ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «РОССИЙСКАЯ ПРАВОВАЯ АКАДЕМИЯ МИНИСТЕРСТВАЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ Выполнил: студент 1 курса (СПО) Гунбина Анна Сергеевна Проверил: кандидат юридических наук доцент Булгакова Елена Валерьевна

1. Определить основные понятия, касающиеся персональных данных (далее по тексту ПД). Обозначить особенности ПД и их отличие от другой информации ограниченного доступа 2. Определить правовую защиту ПД в РФ 3. Классифицировать основные средства защиты ПД

Сбор, обработка, хранение и использование персональных данных осуществляются во многих сферах деятельности общества и государства. Такими сферами, например, являются финансовая и налоговая, сфера пенсионного, социального и медицинского страхования, оперативно-розыскная деятельность, трудовая и другие области общественной жизни. Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней – от федерального до муниципальных образований. В настоящее время институт персональных данных формируется как важная составляющая права России.

1. Конституция РФ 2. Федеральный закон от N 152-ФЗ "О персональных данных» 3. Трудовой Кодекс РФ от 26 декабря 2001 г. N 197-Ф (Часть третья) Раздел III. Трудовой договор. Глава 14. Защита персональных данных работника 4. Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москвы "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 5. Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля Конвенция о защите физических лиц при автоматизированной обработке персональных данных г. Страсбург от

ФЗ: «персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»

1) имя (фамилия, имя, отчество) и документы, подтверждающие личность; 2) пол, возраст и анатомические характеристики (рост, вес и др.) и биометрические данные; 3) сведения об образовании, квалификации, прохождении стажировки 4) сведения о состоянии здоровья и сексуальной ориентации; 5) национальная, этническая и расовая принадлежность; 6) место жительства; 7) сведения о привычках и увлечениях, в том числе "вредных" 8) особенности взаимоотношений и общения с другими людьми (семейное положение, наличие детей, родственные связи и др.); 9) данные о фактах предшествующей жизни и трудовой деятельности (месте предыдущей работы, размере заработка, судимости, службе в армии, пребывании на выборных должностях, на государственной службе и др.); 10) религиозные и политические убеждения 11) финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.); 12) сведения о деловых и иных личных качествах, которые носят оценочный характер.

По Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

Особенностью персональных данных и отличием от другой информации конфиденциального характера является возможность их перехода в разряд общедоступных. ФЗ: «общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности».

ФЗ: обработка ПД – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование, уничтожение ПД Для обработки ПД, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.

Компании, собирающие персональные данные, обязаны защищать собранные сведения от модификации и разглашения. За соблюдением нормативных требований следит «Роскомнадзор» – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ведущая реестр операторов персональных данных (

Если окажется, что в компании недостаточно заботятся о защите персональных данных, то ведомство вправе потребовать от оператора в трехдневный срок исправить все недочеты или уничтожить персональные данные.

– «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»: построения современной системы защиты с использованием антивирусных решений, межсетевых экранов, систем предотвращения вторжений, управления идентификацией пользователей и контроля доступа, шифрования, защиты от утечек, системы управления событиями безопасности и других защитных механизмов

1. Антивирусы. Защита от вирусов является одним из средств предотвращения утечек конфиденциальной информации, в том числе и персональных данных, – вирусы, черви и другие вредоносные программы часто занимаются воровством информации и организуют скрытые каналы утечки.

2. Межсетевые экраны. Корпоративная сеть целиком и каждое отдельное рабочее место должны быть защищены не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. Для этого достаточно поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и делает межсетевой экран. Часто к функциональности межсетевых экранов добавляют и средства организации виртуальных частных сетей – VPN «Лаборатории Касперского», Symantec, Eset, McAfee и Trend Micro

3. Системы предотвращения вторжений. Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливаются в разрыв сети и служат для выявления в проходящем трафике признаков нападения и для блокировки обнаруженной наиболее популярной атаки. Check Point McAfee Juniper Cisco

4. Сканеры уязвимостей. К общим средствам защиты относятся также сканеры уязвимостей, которые проверяют информационную систему на наличие различных «брешей» в операционных системах и программном обеспечении. Как правило, это отдельные программы или устройства, тестирующие систему путем посылки специальных запросов, имитирующих атаку на протокол или приложение. MaxPatrol, семейство продуктов IBM ISS, Symantec и McAfee

Имеется три класса таких продуктов: 1. системы контроля над периферийными устройствами, 2. системы защиты от утечек (Data Leak Prevention, DLP) 3. средства шифрования Продукты для предотвращения утечек конфиденциальной информации можно использовать и для предотвращения разглашения любых сведений. С помощью этих средств компания может не только формально удовлетворить требования ФСТЭК по защите персональных данных, но и попутно решить задачи по защите других видов конфиденциальной информации.

1. Контроль над устройствами. Нередко утечка данных происходит через съемные носители информации и несанкционированные каналы связи: флэш- память, USB-диски, Bluetooth или Wi-Fi, поэтому контроль за использованием USB- портов и другого периферийного оборудования также является одним из способов контроля утечек. На рынке имеется несколько решений этого класса, например от компаний SmartLine и SecureIT.

2. DLP. Системы защиты от утечек позволяют с помощью специальных алгоритмов выделить из потока данных конфиденциальные и заблокировать их несанкционированную передачу. В DLP-системах предусмотрены механизмы контроля разнообразных каналов передачи информации: электронной почты, мгновенных сообщений, Web-почты, печати на принтере, сохранения на съемном диске и др. Причем модули DLP блокируют утечку только конфиденциальных данных, поскольку имеют встроенные механизмы для определения того, насколько та или иная информация является секретной.

3. Шифрование. Защита данных от утечек так или иначе использует механизмы шифрования, а эта отрасль всегда контролировалась ФСБ, и все требования по сертификации систем шифрования публикуются и проверяются этим ведомством. Aladdin eToken SafeData InfoWatch и «Физтех-Софт»

Перечисленные продукты предотвращают утечки в том числе и персональных данных, хотя их можно использовать и для защиты другой критической для компании информации, однако следует помнить, что для выполнения требований закона «О персональных данных» надо пользоваться сертифицированными средствами защиты и при их установке следует проверить наличие сертификата ФСТЭК, а на средства шифрования и сертификата от ФСБ.