Обеспечение безопасности персональных данных
Покупка
Издательство:
ИНТУИТ
Автор:
Скрипник Д. А.
Год издания: 2016
Кол-во страниц: 87
Дополнительно
Курс предоставляет необходимые знания для обеспечения безопасности персональных данных.
Рассмотрены основные термины и законодательство Российской Федерации в данной предметной области. Приведены этапы построения системы защиты персональных данных.
В курсе рассматриваются основные термины в области информационной безопасности: уязвимость, атака, угроза, злоумышленник. Излагаются ключевые аспекты федеральных законов и других нормативно-методических документов в области обеспечения безопасности персональных данных: понятия оператора и субъекта персональных данных, их права и обязанности. Порядок классификации информационных систем персональных данных в зависимости от количества субъектов, данные которых обрабатываются, и категории персональных данных. Рассмотрены этапы построения системы защиты персональных данных и соответствующие им организационнотехнические мероприятия. Порядок аттестации, сертификации и лицензирования в области обеспечения безопасности персональных данных. Регуляторы и способы контроля за соблюдением требований законодательства.
Тематика:
ББК:
УДК:
- 007: Деятельность и организация. Общая теория информации связи и управления (кибернетика)
- 347: Гражданское право. Судоустройство
ОКСО:
- ВО - Бакалавриат
- 09.03.01: Информатика и вычислительная техника
- 09.03.02: Информационные системы и технологии
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
Обеспечение безопасности персональных данных 2-е издание, исправленное Скрипник Д.А. Национальный Открытый Университет “ИНТУИТ” 2016 2
Обеспечение безопасности персональных данных/ Д.А. Скрипник - М.: Национальный Открытый Университет “ИНТУИТ”, 2016 Курс предоставляет необходимые знания для обеспечения безопасности персональных данных. Рассмотрены основные термины и законодательство Российской Федерации в данной предметной области. Приведены этапы построения системы защиты персональных данных. В курсе рассматриваются основные термины в области информационной безопасности: уязвимость, атака, угроза, злоумышленник. Излагаются ключевые аспекты федеральных законов и других нормативно-методических документов в области обеспечения безопасности персональных данных: понятия оператора и субъекта персональных данных, их права и обязанности. Порядок классификации информационных систем персональных данных в зависимости от количества субъектов, данные которых обрабатываются, и категории персональных данных. Рассмотрены этапы построения системы защиты персональных данных и соответствующие им организационнотехнические мероприятия. Порядок аттестации, сертификации и лицензирования в области обеспечения безопасности персональных данных. Регуляторы и способы контроля за соблюдением требований законодательства. (c) ООО “ИНТУИТ.РУ”, 2011-2016 (c) Скрипник Д.А., 2011-2016 3
Основы информационной безопасности В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ ” Об информации, информационных технологиях и о защите информации”. 1.1. Основные понятия информационной безопасности Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такое информационная безопасность. Термин “информационная безопасность” может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1]. ГОСТ “Защита информации. Основные термины и определения” вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность. Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право. Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право; Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно. Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2,3]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ. Угрозы можно классифицировать по нескольким критериям: по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); 4
по способу осуществления (случайные/преднамеренные, действия природного/ техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС). Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации: 1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества; 2. административный – комплекс мер, предпринимаемых локально руководством организации; 3. процедурный уровень – меры безопасности, реализуемые людьми; 4. программно-технический уровень – непосредственно средства защиты информации. Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность. 1.2. ФЗ “Об информации, информационных технологиях и о защите информации” В российском законодательстве базовым законом в области защиты информации является ФЗ “Об информации, информационных технологиях и о защите информации” от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения. Закон регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. Закон дает основные определения в области защиты информации. Приведем некоторые из них: информация - сведения (сообщения, данные) независимо от формы их представления; информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; 5
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4]. В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации: 1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом; 2. установление ограничений доступа к информации только федеральными законами; 3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами; 4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации; 5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации; 6. достоверность информации и своевременность ее предоставления; 7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия; 8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами. Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. 6
Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения: 1. информацию, свободно распространяемую; 2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4. информацию, распространение которой в Российской Федерации ограничивается или запрещается. Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно. Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на: 1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2. соблюдение конфиденциальности информации ограниченного доступа; 3. реализацию права на доступ к информации. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2. своевременное обнаружение фактов несанкционированного доступа к информации; 3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6. постоянный контроль за обеспечением уровня защищенности информации. Таким образом, ФЗ “Об информации, информационных технологиях и о защите информации” создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов. 7
Персональные данные. Законодательство в области защиты персональных данных Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных. 2.1. Персональные данные Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь. Возросшие технические возможности по сбору и обработке персональной информации, развитие средств электронной коммерции и социальных сетей делают необходимым принятие мер по защите персональных данных. Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на конфиденциальность персональных данных. Бывает так, что при оформлении дисконтной карты в магазине покупатель указывает следующие сведения: фамилию, номер телефона, электронный адрес, а затем получает сообщения и письма совершенно из других магазинов, в которых даже никогда не бывал. То есть магазин без согласия покупателя передал его данные третьим лицам. Если газета печатает ФИО и суммы выигрыша победителей лотереи без их ведома, или ТСЖ вывешивает на подъезде списки должников и сумму их долга - это примеры “безобидных ” утечек. Кража персональных данных может нанести правообладателю ощутимый материальный ущерб, если речь идет о кредитных картах или информации о сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить пользователя показать свою личную информацию (фишинг). На самом деле зачастую даже трудно установить источник утечки персональных данных вследствие высокой информатизации современного общества. Государство на законодательном уровне требует от организаций и физических лиц, обрабатывающих персональные данные, обеспечить их защиту. Законодательство Российской Федерации в области защиты персональных данных основывается на Конституции РФ, международных договорах Российской Федерации, Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, Федеральном законе от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации” и других определяющих случаи и особенности обработки персональных данных федеральных законов. Целью российского законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и 8
физическими лицами. Основополагающим законом в области защиты персональных данных является Федеральный закон “О персональных данных” №152, который был принят Государственной думой 8 июля 2006 года и вступил в силу с 26 января 2007 года. Закон определяет: 1. основные понятия, связанные с обработкой персональных данных; 2. принципы и условия обработки персональных данных; 3. обязанности оператора персональных данных; 4. права субъекта персональных данных; 5. виды ответственности за нарушение требований ФЗ-№152; 6. государственные органы, осуществляющие контроль за соблюдением требований ФЗ-№152. В соответствии с Законом персональные данные - любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПД. Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств [7]. Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ “О персональных данных” установлены три регулятора: Роскомнадзор (защита прав субъектов персональных данных) ФСБ (требования в области криптографии) ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам). 9