Актуальность проблемы защиты информации. Структура государственной системы защиты информации.

Почему необходимо защищать персональные данные ? Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту …

Необходимость принятия мер по защите персональных данных ( ПДн ) вызвана также возросшими техническими возможностями по копированию и распространению информации.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке.

Защита персональных данных – это требование бизнеса Организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации

Защита персональных данных – это требование закона. Государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основано на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152- ФЗ « О персональных данных », других федеральных законов и нормативных актов.

Требование международного законодательства Согласно Директиве 95/46/ ЕС Евросоюза персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе. В 1981 году Совет Европы принял Конвенцию « О защите личности в связи с автоматической обработкой персональных данных ».

25 ноября 2005 г. Государственная Дума ратифицировала Конвенцию ( ФЗ от ФЗ « О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных »), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн.

Исторические предпосылки Франция запретила публикацию фактов о частной жизни и установила штрафы для нарушителей в 1858 г. Норвежский уголовный кодекс запретил публикацию информации, касающейся « персональных или частных дел », в 1889 г.

Первый закон о защите персональных данных на национальном уровне был принят в 1973 году в Швеции, в 1974 году - в США. В большинстве стран законы о защите персональных данных принимались в годах

Основные термины Конвенции Совета Европы Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (« субъекта данных »); Автоматизированная база данных означает любой набор данных к которым применяется автоматическая обработка ;

Автоматическая обработка включает следующие операции, осуществляемые с применением автоматизированных средств : накопление данных, проведение логико - арифметических операций с данными, их изменение, стирание, восстановление или распространение ; Контролером базы данных является физическое или юридическое лицо, государственный орган, ведомство или любая другая организация, которая наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться

Требования к ПДн ( Конвенция ) должны быть получены и обработаны добросовестным и законным образом ; должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями ; должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются ; должны быть точными и в случае необходимости обновляться ; должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

Задачи при работе с ПДн ( Конвенция ): защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих полномочий ; обеспечение сохранности, целостности и достоверности ПДн в ходе работы с ними, в том числе при передаче по каналам связи ; обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных ; обеспечение контроля над использованием ПДн со стороны самого гражданина ; создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных ( например, создание должности Уполномоченного по защите ПДн ).

Акты международного законодательства в сфере регулирования защиты ПДн п/п Основные законодательные акты 1Конвенция Совета Европы от 28 января 1981 года (с изменениями 1999 года) «О защите личности в связи с автоматической обра­боткой персональных данных» (ратифицирована Федеральным законом от 19 декабря 2005 года 160-ФЗ) 2Директива 95/46/ЕС Европейского парламента и Совета Европей­ского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» 3Директива 97/66/ЕС Европейского парламента и Совета Европей­ского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций 4Дополнительный протокол к Конвенции «О защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информа­ции (Страсбург, 8 ноября 2001 года) ETS 181

Российское законодательство Закон 152- ФЗ определил высокоуровневые требования, конкретизированные в актах Правительства РФ, документах регуляторов Федеральной службы по техническому и экспортному контролю ( ФСТЭК России ), Федеральной службы безопасности Российской Федерации ( ФСБ России ) и Федеральной службы по надзору в сфере связи и массовых коммуникаций ( Роскомнадзор ).

Цель российского законодательства в области ЗПД Обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами

Отличие российского и международного законодательства Канадский, английский и американский стандарты, в отличие от российского, дают более общие рекомендации по обеспечению безопасности ПДн и не предписывают, как конкретно должны защищаться персональные данные. Более того, американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.

Новое в документации В организациях возникает новый, объемный пласт документации. Это документы, связанные с получением согласия физических лиц на обработку их персональных данных, с регистрацией баз данных в уполномоченном органе, с документированием всех операций с персональными данными и т. д. Необходимость выделения содержащих ПДн документов и информации ; их особой маркировки как на бумажных, так и на электронных носителях ; ведения отдельного учета и отслеживания доступа к ним. Практически появление еще одного вида грифа доступа к документам

Принципиально изменяется подход к установлению сроков хранения документов и информации. Впервые в отечественной практике устанавливается максимальный срок хранения, причем срок условный, который непросто соблюдать и отслеживать. При работе с персональными данными необходимо заранее четко продумать и зафиксировать в нормативных документах всё, что связано с их обработкой. В противном случае организация может быть привлечена к ответственности и возможны многочисленные судебные иски от самих субъектов ­ персональных данных. Законом вводятся жесткие сроки исполнения всех обращений граждан, связанных с обработкой ПДн.