Персональные данные как информация ограниченного доступа

Размещено на http://www.allbest.ru/

Реферат

Персональные данные как информация ограниченного доступа

Выполнил: студент 1 курса ИБ-91

Есипенко Я.В.

• Введение

персональный данные защита

В настоящее время обработка и защита персональных данных является одной из первостепенных задач в каждом государстве. Гарантия прав личности позволяет определять порядок и условия доступа к информации, контролировать ее обработку. Институт персональных данных становится важным элементом правового статуса личности, направленным на обеспечение ее информационной безопасности. Правовое регулирование персональных данных и вопросов доступа к ним имеет существенное значение для государства, для коммерческих структур и для экономики в целом.

Внедрение современных информационных технологий, в частности: технологий больших данных, облачных вычислений, интернета вещей, искусственного интеллекта и других, приносит не только удобство и комфорт в нашу жизнь, но и формирует новые вызовы и угрозы, такие как реальная угроза неконтролируемого накопления и обработки данных об индивиде, которые затем потенциально могут быть использованы негативным или нежелательным для него образом.

Для регулирования информационных правоотношений в области персональных данных законодателем установлен целый ряд нормативно-правовых актов, таких как: Федеральный закон «О персональных данных», Федеральный закон от 27.07.2006 №149-ФЗ (ред. от 03.04.2020) "Об информации, информационных технологиях и о защите информации" и так далее.

1. История, понятие и классификация персональных данных

Начало истории персональных данных как концепции и их защиты начинается в США в конце XIX века. Именно тогда сформировалась именно юридическая категория прайвеси и основы ее правовой защиты. Под privacy в общем понимается неприкосновенность частной жизни. В 1890 году два американских юриста - Сэмюэль Уоррен и Луи Брэндайс - определили это понятие как «право быть оставленным в покое». Они постарались обосновать, что развитие бизнеса и появление новых методов ведения предпринимательской деятельности создает возможность покушения на неотъемлемые права человека. Прогресс информационных технологий только усилил степень этой опасности. В России впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 20.02.1995 №24-ФЗ "Об информации, информатизации и защите информации".

К персональным данным относятся: сведения о фактaх, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

По Федеральном закону oт 27.07.2006 г. № 152-ФЗ «О персональных данных» представлены в виде информации, неразрывно связанной с личностью ее обладателя. Определяют персональные данные в качестве открытого перечня сведений, независимо от формы их представления (ст. 2 ФЗ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации), законодатель тем самым сохранил возможность их расширения по мере прохождения жизненного пути. Персональные данные включают в себя следующие понятия: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица и членов его семьи.

В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию).

Персональные данные классифицируют по четырем категориям (медицинские / социальные, идентификационные со значительными последствиями, идентификационные, обезличенные общедоступные) и трем типам объема (организация, отрасль, субъект).

Для того, чтобы отнести типовую информационную систему персональных данных к тому или иному классу необходимо определить категорию обрабатываемых персональных данных, определить объем персональных данных, обрабатываемых в информационной системе. Далее, по результатам анализа исходных данных, присваивается один из классов.

2.Связь информации ограниченного доступа и персональных данных

Перечень информации ограниченного доступа определяется на законодательном уровне. Для обозначения информации ограниченного доступа в законодательстве используется термин «тайна». Федеральный закон «Об информации, информационных технологиях и о защите информации» (ст.5) определяет в качестве информации ограниченного доступа: государственную тайну и другие виды тайны (коммерческая, служебная, профессиональная, персональные данные), которые относятся к информации конфиденциального характера. В настоящее время общий перечень сведений конфиденциального характера определён в Указе Президента РФ №188 от 6.03.97г. «Перечень сведений конфиденциального характера», Он включает в своей основе все виды тайны, за исключением государственной тайны. Собственниками сведений конфиденциального характера могут быть: государство, юридические лица (организации), физические лица (граждане).

Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не только в Законе об информации, но и в Указе Президента РФ от 06.03.1997 №188, утвердившем Перечень сведений конфиденциального характера. Не являются персональными данными данные о лице, подлежащие распространению в средствах массовой информации в установленных законами случаях. Следовательно персональные данные являются частью информации. За понятием «конфиденциальность» сегодня признается более широкое значение, из которого выделяют две основные разновидности конфиденциальности:

- секретность, которая понимается как форма сокрытия информации, которая носит недобровольный характер и предусматривает санкции за разглашение. Именно под режим секретности подпадают государственные, профессиональные, служебные, коммерческие тайны, тайны частной жизни (личные, интимные, семейные), а также, например, информация для служебного пользования, согласованная контрагентами конфиденциальная информация и т.п.

- приватность, представляющая собой форму ограничения доступа к личным сведениям, в силу которой всякое использование таких сведений допускается только с согласия субъекта этих сведений. Эта разновидность конфиденциальности распространяется на личную информацию, которая не является тайной (секретом), но использование которой третьими лицами допустимо лишь при условии соблюдения определенных правил. Под режим приватности подпадает любая личная информация, использование которой третьими лицами может привести к нарушению неприкосновенности частной жизни субъекта этой информации.

Распространение информации ограниченного доступа в Российской Федерации контролируется или запрещается в интересах обеспечения национальной безопасности, а также в соответствии с законодательством о государственной тайне (Закон РФ от 21 июля 1993 г. № 5485-1 "О государственной тайне"). Обработка специальных категорий персональных данных, касающихся национальной принадлежности, политических взглядов, философских и религиозных убеждений, состояния здоровья, интимной жизни не допускается, за исключением случаев, предусмотренных законодательством. Биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Обработка этих данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, уголовно-исполнительным законодательством Российской Федерации. А

Персональные данные входят в сведения конфиденциального характера, которые наполняют информационный оборот организаций. Использование предприятием в своей деятельности персональных данных (сбор, систематизация, накопление, хранение, уточнение, уничтожение, использование, распространение и передача) трактуется законодательством как «обработка персональных данных». Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии. Ответственность за обработку персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с персональными данными и разработаны документы и мероприятия по организации защиты таковых. Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

Ограничение доступа работников организации к персональным данным - неотъемлемая часть мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах. Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей. Обязательство о неразглашении персональных данных должен оформить каждый сотрудник, который имеет доступ к персональным данным других работников. Закон запрещает таким сотрудникам разглашать сведения, которые стали им известны в связи с выполнением их трудовых обязанностей при работе в данной организации.

При получении персональных данных от третьей стороны, организация обязана заранее уведомить об этом работника (п. 3 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона № 152-ФЗ). В уведомлении сотруднику сообщается о целях, предполагаемых источниках и способах получения или передачи персональных данных. Также в уведомлении указывается характер персональных данных, которые будут получены в ходе их передачи.

Информация ограниченного доступа плотно контактирует с информацией общего доступа в СМИ, которые также являются операторами персональных данных. Закон Российской Федерации «О средствах массовой информации» в статье 41 устанавливает императивное правило, в соответствии с которым редакция средства массовой информации не вправе разглашать в распространяемых сообщениях и материалах сведения, предоставленные гражданином с условием сохранения их в тайне. Редакция обязана сохранять в тайне источник информации и не вправе называть лицо,

предоставившее сведения с условием неразглашения его имени. Таким образом, закон напрямую устанавливает требование для средств массовой информации об обеспечении конфиденциальности сведений, полученных от физического лица и публикуемых в последующем в официальных источниках. Вполне логично, что ограничение, связанное с сохранением конфиденциальности сведений об источнике информации, установлено федеральным законом и ставит конфиденциальность в зависимость от усмотрения лица, являющегося непосредственным источником информации. Из этого, на наш взгляд, можно сделать вывод, что режим конфиденциальности устанавливается лицом, а закон предоставляет такую правовую возможность в виде правила поведения в отношении средств массовой информации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите персональных данных, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

3.Способы защиты персональных данных

Разглашение той или иной информации может существенным образом навредить человеку и не только в имущественном, социальном, но и в морально-нравственном аспекте его жизнедеятельности. В качестве объектов повышенной охраны выделяются такие, как жизнь здоровье, честь и достоинство, половая неприкосновенность, собственность и иные конституционные права и свободы человека и гражданина. В целом, можно говорить, что объектами повышенной охраны называются наиболее важные стороны человеческой жизни, то есть персональные данные, поддержание конфиденциальности которых обеспечивает, в свою очередь, безопасность другого объекта повышенной охраны - права на неприкосновенность частной жизни. Любая систематизированная и социально значимая информация может быть использована как во благо, так и во вред человеку. Опасность преступных посягательств в отношении персональных данных заключается в том, что нарушается комплекс правоотношений, в которых человек может себя идентифицировать на основании соответствующих персональных данных. Следовательно, нарушение одного права в таком случае влечёт нарушение других неотъемлемых прав, например, права на жизнь.

В ст.7 Конвенции 108 закреплено положение, касающееся обеспечения безопасности личных данных: в ней предусмотрено, что для целей безопасности личной информации, хранящейся в автоматизированных базах данных, принимаются надлежащие меры, направленные на предотвращение случайного или несанкционированного уничтожения / случайной потери сведений / несанкционированного доступа, изменения или распространения таких сведений. Также ст.8 в Конвенции 108 закрепляет дополнительные гарантии для субъектов личных сведений, предоставляя им возможность: знать об автоматизированных базах личных данных и их целях; получать подтверждение того, что их личная информация хранится в такой базе; добиваться исправления или уничтожения данных, если они подверглись обработке в нарушение национального законодательства; при невыполнении указанных просьб использовать соответствующие средства правовой защиты.

В силу ст. 10 Конвенции 108 каждое государство, присоединившееся к Конвенции. 108, должно закрепить надлежащие санкции и определить средства правовой защиты на случай нарушения норм национального законодательства, в котором воплощены принципы защиты данных, изложенных в Конвенции.

Защита персональных данных - это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

Защиту персональных данных делят на внутреннюю и внешнюю.

«Внутренняя защита».

Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание сотрудниками требований нормативно - методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

- организация порядка уничтожения информации;

- своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;

- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

- не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Генеральному директору, и в исключительных случаях, по письменному разрешению Генерального директора, руководителю структурного подразделения;

- персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.

«Внешняя защита».

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, сотрудники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- порядок приема, учета и контроля деятельности посетителей;

- пропускной режим компании;

- порядок охраны территории, зданий, помещений, транспортных средств;

- требования к защите информации при интервьюировании и собеседованиях.

В целом, перечень технических мероприятий по защите персональных данных в информационной системе выглядит следующим образом:

- недопущение несанкционированного доступа к персональным данным с помощью антивирусного программного обеспечения и системы паролей;

- деятельность по обнаружению фактов несанкционированного доступа и использования персональных данных (к примеру, обновление антивирусного программного обеспечения);

- охрана, а также регламентирование использования технических средств, с помощью которых происходит обработка персональных данных с целью недопущения нарушения их функционирования;

- наличие возможности восстановления персональных данных в случае уничтожения персональных данных (хранение резервных копий на съемных носителях).

Техническая защита персональных данных в информационных системах в организациях и на предприятиях бывает активной, пассивной и организационной. Пассивные методы технической защиты, как правило, требуют больших капиталовложений и серьезной доработки помещений любого центра обработки данных (отделка помещений звукоизоляционными материалами, установка решеток на окна, металлических входных дверей, турникетов, запорной арматуры на межкомнатные двери и т.д., использование железобетонных конструкций с повышенным содержанием металла)

На практике пассивные методы в системах технической защиты персональных данных используются редко и (или) частично. С одной стороны, это очень дорого. С другой, часто невозможно технически (экономически нецелесообразно) или требует проведения внушительных строительно-монтажных работ.

Почти всегда доступны для использования некоторые пассивные средства технической защиты информации и персональных данных (фильтры для электрических сетей, разделительные и распределительные электрощиты, замена запорной аппаратуры).

Активные методы защиты персональных данных применяются, когда контролируемая зона информационной системы превышает площадь объекта или когда использование пассивных средств нецелесообразно экономически или невозможно технически (пространственное зашумление для создания маскирующих помех в окружающем пространстве, линейное зашумление линий электропитания, генераторы шума для защиты акустической информации, генераторы импульсов для уничтожения закладных устройств (жучков), электромагнитное или ультразвуковое подавление диктофонов.)

К организационным методами технической защиты персональных данных можно отнести проведение специальных проверок и исследований защищенности информационных систем, проверки каналов и линий связи, носителей информации на внедрение электронных средств перехвата (уничтожения) информации (этот метод является одновременно и организационным, и пассивным).

Заключение

Таким образом, обработка персональных данных в Российской Федерации осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119. Средства защиты персональных данных выбираются оператором в соответствии с правовыми актами, исходящими от Федеральной службы безопасности Российской Федерации, а также от Федеральной службы по техническому и экспортному контролю.

Личная тайна работника или любого другого человека охраняется законом на самом высшем уровне. Основная причина правонарушений в данных вопросах - это неграмотность работников отделов кадров. На очень многих предприятиях нет конкретных правил хранения персональных данных.

Персональные данные отнесены Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.97 № 188, к категории конфиденциальной информации, таким образом лицо, получившее доступ к персональным данным, обязано обеспечивать конфиденциальность таких данных, соблюдать требования о недопустимости их распространения без согласия субъекта персональных данных или иного законного основания.

Правовой статус персональных данных устанавливается международными нормативно-правовыми актами: Всеобщей декларацией прав человека 1948 г., Европейской конвенцией о защите прав человека и основных свобод, - и нормами национального законодательства Российской Федерации: Конституцией РФ, Трудовым кодексом РФ, Федеральным законом «О персональных данных», Федеральным законом «Об информации, информационных технологиях и защите информации», Законом «О государственной тайне» и другими.

Список литературы

персональный данные защита

1. Федеральный закон «О противодействии коррупции» от 25.12.2008 №273-Ф3 // СЗ РФ. 2008. №52 (ч. 1). Ст. 6228.

2. Федеральный закон «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно- телекоммуникационных сетей» от 05.05.2014 №97-ФЗ // Российская газета. 2014. №6373.

3. Закон Российской Федерации «О средствах массовой информации».

4. Закон РФ от 21 июля 1993 г. № 5485-1 "О государственной тайне".

5. Указ Президента РФ №188 от 6.03.97г. «Перечень сведений конфиденциального характера».

6. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ.

7. Афанасьев А.В. (ИВТиИБ) Учебное пособие "Основы информационной безопасности".

8. С. Д. Уоррен Л. Д. Брендайс -- Harvard Law Review --The Right to Privacy.

9. Акулов О.А. Информатика: базовый курс: учеб. для студентов вузов, бакалавров, магистров. - 4-е изд., стер. - Москва: Омега-Л, 2007.-560с.

10. Анин Б.А. Защита компьютерной информации. - СПб.: БХВ-Петербург. 2000.- 384с.

11. Яковлева И.А. Информация с ограниченным доступом: понятие, признаки и тенденции в правовом регулировании и использовании в бизнес-среде // Актуальные проблемы российского права. 2013. № 11. С. 1442 -- 1447.

12. Требования к защите персональных данных при их обработке в информационных системах персональных данных: Постановление Правительства Российской Федерации от 01 нояб. 2012 г. № 1119 // Рос.газ. - 2012. - 07 нояб.

13.Трубачева С.И. Основные аспекты защиты персональных данных на предприятии

Размещено на Allbest.ru