в случае, если:

· изменился состав или структура самой информационной системы или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);

· изменился состав угроз безопасности ПДн в информационной системе;

· изменился класс ИСПДн.

Для вновь создаваемых или модернизируемых информационных систем деятельность по обеспечению безопасности ПДн является неотъемлемой частью работ по их созданию или модернизации. Производителей приложений, в которых предусмотрена обработка сведений о физических лицах, обязаны реализовывать в своих
разработках требования по безопасности ПДн, предусмотренные российским законодательством.

Компания «Инфосистемы Джет», являясь системным интегратором, осуществляет в своих проектах разработку и внедрение различных вычислительных комплексов и бизнес-приложений. Подобные работы проводятся с учетом требований российского законодательства по обеспечению информационной безопасности, в том числе по защите персональных данных.

Какие ИСПДн существуют?

Персональные данные обрабатываются в массе приложений. Как показал опыт компании «Инфосистемы Джет» по выполнению проектов по ЗПД, их количество может варьироваться от 3 до 5 в малых и средних компаниях, от 30 до 50 - в крупных компаниях. К информационным системам персональных данных могут быть отнесены:

· CRM-системы (данные о клиентах - физических лицах и представителях клиентов - юридических лиц);

· биллинговые системы (данные о клиентах, осуществляющих оплату услуг);

· автоматизированные банковские системы (данные о сотрудниках банка, о клиентах, партнерах и т.п.);

· автоматизированные медицинские системы (данные о пациентах и т.п.);

· Call-центры (данные о клиентах и сотрудниках в зависимости от предназначения call-центра);

· кадровые системы (данные о сотрудниках организации);

· бухгалтерские системы (данные о сотрудниках и клиентах организации);

· системы документооборота (данные о сотрудниках организации, клиентах, партнерах);

· почтовые системы (данные о сотрудниках организации, клиентах, партнерах, заполненные карточки в адресных книгах почтовых систем и т.п.);

· автоматизированные системы бюро пропусков (данные о посетителях).

С точки зрения принадлежности информационные системы могут быть следующих видов: ИСПДн государственных и муниципальных органов, юридических и физических лиц, организующих или осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).

Классификация ИСПДн

Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20, а также на основании нормативно-методических документов регуляторов ФСТЭК и ФСБ.

Классификация информационных систем проводится на этапе создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

Проведение классификации информационных систем включает в себя следующие этапы:

· сбор и анализ исходных данных по информационной системе;

· присвоение ей соответствующего класса;

· его документальное оформление (составление и утверждение руководством организации Актов классификации на конкретные ИСПДн).

При проведении классификации информационной системы учитываются следующие исходные данные:

Таб. 1. Определение класса типовой информационной системы

· объем обрабатываемых персональных данных (количество субъектов ПДн, персональные данные которых обрабатываются в информационной системе - 1, 2, 3)9;

· заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

· структура информационной системы;

· наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

· режим обработки персональных данных;

· режим разграничения прав доступа пользователей информационной системы;

· местонахождение технических средств информационной системы.

Классификация ИСПДн

Практика показала, что существуют определен ные сложности в проведении классификации ИСПДн силами операторов, поскольку для выполнения данной задачи не всегда хватает компетенции собственных специалистов.

Обладая опытом проведения проектов по защите персональных данных, компания «Инфосистемы Джет» сформировала свой подход к проведению данного вида работ. При этом отличительной особенностью является «правильная» классификация ИСПДн, при которой удается в значительной степени минимизировать расходы наших заказчиков на создание системы защиты персональных данных.

В частности, это становится возможным за счет минимизации мест хранения и обработки ПДн, разделения/сегментирования ИС, снижения требований к части сегментов, сокращения числа сотрудников, имеющих доступ к персональным данным, обезличивания части персональных данных, выведения части данных из ИСПДн.

В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее:

· Абстрагирование ПДн - сделать их менее точными, например, путем группирования общих характеристик;

· Скрытие ПДн - удалить всю или часть записи ПДн;

· Замена ПДн - переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;

· Замена данных средним значением - заменить выбранные данные средним значением для группы ПДн;

· Разделение ПДн на части - использование таблиц перекрестных ссылок;

· Маскирование ПДн - замена одних символов в ПДн другими.

По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, ИСПДн подразделяются на типовые и специальные:

· типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;

· специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик их безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

По структуре информационные системы подразделяются:

· на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств (автоматизированные рабочие места);

· на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

· на комплексы автоматизированных рабочих мест и локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям.

По режиму обработки персональных данных в информационной системе ИСПДн подразделяются на однопользовательские и многопользовательские.

По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и с разграничением прав доступа.

Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах РФ, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

Классификация типовых ИСПДн

По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

· класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

· класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

· класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

· класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Класс типовой информационной системы определяется в соответствии с таблицей №1 .

Классификация специальных ИСПДн

Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.

К специальным ИСПДн автоматически относятся:

· информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;

· информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

Составление моделей угроз для специальных ИСПДн

Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:

· типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

· типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

· типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

· типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

· типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

· типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.

На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Что подлежит защите в ИСПДн?

Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.

Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

...

Подобные документы

    Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.

    дипломная работа , добавлен 01.07.2011

    Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.

    дипломная работа , добавлен 23.03.2018

    Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.

    дипломная работа , добавлен 10.06.2011

    Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.

    курсовая работа , добавлен 17.12.2015

    Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа , добавлен 07.10.2016

    Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

    дипломная работа , добавлен 17.11.2012

    Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.

    курсовая работа , добавлен 30.09.2013

    Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.

    презентация , добавлен 15.11.2016

    Классификация информации по уровню доступа к ней: открытая и ограниченного доступа. Понятие о защите информационных систем, использование шифровальных средств. Компетенция уполномоченных федеральных органов власти в области защиты персональных данных.

    реферат , добавлен 13.10.2014

    Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.

Федеральное агентство по образованию
Алтайский государственный университет
Исторический факультет
Кафедра архивоведения и исторической информатики

Правовая защита персональных данных в РФ
(Курсовая работа)

Выполнила студентка
1 курса 194 группы
Никифорова К.А.

________________________

(подпись)

Научный руководитель
к.и.н., ст. преп. Сарафанов Д.Е.
________________________

(подпись)

Работа защищена
«____»___________2010 г.

Оценка _________________

Барнаул 2010

Введение…………………………………………………………………………………...2

Глава 1 Понятие «персональные данные» в отечественном законодательстве и научной литературе…………………………………………………………...…………..6

1.1 Определение понятия «персональные данные» в законодательстве………………6

1.2 Определение понятия «персональные данные» в научной литературе………….13

Глава 2 Защита персональных данных и ответственность за нарушение работы с ними....................................................................................................................................17

1.1 Правовые меры по защите персональных данных...………………………………17

1.2 Ответственность за нарушение работы с персональными данными……….…….24

Заключение ……………………………………………………………………………....28

Список источников и литературы ……………………………………………………....30

Введение

С течением времени у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект на сегодняшний день – это информация. В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.

В виду вышесказанного, законодательными актами, как в России, так и зарубежных стран предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.

Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Ст.2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью» . Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством.

Цель работы заключается в исследовании правовой защиты персональных данных в РФ. Для достижения цели, необходимо решить следующие задачи:

1. на основе анализа научных работ и законодательств изучить содержание понятия «персональные данные»;

2. изучить различные аспекты защиты персональных данных

Историография. “Персональные данные” рассматриваются как информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие . В современном мире к защите этих сведений предъявляют все большие требования, к обеспечению гарантий по их сохранности и неразглашению относятся очень серьезно.

А.Г. Саидов посвятил свой труд вопросам информационной безопасности, правовому регулированию и компонентам системы информационной безопасности государства. Предметом его исследования выступает содержание и значение конституционно-правовых норм, обеспечивающих создание системы информационной безопасности личности, российского общества и государства. Абдулмуталиб Гасанович внес немалый вклад в исследование правовой защиты персональных данных и информационной безопасности в целом. По мнению А.Г.Саидова, главное, чего не хватает российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной (некарательной) направленности . Защита персональных данных – это новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать.

Автор считает необходимым принятие Федерального закона «О неприкосновенности частной жизни», в котором бы устанавливался исчерпывающий перечень случаев ограничении прав в соответствии с конституционными основаниями и решениями Европейского суда по правам человека. По мнению Саидова, государство должно создавать условия для обеспечения защиты персональных данных каждого гражданина Российской Федерации.

В работе В.Я. Ярочкина «Информационная безопасность», персональные данные относятся к тому типу информации, которым необходима правовая защита. Он рассматривает необходимость правовой защиты персональных данных человека и гражданина, доказывает важность сохранности личной информации. Автор перечисляет виды правовых актов, ориентированных на правовую защиту информации, и другие средства, направленные на сокрытие персональных данных . В его работе можно увидеть и угрозы конфиденциальной информации, а также виды таких угроз, приводящие к неправомерному овладению охраняемыми сведениями. В заключении, Владимир Иванович перечислил рекомендации по обеспечению защиты информации.

В целом, можно сказать, что труд В.И. Ярочкина направлен на характеристику и полное описание охраны безопасности персональных данных и других видов конфиденциальной информации.

В исследовании В.В. Полякова и В.А. Мазурова «Проблемы правовой и технической защиты информации» идет речь о создании и применении эффективных методов и средств для обеспечения информационной безопасности. Отдельной важной задачей, исследуемой в этом сборнике, является подготовка специалистов по защите информации .Авторы отмечают, что квалифицированных специалистов по информационной безопасности не хватает. Это связано в значительной степени с большими требованиями, предъявляемыми к ним.

В «Большом справочнике кадровика», автором которого является Н.А.Алимова, рассматриваются проблемы защиты персональных данных работника (на мой взгляд, они относятся к разновидностям персональных данных в целом). Н.А. Алимова, разъясняет, что такое персональные данные работника, для чего они нужны, каким образом они охраняются, какие требования должен выполнять работодатель при обработке данных работника при приеме на работу . В данной работе говориться о том, что порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Н.А. Алимова исследовала в своей работе сами правила передачи персональных данных работника и необходимые для этого требования. Немаловажным аспектом исследования данной темы в работе является порядок привлечения к дисциплинарной ответственности за невыполнение обязанностей и требований по хранению и обеспечению безопасности персональных данных работника, а также формы такой ответственности.

В.А. Мазуров в своем труде «Уголовно-правовые аспекты информационной безопасности» рассматривает понятие и принципы информационной безопасности, основные направления развития законодательства об информации, а также правовое понятие и классификацию охраняемой законом информации. Он выделил различные меры по обеспечению защиты конфиденциальных данных, а также раскрыл определение и классификацию возможных угроз безопасности . Особой частью его работы является исследование и описание уголовно-правовой защиты информации ограниченного доступа. В.А. Мазуров изучает и характеризует объект и предмет преступлений, посягающих на тайну частной жизни. Раскрывает объективную сторону составов преступлений, посягающих на неприкосновенность частной жизни, разъясняет в каком случае наступает правонарушение в сфере информационной защиты, и перечисляет формы ответственности за нарушение тайны о персональных данных, в соответствии со статьями УК РФ.

В целом, можно сказать, что тема, касающаяся персональных данных и их защиты, изучена довольно хорошо и тщательно. В большом количестве работ содержится информация о классификации, охраняемой законом информации, о видах правовых актов, направленных на сохранение безопасности персональных данных, о методах и способах защиты, о типах угроз, о видах ответственности за нарушение работы с персональными данными. Обилие такой информации способствует увеличению степени и качества защиты персональных данных.

Глава 1

Понятие «персональные данные» в отечественном законодательстве и научной литературе.

1.1. Определение понятия «персональные данные» в законодательстве.

В современном мире к защите персональных данных относятся очень серьезно. Нормативные акты, регулирующие обеспечение их сохранности предусмотрены не только национальным законодательством, но и международными актами.

Всеобщая декларация прав человека является одним из важнейших документов в истории человечества. 10 декабря 1948 года Генеральная Ассамблея Организации Объединенных Наций приняла Декларацию.

Статья 12 Всеобщей декларации прав человека 1948 года гласит «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию.Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств» .

Право на уважение к личной и семейной жизни содержится так же и в Конвенции о защите прав человека и основных свобод, в которой так же говориться о том, что «Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц» . Конвенция была принята Советом Европы 4 ноября 1950 года в Риме. Российская Федерация ратифицировала ее, приняв Федеральный закон № 54-ФЗ от 30 марта 1998 г.

Спустя некоторое время закрепление политических прав человека, право неприкосновенности личной жизни было подтверждено Международным пактом о гражданских и политических правах .

Международный пакт о гражданских и политических правах Принят резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года в Нью-Йорке. СССР подписал пакт 18 марта1968 года. Ратифицирован Президиумом Верховного Совета СССР 18 сентября1973 года с заявлением. Ратификационная грамота СССР депонирована Генеральному секретарю ООН 16 октября 1973 года. Вступил в силу для СССР 3 января 1976 года.

Эти международные правовые акты заложили основу создания национальных правовых систем. В Российской Федерации на ряду с международными правовыми актами сохранность персональных данных обеспечивается отечественными нормативными актами.

Во-первых это Конституция РФ . В ее положениях признается не только само право на неприкосновенность личной жизни, личную и семейную тайну (ч.1 ст.23), но и обеспечивающие это право дополнительные гарантии. В соответствии со ст. 2 Конституции «человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства». Таким образом, Российская Федерация не только устанавливает право, но и обязуется защищать его; ставит интересы человека и гражданина на ступень выше, чем интересы государства, общества, либо общественных или коммерческих организаций. Ч.1 ст. 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. И, наконец, согласно ст. 46 каждому гарантируется судебная защита его прав, в том числе в межгосударственных органах.

Конституция Российской Федерации обладает высшей юридической силой, ее прямое действие применяется на территории всей страны, любые законы, применяемые в стране не должны противоречить Конституции. Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются основной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора .

8 июля 2006 года Государственной думой был принят Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных». Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну . Данный закон дает определение понятию «персональные данные», а так же другим основным понятиям, используемым в Федеральном законе. Также, в законе рассматривается его сфера действия, принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора , контроль и надзор за обработкой персональных данных, ответственность за нарушение требований за нарушение настоящего Федерального закона.

Следуя статье 3 Федерального закона, персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

20.02.1995 г. был утвержден Федеральный закон N 24-ФЗ «Об информации, информатизации и защите информации», в котором в ч. 1 ст. 11 было определено, что персональные данные являются конфиденциальной информацией, а ч. 3 этой же статьи предупреждает о наступлении ответственности юридических и физических лиц за нарушение режима защиты, обработки и порядка использования этой информации. Также в этом законе было дано понятие «персональные данные», оно определялось как «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» . В настоящее время данный закон не действует, его заменил Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. N149-ФЗ.

В ст.2 нового закона об информации рассмотрены основные понятия, используемые в данном законе, а в ст. 3 говориться о правовом регулировании отношений, возникающих в сфере информации, информационных технологий и защите информации. В этой статье говориться о том, что ограничения доступа к информации может устанавливаться только федеральным законом. Конкретного понятия персональных данный в этом законе нет, очевидно, потому что был утвержден Федеральный закон «О персональных данных».

В статье 5, ФЗ «Об информации, информационных технологиях и защите информации», сказано: «информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».

Общедоступная информация – это та информация, которую нельзя скрывать от общества. Примером может служить информация о состоянии окружающей среды, о деятельности органов государственной власти и органов местного самоуправления, документы, накапливаемые в открытых фондах библиотек и архивов. Так же в эту категорию можно отнести нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, правовое положение организаций и полномочия государственных органов, органов местного самоуправления.

Информацией ограниченного доступа является информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию, составляющую государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация).

22 октября 2002 года был принят Федеральный Закон N 125-ФЗ «Об архивном деле в Российской Федерации». Этот закон регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда нашей страны и других архивных документов независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства. Данный закон в 3 статье рассматривает такие понятия, как документы по личному составу (отражающие трудовые отношения работника с работодателем), особо ценный документ (документ, который имеет непреходящую культурно-историческую и научную ценность, особую важность для общества и государства и в отношении которого установлен особый режим учета, хранения и использования), уникальный документ (особо ценный документ, не имеющий себе подобных по содержащейся в нем информации и (или) его внешним признакам, невосполнимый при утрате с точки зрения его значения и (или) автографичности) и т.д. Также в этом законе выделяются архивные документы, относящиеся к государственной собственности, а так же муниципальной и частной . В ст. 10 поясняются особенности положения архивных документов, находящихся в собственности Российской Федерации или муниципальных образований. Глава 6 посвящена сфере доступа к архивным документам и их использованию. Пользователь архивными документами имеет право свободно искать и получать для изучения архивные документы. Но существует и ограничение на доступ к архивным документам, которые рассматриваются в 25 статье. В данной статье сказано, что Доступ к архивным документам может быть ограничен в соответствии с международным договором Российской Федерации, законодательством Российской Федерации, а также в соответствии с распоряжением собственника или владельца архивных документов, находящихся в частной собственности, также в данной статье сказано, что ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, устанавливается на срок 75 лет со дня создания указанных документов.

ФЗ РФ “Об оперативно - розыскной деятельности” от 12 августа 1995 № 144-ФЗ предусмотрены ограничения конституционных прав граждан на тайну телефонных переговоров, переписки, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи на основании судебного решения и только при наличии информации о подготовке, совершении или совершенном противоправном деянии либо о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации.

Данный нормативный устанавливает исчерпывающий перечень оперативно - розыскных мероприятий и органов, осуществляющих оперативно - розыскную деятельность. Он разрешает иметь оперативно - технические силы и средства для контроля почтовых отправлений, телеграфных и иных сообщений; прослушивания телефонных переговоров с подключением к стационарной аппаратуре предприятий, учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги связи; снятия информации с технических каналов связи только лишь органам ФСБ и МВД, которые могут предоставлять эти силы и средства на основе специальных соглашений или межведомственных нормативных актов другим органам, осуществляющим оперативно - розыскную деятельность . Но органы (должностные лица), осуществляющие оперативно-розыскную деятельность, при проведении оперативно-розыскных мероприятий должны обеспечивать соблюдение прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну, неприкосновенность жилища и тайну корреспонденции .

Сфера отношений, касающаяся персональных данных работника регулируется гл.14 Трудового кодекса Российской Федерации. Где установлено понятие персональных данных работника, установлен порядок работы с ними и закрепляется ответственность работодателя за нарушение соответствующих норм. В Трудовом кодексе говориться, что персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника .

В Уголовно-процессуальном кодексе Российской Федерации от 5.12.2001 г. также затрагивается сфера персональных данных. В ст. 13 говорится о тайне переписки, телефонных и иных переговоров, почтовых, телеграфных и иных сообщений. В данной статье сказано о том, что наложение ареста на почтовые и телеграфные отправления и их выемка в учреждениях связи, контроль и запись телефонных и иных переговоров могут производиться только на основании судебного решения .

Перечень сведений конфиденциального характера опубликован в Указе Президента РФ от 6.03.97 г. N 188 «Об утверждении перечня сведений конфиденциального характера». К видам конфиденциальной информации можно отнести следующее:

  • Персональные данные - сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • Тайна следствия и судопроизводства - сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации;
  • Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
  • Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
  • Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
  • Сведения о сущности изобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Перечень сведений, отнесенных к государственной тайне опубликован в ст. 5 Закона РФ N 5485 от 21.07.1993 «О государственной тайне». Согласно данному закону к таким сведениям относятся: сведения в военной области; в области экономики, науки и техники; в области внешней политики и экономики; в области разведывательной, контрразведывательной и оперативно-розыскной деятельности. Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с настоящим Законом. В ст. 2 раскрывается понятие государственной тайны – «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». В данном законе также говориться о рассекречивании, защите, распоряжении сведениями, относящихся к государственной тайне.

Федеральный закон Российской Федерации «О коммерческой тайне» рассматривает и регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну. Согласно данному закону «коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных доходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду» . А также рассматриваются понятия режима коммерческой тайны; обладателя такой информации; передачи и предоставления информации, составляющей коммерческую тайну и т.д. В ст. 5 перечислены данные, которые не могут составлять коммерческую тайну. В Федеральном законе «О коммерческой тайне» сказано также и об охране конфиденциальности информации и последствиях невыполнения необходимых мер по охране такой информации.

В Федеральном законе «О кредитных историях» говорится о создании единой системы формирования, хранения и раскрытия информации о добросовестности исполнения заемщиками обязательств перед кредиторами. Нормами закона вводится легальное определение кредитной истории, регламентируется ее состав, порядок формирования, основания хранения и использования кредитных историй, а также круг субъектов данных правоотношений, в состав которых входят: заемщики, бюро кредитных историй, пользователей кредитных историй, Центральный каталог кредитных историй .

2.02.2010 года вышел приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) N 58 об утверждении положения о методах и способах защиты информации в информационных системах персональных данных. Это положение было разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001). Данное положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных. В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

1.2. Определение понятия «персональные данные» в научной литературе

В юридической литературе представлена неоднозначная классификация охраняемой законом информации (сведений).

Так, В.А. Копылов по доступу к информации подразделяет ее на открытую и ограниченного доступа.

К открытой информации он относит информацию как объект гражданских прав (произведения, патенты, авторские свидетельства); массовую информацию; информацию о выборах, референдуме (данные о ходже подготовки выборов, референдуме и результатах голосования); официальные документы (документы принятые органами законодательной, исполнительной и судебной власти, носящие обязательный, рекомендательный или информационный характер); обязательно представляемую (контрольные экземпляры документов, представляемые в органы статистики, регистрационная и другая такого рода информация); научно-юридическую и другую информацию.

К информации ограниченного доступа относится информация, составляющая государственную тайну; ноу-хау, коммерческая тайна, персональные данные (в порядке защиты личной тайны), другая информация ограниченного доступа .

Информация о гражданах (персональные данные), по мнению В.А.Копылова, создается самими гражданами в их повседневной деятельности, в том числе связанной с реализацией прав и свобод (прав на труд, на жилище, на отдых, медицинское обслуживание, социальное страхование, пенсионное обеспечение, на свободу слова и многое другое) и выполнением обязанностей (например, воинской обязанности) и представляется как сведения о себе (персональные данные) разным субъектам .

И.В. Смолькова дает следующую классификацию:

1. Государственная (в том числе военная) тайна.

2. Конфиденциальная информация.

· Личная тайна (в том числе персональные данные)

· Семейная тайна

· Профессиональная тайна

· Коммерческая тайна

На взгляд В.А. Мазурова информацию можно классифицировать следующим образом: информация открытого доступа, ограниченного доступа (конфиденциальная информация (тайна частной жизни, профессиональная тайна, служебная тайна, коммерческая тайна) и государственная тайна) .

Наличие нескольких точек зрения поп поводу классификации информации подтверждает то, что в научно-исследовательской литературе нет единого мнения по вопросам о персональных данных. Они изучаются все глубже и тщательней, что обеспечивает более полные знания об информации ограниченного доступа, а принятие множества законодательных актов, направленных на защиту различных видов тайн, обеспечивают более качественную защиту персональных данных. Но все же создание правовой базы защиты различных видов информации, и персональных данных в частности, находится на стадии становления. Несмотря на то, что число нормативных актов, регулирующих те или иные аспекты различных видов информации, насчитывает большое количество. Нельзя сказать, что правовое обеспечение защиты персональных данных удовлетворяет потребностям современного общества.

Глава 2

Защита персональных данных.

2.1. Защита персональных данных.

Вопрос о необходимости охраны и защиты персональных данных не вызывает сомнений. На данный момент Российское законодательство всеми силами пытается предотвратить нарушение прав граждан государства в сфере персональных данных. Существует масса законов обеспечивающих информационную безопасность, которые обновляются с каждым годом, создавая все большие условия по сохранности конфиденциальности персональных данных. За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности.

Повышению информационной безопасности способствует международное сотрудничество Российской Федерации со странами мирового сообщества в области обеспечения информационной безопасности. Это неотъемлемая составляющая политического, военного, экономического, культурного и многих других видов взаимодействия стран, входящих в мировое сообщество.

Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Так же является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.

Государственная система защиты информации как система более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

Органы, которые регулируют защиту персональных данных:

· Федеральная служба технического и экспортного контроля (ФСТЭК России) и ее территориальные органы (региональные управления в субъектах Российской Федерации)

· Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)

· Структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации

· Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации

· Научно-исследовательские организации по проблемам защиты информации

· Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации

· Предприятия, оказывающие услуги в области защиты информации

· Организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации

· Органы системы лицензирования деятельности в области защиты информации

· Органы системы сертификации средств защиты информации

· Органы системы аттестации объектов защиты по требованиям безопасности информации

Правовые меры – деятельность законодательных органов по созданию правовой базы, обеспечивающей надлежащее формирование, распространение и использование информации; регулирующей деятельность субъектов, осуществляющих создание, преобразование и потребление информации; предусматривающей ответственность за нарушение в информационной сфере, меры обеспечения безопасности и правовой защиты информации, информационной инфраструктуры .

Правовая основа механизма защиты персональных данных сформировалась по двум направлениям: специализированное законодательство и иное законодательство, которое лишь частично содержит правовые нормы, гарантирующие неприкосновенность частной жизни и регулирующие сферу защиты персональных данных. К специализированному законодательствуотносятся такие правовые акты как: Федеральный закон «О персональных данных» от 27 июля 2006 г., Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г., Указ Президента РФ от 6 марта 1997 г. №188, утверждающий «Перечень сведений конфиденциального характера», и другие.

Правовые нормы, регулирующие работу с персональными данными, содержатся также в главе 14 Трудового кодекса РФ «О защите персональных данных работника», в Законе «Об архивном деле в Российской Федерации» от 22 октября 2004 г. (ст.25), в Законе «Об оперативно-розыскной деятельности» (ст. 3, 5, 9, 10, 12, 21), в Законе «О средствах массовой информации» (ст. 41, 43, 46, 51, 57), Закон «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования», в соответствии с которым персональные данные содержатся в индивидуальном лицевом счете застрахованного лица, нормы о защите сведений, полученных в ходе всероссийской переписи населения (персональные данные) содержатся в Законе «О всероссийской переписи населения».

В Европейском Союзе вопросам защиты интересов владельцев персональных данных, которые были подвергнуты электронной обработке, посвящена Конвенция СЕ «О защите физических лиц при автоматизированной обработке персональных данных», подписанная в Страсбурге (Франция) в 1981 году. Федеральный закон о ратификации Конвенции был подписан Президентом РФ 19 декабря 2005 года.

В соответствии со ст. 5 Конвенции, персональные данные, подвергающиеся автоматизированной обработке:

a) собираются и обрабатываются на справедливой и законной основе;

б) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями;

в) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения;

г) являются точными и, когда это необходимо, обновляются;

д) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных .

Основным Законом, регулирующим защиту персональных данных в Российской Федерации, является Федеральный Закон «О персональных данных». Основу этого Закона составляют базовые принципы и условия обработки персональных данных, которые были разработаны во исполнение норм Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», а также положений Директивы Европейского Парламента и Совета Европы 95/46/ЕС «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных» и Директивы Европейского Парламента и Совета Европы 2002/58/ЕС от 12 июля 2002 г., касающейся защиты персональных данных и защиты личных данных в электронном коммуникационном секторе, которая заменила Директиву Европейского Парламента и Совета Европы 97/66/ЕС от 15 декабря 1997 г., регламентирующую использование персональных данных и гарантирующую неприкосновенность частной жизни в сфере телекоммуникаций.

Принципы и условия, обработки персональных данных, которые дополняются также обязательными базовым требованиям, предъявляемыми к деятельности по обработке персональных данных, соответствуют принципам и критериям, касающимся персональных данных и легитимизации их обработки, установленные в статьях 6 и 7 Директивы95/46/ЕС. Статья 5 Закона «О персональных данных» устанавливает шесть принципов обработки персональных данных, защищающих персональную информацию человека; данные принципы схожи с принципами, содержащимися во многих европейских правовых актах. Во-первых, персональные данные должны собираться и использоваться законно и добросовестно. Эта норма говорит о том, что персональные данные должны быть собраны и использованы в соответствии с законодательством РФ и только с согласия субъекта персональных данных, но за исключением случаев, четко оговоренных в части 2 статьи 6 Закона, когда такое согласие не требуется. Согласие на обработку своих персональных данных субъект персональных данных должен дать в письменной форме; содержание этого документа четко установлено в п. 4 статьи 9 Закона. К примеру, в письменном согласии субъекта должна быть обязательно указана цель обработки персональных данных и их перечень, а также срок, в течение которого действует согласие и порядок его отзыва.

Во-вторых, заранее четко определенные цели использования персональных данных не должны изменяться. Персональные данные не могут собираться и использоваться для иных целей, о которых субъект, давший письменное согласие на обработку своих данных, не был заранее информирован (п.2 ч. 1 ст. 5).

В-третьих, объем, характер и способы обрабатываемых персональных данных должны соответствовать целям обработки персональных данных. Эта норма направлена на исключение ситуаций, когда при сборе персональных данных пытаются получить иную персональную информацию, выходящую за рамки объявленных целей.

В-четвертых, персональные данные должны быть достоверными, а объем собираемой персональной информации должен быть оправдан целями ее сбора. Объем собираемых персональных данных не должен быть избыточным, если это не соответствует определенным и законным целям. При этом, если обнаружено, что были допущены ошибки и персональные данные неточны, субъекту персональных данных принадлежит право внести необходимые изменения (п.3 статья 20).

В-пятых, Закон запрещает объединение персональных данных в единую информационную систему персональных данных, которые были собраны операторами персональных данных для разных целей. Эта норма направлена на то, чтобы избежать ситуации, когда оператор связи содержит базу персональных данных человека, и в случае утечки такой базы, человек будет уязвим перед несанкционированным и недобросовестным использованием этих сведений.

И, наконец, в-шестых, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Эта норма соответствует п. «е» статьи 5 Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» и также направлена на защиту субъекта персональных данных от несанкционированного использования его персональных данных. Стоит иметь в виду, что данное правило не относится к персональным данным человека, содержащимся в архивных документах, срок хранения которых установлен Законом «Об архивном деле в Российской Федерации» 2004 г.

Доктрина информационной безопасности РФ, утвержденная Президентом РФ 9 сентября 2000г. представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Доктрина информационной безопасности определяет 4 основные составляющие национальных интересов РФ в информационной сфере, в том числе соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, а также защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Настоящая доктрина служит основой для:

· Формирования государственной политики в области обеспечения информационной безопасности РФ;

· Подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;

· Разработки целевых программ обеспечения информационной безопасности Российской Федерации .

Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

В пункте 2 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных говорится о том, что безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. В пункте 10 сказано, чтобезопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).При обработке персональных данных в информационной системе должно быть обеспечено:

· проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

· своевременное обнаружение фактов несанкционированного доступа к персональным данным;

· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

· постоянный контроль за обеспечением уровня защищенности персональных данных.

· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных из-за несанкционированного доступа к ним ;

2.2. Ответственность за нарушение работы с персональными данными

Закон устанавливает, что лица, виновные в нарушении требований настоящего Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность . В случае нарушения прав субъекта персональных данных, он может обжаловать действия или бездействия в Уполномоченныйорган по защите персональных данных или в судебном порядке. Уполномоченный орган по защите прав субъекта персональных данных является новым для России институтом, деятельность которого направлена на осуществление контроля и надзора за обработкой персональных данных. Уполномоченный орган имеет право обращаться в суд с исковыми заявлениями для защиты персональных данных и представлять интересы субъектов персональных данных в суде.

Дисциплинарная ответственность должна быть установлена внутренними правилами распорядка организации (в данном случае оператора). В виде дисциплинарной ответственности работнику, совершившему какой-либо дисциплинарный проступок в связи с обработкой персональных данных, не повлекший за собой административную, гражданскую или уголовную ответственность, может быть вынесено замечание, выговор, или он может быть уволен по соответствующим основаниям, предусмотренным ст.81 Трудового кодекса РФ. В Трудовом кодексе РФ четко не установлен вид дисциплинарной ответственности за нарушение порядка обработки персональных данных, а лишь указано, за нарушение норм защиты персональных данных работника также устанавливается гражданская, уголовная, административная, дисциплинарная ответственность.

Что касается гражданской ответственности, то субъект персональных данных в порядке гражданского судопроизводства может требовать возмещение убытков и (или) компенсацию морального вреда.

В соответствии со статьей 13.11 Кодекса РФ об административных правонарушениях (КоАП) административная ответственность предусмотрена за нарушение установленного Законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения на граждан административного штрафа в размере от трех до пяти минимальных размеров оплаты труда (МРОТ), от пяти до десяти МРОТ для должностных лиц и от пятидесяти до ста МРОТ для юридических лиц. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет за собой наложение административного штрафа на граждан в размере от пяти до десяти МРОТ, а на должностных лиц - в размере от сорока до пятидесяти МРОТ .

Посколькузащита персональных данных человека являются составной частью института гарантий неприкосновенности частной жизни человека, нормы особенной части Уголовного кодекса РФ относительно уголовной ответственности за нарушение неприкосновенности частной жизни человека распространяются, в том числе, и на порядок защиты персональных данных. Так, уголовная ответственность статьей 137 Уголовного кодекса РФ устанавливается за незаконное собирание или распространение сведений о частной жизни лица, составляющих личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Указанные деяния наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Заключение

Таким образом, проанализировав ситуацию по поводу охраны персональных данных, можно сделать следующие выводы.

Существует несколько точек зрения по поводу классификации информации, но в целом, ее можно разделить на информацию открытого и ограниченного доступа. Ограничение доступа к информации может устанавливаться только федеральными законами. Перечень информации ограниченного доступа, установлен в Указе Президента «Об утверждении перечня сведений конфиденциального характера». К таким сведениям относятся и персональные данные.

Следуя статье 3 Федерального закона «О персональных данных», можно сформировать следующее определение понятия «персональные данные» - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.

Также, благодаря нормативно-правовым актам и научно-исследовательским работам становиться ясно, что персональные данные являются конфиденциальной информацией и что за нарушение работы с ними наступает юридическая ответственность.

Что касается защиты персональных данных, то нужно заметить, что безопасность персональных сведений находится на высоком уровне. Этому способствуют как правовая база, так и многочисленные средства технического контроля. Законодательствами стран Европы и Российской Федерации предусмотрены практически все необходимые нормы для защиты этой категории правоотношений. Основным Законом, регулирующим работу с персональными данными, является Федеральный закон «О персональных данных». В нем описаны основные принципы и условия обработки и защиты таких сведений

Закон устанавливает, что лица, виновные в нарушении требований настоящего закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерацией, ответственность.

Обилие нормативно-правовых актов, регулирующих отношения в сфере персональных данных, обеспечивает надежную защиту безопасности информации ограниченного доступа, но следует заметить, что необходимо дальнейшее совершенствование механизмов защиты персональных данных, находящихся в распоряжении федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и др.

Список источников и литературы

Источники

1. Конституция Российской Федерации принята на всенародном голосовании 12 декабря 1993 г.– М., 2002.

2. Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.)//СПС Консультант плюс, 2009 г.

3. Конвенция о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) (с изменениями от 21 сентября 1970 г., 20 декабря 1971 г., 1 января, 6 ноября 1990 г., 11 мая 1994 г.)//СПС Консультант плюс, 2009 г.

4. Международный пакт о гражданских и политических правах (Нью-Йорк, 19 декабря 1966 г.)//СПС Консультант плюс, 2009 г.

5. Конвенция о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (ратифицирована РФ 19 декабря 2005 года)// СПС Консультант плюс, 2009 г.

6. Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»//СПС Консультант плюс, 2009 г.

7. Федеральный закон РФ от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" //СПС Консультант плюс, 2009 г.

8. Федеральный Закон РФ от 12 августа 1995 № 144-ФЗ “Об оперативно - розыскной деятельности” // СПС Консультант плюс, 2009 г.

10. Перечень сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. N 188) //СПС Консультант плюс, 2009 г.

11. Гражданский кодекс Российской Федерации от 30 ноября 1994 г. N 51-ФЗ (с изменениями и дополнениями, вступившими в силу 11 января 2009г.) //СПС Консультант плюс, 2009 г.

12. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ (с изменениями от 30 декабря 2008г.) //СПС Консультант плюс, 2009 г.

13. Кодекс Российской Федерации об административных правонарушениях от 20 декабря 2001 г. N 195-ФЗ (с изменениями от 30 декабря 2008 г.) //СПС Консультант плюс, 2009 г.

14. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г.) //СПС Консультант плюс, 2009 г.

15. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17 ноября 2007г. N-781(утв. Постановлением Правительства РФ)//СПС Консультант плюс, 2009г.

Список литературы

1. Алимова Н.А. Большой справочник кадровика. – М.: Издательско-торговая корпорация «Дашков и Кْ», 2007. – 536 с.

2. Копылов В.А. Информационное право. М.: Юристъ, 2005. – 512 с.

3. Магнитская Е.В. Правоведение: учебник, Е.В. Магнитская, Е.П. Евстигнеев: Питер, 2003. - 512с.

4. Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: учебное пособие – Барнаул: Изд-во Алт. Ун-та, 2004. – 288с.

5. Поляков В.В., Мазуров В.А. Проблемы правовой и технической защиты: сб. науч. ст./ АлтГУ, 2008. – 179 с.

6. Саидов А.Г. Конституционно-правовые основы обеспечения информационной безопасности Российской Федерации: автореферат: Махачкала, 2004. – 26 с.

7. Смолькова И.В. Проблемы охраняемой законом тайны в уголовном процессе. – М.: 1999. – 346 с.

8. Теория оперативно-розыскной деятельности: учебник. Ред. – сост. К.К. Горяинов, В.С. Овчинский, Г.К. Синилов – М.: Лист Нью, 2008. - 842 с.

9. Ярочкин В.И. Информационная безопасность: учебник для ВУЗов. - М.: Гаудеамус, 2004. - 544с.


Конституция Российской Федерации, принятая на всенародном референдуме 12 декабря 1993 года//СПС Консультант плюс, 2009 г.

Магнитская Е.В. Правоведение: учебник, Е.В. Магнитская, Е.П. Евстигнеев: Питер, 2003. – С. 346.

Саидов А.Г. Конституционно-правовые основы обеспечения информационной безопасности РФ: Махачкала, 2004. – С. 24.

Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2004. – С.31-49, 99-117.

Поляков В.В., Мазуров В.А. Проблемы правовой и технической защиты: сб. науч. ст./ АлтГУ, 2008. – С. 73-76.

Алимова Н.А. Большой справочник кадровика. – М.: Издательско-торговая корпорация «Дашков и Кْ», 2007. – С. 126-129, 192-196.

Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: Издательство Алтайского университета, 2004. – С. 12-16.

Всеобщая декларация прав человека (принята на третьей сессии Генеральной Ассамблеи ООН резолюцией 217 А (III) от 10 декабря 1948 г.)//СПС Консультант плюс, 2009г.

Конвенция о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) (с изменениями от 21 сентября 1970 г., 20 декабря 1971 г., 1 января, 6 ноября 1990 г., 11 мая 1994 г.) //СПС Консультант плюс, 2009г. ст. 8.

Международный пакт о гражданских и политических правах (Нью-Йорк, 19 декабря 1966 г.)//СПС Консультант плюс, 2009г. ст. 17.

Конституция Российской Федерации от 12 декабря 1993 г.//СПС Консультант плюс, 2009 г. ст.15

Федеральный закон № 152-ФЗо «персональных данных» //СПС Консультант плюс, 2009г. гл.1 ст.2

Федеральный закон № 152-ФЗ о «персональных данных» гл.1 ст.3: оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Федеральный закон N24-ФЗ «Об информации, информатизации и защите информации» от 20.02.1995 г.//СПС Консультант плюс, 2009г. ст.

Мазуров В.А. Уголовно-правовые аспекты информационной безопасности: учебное пособие – Барнаул: Изд-во Алт. Ун-та, 2004. – С. 244.

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17 ноября 2007г. N-781//СПС Консультант плюс, 2009г., п. 11.

Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»// СПС Консультант плюс, 2009 г., ст. 24.

Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г.) //СПС Консультант плюс, 2009 г., ст. 13.14.

Защита персональных данных в Российской Федерации: Проблемы и перспективы

Alexander Antipov

В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.


Шкилев Николай Александрович

ВВЕДЕНИЕ

Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей « персональные данные ».

Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.

Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.

Следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене», - ст. 11 «Информация о гражданах (персональные данные)» Закона «Об информации, информатизации и защите информации». Защите персональных данных работников посвящена глава 14 Трудового кодекса Российской Федерации.международных стандартов:- ISO 17799 - по информационной безопасности;- ISO 15489 - по управлению документацией.

Принятие ФЗ «О персональных данных» явилось ответом законодательной ветви власти на один из наиболее острых вызовов современной России - бесконтрольный оборот приватных сведений граждан, неуважение к частным данным вообще, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, ФЗ имеет огромное социальное значение.

Согласно исследованию холдинга ROMIR Monitoring, проведенного в январе 2006 года по заказу «РИО-Центра», российские граждане целиком и полностью поддерживают законодательную инициативу властей. Например, лишь 3,4% респондентов уверено в защищенности своих персональных данных, а противоположной точки зрения - то есть уверенности в полной беззащитности своих приватных сведений - придерживаются 24,4% граждан. При этом 74,1% респондентов поддержали бескомпромиссную борьбу с распространением пиратских копий баз данных ГИБДД, операторов связи, БТИ и других организаций, а 63,3% граждан считают, что государство просто обязано контролировать сбор персональных данных коммерческими структурами. Отметим, что в основе исследования лежит репрезентативная выборка, состоящая из 1,6 тыс. постоянно проживающих в стране граждан из 43 субъектов РФ. Другими словами, очевидно, что с социальной точки зрения в стране уже давно назрела необходимость законодательного регулирования сбора и обработки персональной информации граждан.

Все это наводит на мысль, что исполнительная и судебная ветви власти могут и должны с энтузиазмом перенять эстафету законодателей. и уже с 30 января 2007 года органы правопорядка и суды могут начать привлекать и осуждать лиц, виновных в нелегальном распространении персональных данных. Однако с наиболее серьезными последствиями нового ФЗ придется столкнуться коммерческим компаниям, которые могут потерять лицензию на обработку приватных сведений граждан в случае нарушения требований закона.

1.Краткий правовой анализ Федерального закона “О персональных данных”

1.1. Основные понятия и термины закона

Прежде чем перейти к экспертизе требований ФЗ «О персональных данных», рассмотрим основные понятия этого нормативного акта. Список наиболее важных терминов вместе с пояснениями представлен в таблице ниже (см. таб. 1). Полный листинг понятий ФЗ можно найти во 2 ст. полного текста закона.

Прежде всего, следует обратить внимание на определение термина «персональные данные» (см. таб. 1). Далее по тексту в качестве синонима к этому понятию будут использоваться такие словосочетания, как приватные сведения, личная информация, частные записи граждан и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых ФЗ. Также важно заметить, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Таблица 1.

Основные понятия закона «О персональных данных»

Термин

Определение

Примеры

Персональные данные

Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

ФИО, дата и место рождения, адрес, образование, профессия, доходы и т.д. По сути, любые сведения о жизни гражданина.

Оператор

Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.

Обработка персональных данных

Практически любые действия (операции) с персональными данными.

Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.

Распространение персональных данных

Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.

Обнародование персональных данных в СМИ, размещение в Интернете и других сетях или предоставление доступа к персональным данным каким-либо иным способом.

Блокирование персональных данных

Временное прекращение обработки персональных данных.

Замораживание сбора, систематизации, накопления, использования и любых других операций с персональными данными.

Обезличивание персональных данных

Действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

Результаты статистических опросов - обезличенные данные.

Информационная система персональных данных

Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).

Конфиденциальность персональных данных

Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания

Требование обеспечить защиту от утечек.

Анализ главных определений ФЗ позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней ФЗ понимает защиту от распространения (синоним слову «утечка»). Таким образом, закон «О персональных данных» затрагивает деятельность абсолютно всех коммерческих компаний и госструктур, которые теперь должны позаботиться о защите персональных данных от неавторизованного распространения, то есть, от утечки.

1.2. Основные положения закона

Рассмотрим основные положения ФЗ «О персональных данных», с которыми теперь должны считаться представители бизнеса и госсектора. Прежде всего, следует отметить 5 ст. закона - «Принципы обработки персональных данных», согласно которой цели обработки приватной информации должны соответствовать целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. На практике это означает, что организация обязана прямо во время сбора личных сведений уведомить граждан о том, для чего ей эти сведения понадобились и что она будет с ними делать. Более того, единожды заявив о своих целях, организация не может просто так их изменить, не поставив в известность граждан.

В ч.2 ст.5 указано очень важное с точки зрения IT-безопасности требование к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Базовая концепция нового закона нашла свое отражение в ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»). Рассмотрим эти статьи подробнее.

Согласно ст.6, основным условием обработки приватных сведений является согласие на это владельца персональных данных, то есть самого гражданина. Из этого условия существует ряд исключений. Например, общедоступными являются некоторые приватные сведения высших чиновников и кандидатов на выборные должности. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта чувствительной информации. Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, являются п.2.2 и 2.5 ст.6. Согласно первому из них, разрешена «обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных». Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи». Однако во всех остальных случаях, бизнес просто обязан спросить у гражданина разрешение на обработку его личных сведений.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае, если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.

В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Можно резюмировать, что бизнес должен получить согласие владельца приватных данных на обработку этой информации и обеспечить конфиденциальность персональных сведений. При этом согласно 9 ст., компания должна получить письменное согласие гражданина на обработку его личных записей, которое в случае возникновения конфликтных ситуаций должно быть предъявлено в суде. Отметим, что в согласии обязательно указываются цель обработки персональных данных, перечень самих данных и действий с ними и срок, в течение которого действует согласие (а также порядок его отзыва).

1.3. Требования к безопасности персональных данных

Особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, бизнесу необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

1.4. Ответственность за нарушения закона

При нарушении требований закона «О персональных данных» виновные лица (согласно ст.24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

1.5. Критические даты

Из представленной выше экспертизы ФЗ «О персональных данных» следует, что организациям предстоит принять целый ряд технических и организационных мер, чтобы удовлетворить новым нормативным требованиям. Далее в таблице (см. таб. 2.) приведен ряд критических дат, к наступлению которых бизнес и госсектор обязан привести в соответствие ФЗ свои бизнес-процессы и IT-системы.

Критические даты закона «О персональных данных»

Расшифровка

ФЗ «О персональных данных» вступает в силу

Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган уведомление, предусмотренное ч.3 ст.22 настоящего ФЗ не позднее 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания владеет приватными данными только своих сотрудников, то уведомление направлять не следует).

Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Другими словами, информационная система, включающая в себя базу персональных данных, а также информационные и технические средства для их обработки, должна соответствовать требованиям к защите конфиденциальности приватной информации (ст.19 ч.1).

Выводы

Собирая воедино все указанные выше требования ФЗ «О персональных данных», можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. Другими словами, российским компаниям теперь придется иметь дело с новым классом информации. Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый ФЗ практически требует создать еще один класс информации - персональные данные (клиентов, служащих и т.д.). Однако очевидно, что изменение принципов классификации влечет за собой модификацию политики IT-безопасности. Следовательно, бизнесу необходимо дополнить свой набор политик, как минимум, одной новой - политикой использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Вдобавок, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.

2.Краткий анализ Федерального закона “О персональных данных” в вопросах информационных технологий.

2.1 Требования к ИТ-безопасности

По требованиям нормативно-правовых документов работы по обеспечению безопасности персональных данных являются неотъемлемой частью работ при создании информационных систем для их обработки. Т.е. информационные системы, в которых обрабатываются персональные данные, должные в обязательном порядке содержать подсистему защиты этих данных

Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться... не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности... и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных ». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных » от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности «Внешторгбанка», отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Между тем, согласно ст.19 ч.2 ФЗ «О персональных данных », Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных ». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно было стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Отметим, что сам уполномоченный орган уже выбран. Это Федеральная служба по техническому и экспортному контролю. Однако каких-либо формализованных требований от ФСТЭК России в плане защиты персональных данных еще не было обнародовано.

Также отметим, что согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.

2.2. Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений, для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.

2.3.Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных ». В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ «О персональных данных». Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.

Однако это лишь одна сторона медали - с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.

Итак, необходимым условием обработки персональных данных является согласие на это субъекта персональных данных, за исключением особых случаев.

Федеральный закон обязывает операторов соблюдать требования по конфиденциальности персональных данных (за исключением общедоступных и обезличенных персональных данных), в том числе с помощью криптографических средств.

В целом, требования по обеспечению безопасности персональных данных устанавливаются Федеральным законодательством, Постановлениями Правительства РФ и иными подзаконными актами. Контроль выполнения требований по обеспечению безопасности персональных данных осуществляется Федеральной службой безопасности и Федеральной службой по техническому и экспертному контролю.

На этапе проектирования информационной системы или при её эксплуатации необходимо провести категорирование персональных данных. На основании категории персональных данных, а также характеристик информационной системы, связанных с угрозами безопасности персональных данных, информационной системе присваивается определённый класс, который определяет требования к защите обрабатываемых в ней данных.

Классификация информационных систем персональных данных проводится на основе нормативно-правовых документов ФСТЭК.

Мероприятия по защите персональных данных, в частности, должны включать в себя:

  • Определение угроз безопасности персональных данных при их обработке, разработка модели угроз;
  • Разработку на основе модели угроз системы защиты с применением методов, соответствующих классу информационной системы;
  • Проверку готовности средств защиты к использованию с составлением заключений о возможности эксплуатации;
  • Установку и ввод в эксплуатацию средств защиты, а также обучение сотрудников их использованию;

Важно отметить, что согласно требованиям нормативно-правовых документов средства защиты, используемые в информационных системах персональных данных (в том числе средства защиты от несанкционированного доступа, криптографические средства защиты, средства защиты от утечек по техническим каналам) должны в установленном порядке проходить оценку соответствия требованиям ФСБ и ФСТЭК.

И согласно требованиям обмен персональными данными при их обработке должен осуществляется по каналам связи, защита которых реализована с помощью организационных или технических мер.

В соответствии с законом №152-ФЗ существенно расширяется круг юридических лиц, автоматизированные системы которых должны содержать подсистемы защиты информации. В их число попадают медицинские учреждения, инвестиционные и трастовые компании, прочие структуры, привлекающие средства населения, а также все юридические лица, в составе автоматизированных систем которых в том или ином виде ведутся личные дела сотрудников.

Со дня вступления ФЗ «О персональных данных» в силу (30 января 2007 года) для операторов персональных данных описанные в законе требования по обработке и в том числе по защите персональных данных являются обязательными.

Следует отметить, что Федеральный закон касается не только вновь создаваемых систем обработки персональных данных. Информационные системы персональных данных, созданные до дня вступления закона в силу, должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 января 2010 года.

В Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” сказано: “Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”. Рассмотрим, каким образом в соответствии сдействующими законадательными и нормативными актами грамотно подойти к вопросу внедрения новых средств защиты данных.

Для этого необходимо в первую очередь определиться с требованиями к реализации системы защиты данных.

Для формирования основных базовых требований к реализации системы защиты данных необходимо определиться с ответами на следующие вопросы:

  • Что должно служить сущностью “объект доступа”, другими словами, что должен представлять собою объект (в общем случае, набор объектов), при сохранении в который, данные должны шифроваться и/ либо гарантированно удаляться (естественно, что речь идет об автоматическом “прозрачном” для пользователя шифровании данных “на лету” при их сохранении в объект (и соответствующим образом расшифрования), реализуемого системным драйвером (аналогично и гарантированного удаления). Подходы к построению СЗД, предполагающие реализацию шифрования и/либо гарантированного удаления вручную пользователем, а уж тем более, вопросы реализации этих функций на прикладном уровне - из конкретных приложений, рассматривать не будем, наверное, даже не следует пояснять почему, если мы говорим об эффективных средствах защиты для корпоративных приложений, ориентированных на защиту персональных данных;
  • Что должно служить сущностью “субъект доступа”, другими словами, следует ли при принятии решения о шифровании (расшифровании) и/либо гарантированного удаления данных при запросе доступа к объекту в принципе учитывать, и если да, то каким образом учитывать то, какой пользователь и каким процессом обращается к объекту. Другими словами, следует управлять тем, какие пользователи сохраняют данные в зашифрованном виде (соответственно их информация гарантированно удаляется), либо тем, в какие объекты данных сохраняются в шифрованном виде (соответственно, в каких объектах данные гарантированно удаляются);
  • Что должно служить сущностью “право шифрования”. Дело в том, что при построении СЗИ от НСД возможны два подхода к реализации разграничительной политики доступа к ресурсам: посредством назначения атрибутов, присваиваемых объектам (здесь можно говорить об атрибутах “шифрование” и “гарантированное удаление”), либо посредством назначения прав доступа к объектам для пользователей. Этот вопрос тесно связан с предыдущим;
  • Как обеспечить коллективный доступ пользователей к зашифрованным данным (это одна из ключевых задач для корпоративных приложений при защите персональных данных, состоящая в том, что данные должны располагаться на общем ресурсе (как правило, разделенные в сети файловые объекты), причем в зашифрованном виде, при этом к этим данным должно предоставляться право доступа нескольким пользователям, например, удаленно к файловому серверу с рабочих станций корпоративной сети). Соответственно следует говорить и о гарантированном удалении данных в коллективно используемых ресурсах. Важным здесь является вопрос, учитывать ли какие-либо идентификационные данные пользователя (если да, то каким образом) при генерации ключа шифрования.

Рассмотрим эти вопросы по порядку, при этом будем учитывать, во-первых, что обе процедуры, и шифрование, и гарантированное удаление весьма ресурсоемки и оказывают влияние на загрузку вычислительного ресурса (даже при их реализации на уровне системного драйвера, в случае же реализации их на уровне приложения загрузка вычислительного ресурса возрастает в разы), во-вторых, на одном вычислительном средстве в корпоративных приложениях, как правило, обрабатывается как открытая, так и конфиденциальная информация (причем, подчас, конфиденциальная информация также может категорироваться), т.е. далеко не все данные следует дополнительно защищать средствами шифрования и гарантированного удаления.

Различные по категории конфиденциальности данные должны храниться в различных файловых объектах (только в этом случае могут быть реализованы различные режимы их обработки), причем, как на жестком диске, так и на внешних накопителях, причем как на локальных, так и на разделенных в сети (при этом не обеспечить коллективный доступ к данным - без возможности разделения файловых объектов в сети) . Основным объектом реализации разграничительной политики доступа к ресурсам является “папка”. Что касается внешних накопителей (например, Flash-устройств), то подчас на них разрешается записывать информацию только в зашифрованном виде, т.е. в этом случае объектом шифрования должен служить диск (однако, может разрешаться в зависимости от типа информации на одном внешнем накопителе сохранять данные, как в открытом, так и в шифрованном виде, тогда объектом шифрования вновь становится “папка”, например, каталог на накопителе). Папка является и обязательным объектом шифрования при использовании разделяемого ресурса (например, жесткого диска на сервере) при реализации коллективного доступа к данным в корпоративной сети. В некоторых конкретных случаях может потребоваться шифрование и отдельного файла, в частности, вся база данных может располагаться в отдельном файле. Не смотря на частность данных случаев, их возможность - объектом шифрования является файл, также должна быть реализована в средстве защиты.

Требование к реализации. Объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети. При этом средством защиты должна предоставляться возможность задания любого набора объектов (например, несколько каталогов на выбор, включая разделенные в сети) в качестве объектов криптографической защиты и гарантированного удаления остаточной информации

Несмотря на кажущуюся очевидность данных требований, на практике широко распространены средства с весьма ограниченными возможностями задания объектов защиты, например, только локальный диск (так называемый, “файловый сейф”), либо только локальные файловые объекты могут назначаться для шифрования данных, или, например, совсем уж странное решение реализуется в некоторых средствах защиты в части гарантированного удаления остаточной информации - если активизируется этот режим, то гарантированно удаляются данные во всех файловых объектах (а как же совершенно не оправданное в этом случае дополнительное влияние на загрузку вычислительного ресурса?). Естественно, что подобные средства более просты в практической реализации, однако, следствием реализации подобных решений является их невысокая потребительская стоимость в корпоративных приложениях.

Перейдем к рассмотрению следующих двух очень важных взаимосвязанных вопросов. Следует ли учитывать каким-либо образом сущность “пользователь” при построении схемы защиты, следовательно, дополнительная защита должна являться привилегией пользователя (рассматриваться как его право), либо объекта (рассматриваться, как дополнительный атрибут файлового объекта). Заметим, что права доступа к объектам в корпоративных приложениях следует рассматривать, как принадлежность пользователя, а не как атрибут файлового объекта В данном же случае, все наоборот. Особенностью корпоративных приложений является то, что один и тот же пользователь должен обрабатывать на одном компьютере, как открытую, так и конфиденциальную информацию (если только открытую, то отсутствует потребность в дополнительной защите данных, а только конфиденциальную - на практике, как правило, не бывает). Следовательно, если дополнительную защиту данных рассматривать, как привилегию пользователя (т.е. для учетной записи устанавливать соответствующий режим сохранения и удаления (модификации) данных), то в корпоративных приложениях это будет означать, что все данные (как открытые, так и конфиденциальные) пользователя следует шифровать и гарантированно удалять. Это бессмысленно! Следовательно, шифрование и гарантированное удаление необходимо рассмаривать не как привилегию пользователя (учетной записи), а как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, присваиваемыми объектам - при сохранении данных в этот объект они автоматически шифруются, при удалении (модификации) объекта данные гарантированно удаляются.

Требование к реализации. Возможность дополнительной защиты данных методами шифрования и гарантированного удаления необходимо рассмаривать как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, устанавливаемыми для дополнительно защищаемого объекта.

Теперь о коллективном доступе к ресурсам. Это очень важная функциональная возможность. Без ее практической реализации невозможно обеспечить не только общие для пользователей файловые хранилища, но и принципиально организовать обмен защищаемыми данными через файловую систему, причем не только в сети, но и локально, на одном компьютере. Коллективный доступ к ресурсам априори возможен лишь в том случае, когда такая сущность, как “ключ шифрования” едина (ключ одинаковый) для пользователей, имеющих право доступа к коллективно используемому ресурсу.

С учетом сказанного можем сделать два очень важных вывода, во-первых, средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, во-вторых, ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей, т.к. в противном случае, эти данные должны совпадать для учетных записей, под которыми разрешен доступ к коллективно используемым объектам (что недопустимо). Заметим, что несмотря на данное, казалось бы, очевидное требование, подобные решения, реализованные на практике, существуют.

Требование к реализации. Средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, при этом ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей.

В порядке замечания отметим, что с целью снижения ресурсоемкости средства защиты, с учетом того, что на одном компьютере может обрабатываться конфиденциальная информация различных категорий, как следствие, требующая различной дополнительной защищенности, целесообразно предусмотреть возможность шифровать данные различных категорий (различные объекты) с использованием различных алгоритмов шифрования (в частности, с использованием различных длин ключа шифрования), соответственно, гарантированно удалять данные различных категорий с использованием различных правил (в частности, с возможностью задания для различных объектов различного числа проходов очистки - записи маскирующей информации, и различных способов задания маскирующей информации - маскирующая информация - это те данные, которые записываются поверх исходных данных при уничтожении, либо при модификации объекта, другими словами, эти те данные, которые остаются на носителе в качестве остаточной информации).

Теперь остановимся еще на одном важном вопросе реализации коллективного доступа, в данном случае, удаленного доступа к разделенным в сети дополнительно защищаемым объектам. Упрощенно, имеем следующую структуру системы. На рабочих станциях пользователями осуществляется обработка данных, которые сохраняются в разделенный между пользователями объект, располагаемый на отдельном компьютере (файловом сервере). Возникает вопрос, где осуществлять процедуру шифрования данных - на рабочих станциях, перед их сохранением на сервере, либо собственно на сервере? Наверное, ответ на этот вопрос очевиден - на рабочих станциях. Это объясняется тем, что при таком решении данные передаются по каналу связи в зашифрованном виде (в противном случае, в открытом).

Требование к реализации. При реализации коллективного доступа к разделенным в сети дополнительно защищаемым объектам шифрование данных должно осуществляться на рабочих станциях, на которых пользователями осуществляется обработка данных.

В порядке замечания отметим, что такое решение возможно лишь в том случае, если средством защиты выполняется требование к реализации, состоящее в том, что объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети (см. выше).

Заключение

Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке. Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны ­сообщаться в уполномоченный орган.

Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:

  • при наличии трудовых отношений;
  • при заключении договора, стороной которого является субъект персональных данных;
  • если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
  • если персональные данные являются общедоступными;
  • если персональные данные включают в себя только фамилии, имена и отчества субъектов;
  • при оформлении пропусков;
  • если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и ­общественного порядка;
  • если персональные данные обрабатываются без использования средств автоматизации.

В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления ­первых заявлений и жалоб. Начать можно со следующих очевидных мер:

Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.

Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:

  • определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по ­собст­венной инициативе и т.д.);
  • уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
  • установить сроки хранения и сроки обработки данных в ­каждом информационном ресурсе;
  • определить способы обработки;
  • определить лиц, имеющих доступ к данным;
  • сформулировать юридические последствия;
  • определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.
© Copyright 2024, pcwe.ru - Портал о персональных компьютерах.