Полная версия:
Защита персональных данных курс лекций
Запретить редактирование документа средствами программы Word;
Общую папку (разделяемый ресурс) на сервере, в которой хранится документ, сделать доступной только для чтения.
C какой периодичностью необходимо создавать образ (backup) системного и загрузочного диска операционной системы Windows, чтобы гарантировать актуальность системы и приложений на файловом сервере:
Ежедневно;
Еженедельно;
С регулярной периодичностью;
Незамедлительно, после существенных изменений в операционной системе или критических приложениях.
Что является критерием для расчета периодичности создания архивных копий пользовательских данных (например, базы персональных данных):
Ценность информации;
Объем информации;
Чем чаще, тем лучше;
Интегральная экономическая оценка. Период должен быть таким, чтобы затраты на повторный ввод информации были больше затрат на архивирование данных и их восстановление.
Инспектор отдела кадров заносит персональные данные соискателей на работу в обычную таблицу Excel пакета Microsoft Office, которая хранится в виде файла в папке «соискатели». Для обеспечения конфиденциальности системный администратор установил разрешения полного доступа к этой папке только для этого инспектора, запретив доступ всем другим пользователям. Обеспечена ли на самом деле конфиденциальность?
Да. Подсистема разграничения доступа к данным в операционной системе Windows абсолютно надежно предотвратит несанкционированный доступ к данной папке;
Нет. К этой папке имеет доступ (или может получить) пользователь с правами администратора;
Нет. К этой папке может иметь доступ нарушитель, который загрузит операционную систему с нештатного устройства загрузки, например, с DVD привода;
Нет. Достаточная конфиденциальность от нарушителей с высоким потенциалом знаний может быть обеспечена только криптографическими методами, т.е. шифрованием.
Персональные данные сотрудников небольшой фирмы хранились на компьютере главного бухгалтера в виде обычного документа в формате текстового редактора Word пакета Microsoft Office. Главному бухгалтеру заменили компьютер на более мощный, передав прежний в другой отдел, сотрудники которого не должны иметь доступ к персональным данным. Искушенный главный бухгалтер перед передачей удалил этот документ и очистил содержимое корзины средства проводника Windows. Выполнены ли все процедурные требования по защите персональных данных?
Нет. Удаление персональных данных должно сопровождаться составлением акта, подписанного специальной комиссией предприятия;
Да. Так как данные после такого удаления восстановить невозможно;
Нет. Удаление персональных данных должно сопровождаться составлением акта, подписанного специальной комиссией предприятия и занесением информации об этом в Журнал учета электронных носителей персональных данных;
Нет. так как после таких манипуляций по удалению фактически данные остались на жестком диске и могут быть восстановлены с помощью легкодоступных программ;
Лекция 3 правовое обеспечение защиты персональных данных
В лекции рассмотрены законодательные акты в сфере защиты персональных данных, федеральные службы, надзирающие и контролирующие выполнение требований по защите персональных данных, ответственность должностных и юридических лиц за нарушение требований законодательства по защите персональных данных
Оглавление
1.1. Необходимость в правовом регулировании
1.2. Нормативные акты в области защиты персональных данных
1.2.1. Конституция Российской федерации
1.2.2. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных
1.2.3. Федеральный закон «О персональных данных»
1.2.4. Постановление правительства РФ «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
1.2.5. Постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1.2.6. Постановление правительства РФ от 13.02.2019 № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных
1.2.7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
1.2.8. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
1.2.9. Приказ федеральной службы по техническому и экспортному контролю «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
1.2.10. Информационное сообщение от 15 июля 2013 г. № 240/22/2637 ФСТЭК
1.2.11. Информационное сообщение от 24 марта 2017 г. № 240/24/1382 по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации
1.2.12. Государственный стандарт ГОСТ Р 51583 – 2014 «Порядок создания автоматизированных систем в защищенном исполнении»
1.2.13. Постановление правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнение обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными и правовыми актами, операторами, являющимися государственными или муниципальными органами»
1.2.14. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144
1.2.15. Приказ Федеральной службы безопасности РФ № 378 от 10 июля 2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
1.2.16. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622
1.2.17. Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
1.2.18. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152».
1.2.19. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)».
1.2.20. Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».
1.2.21. Постановление Правительства РФ от 3 февраля 2012 г. «О лицензировании деятельности по технической защите конфиденциальной информации».
1.2.22. Постановление Правительства РФ от 16 марта 2009 г. № 228 «О федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (в ред. Постановлений Правительства РФ от 17.03.2010 г. № 160, от 15.06.2010 г. № 438).
1.2.23. Федеральный Закон 23.07.2013 г. № 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнениями полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных».
1.2.24. Федеральный Закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
1.2.25. Федеральный Закон от 7 февраля 2017 г. № 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".
1.2.26. Федеральный Закон от 30 декабря 2020 г.№ 519 -ФЗ «О внесение изменений в Федеральный закон «О персональных данных».
1.2.27. Трудовой кодекс Российской Федерации.
1.3. Регуляторы в области защиты персональных данных.
1.4. Ответственность за нарушение требований законодательства при обработке персональных данных.
1.4.1. Практический подход к анализу ответственности.
1.4.2. Перечень документов, определяющих ответственность должностных, юридических и иных лиц.
1. Административная ответственность.
2. Уголовная ответственность.
3. Ответственность за нарушения трудового законодательства.
Вопросы для самопроверки.
Используемая литература.
1.1. Необходимость в правовом регулировании
Физические лица по тем или иным причинам взаимодействуют с юридическими лицами – государственными и муниципальными органами, учреждениями здравоохранения, учебными учреждениями, торговыми предприятиями, туристическими фирмами и многими другими. В процессе этого взаимодействия между ними возникают правовые отношения: работник – работодатель, покупатель – продавец, клиент услуги – предприятие, предоставляющее услуги и т.д. Долговременные отношения регулируются договорами, например, трудовым договором. Кратковременные отношения, например, между физически лицом – покупателем колбасы и юридическим лицом – продуктовым магазином, регулируются специальными так называемыми конклюдентными (очевидными)действиями.
Для выполнения договорных обязательств физическое лицо (субъект персональных данных), обладающий информацией о себе, такой как ФИО, год и место рождения и т.п., передает эту информацию юридическому лицу. В свою очередь, юридическое лицо для выполнения договорных обязательств перед субъектом или в силу действующих законов РФ может передать эту информацию третьему юридическому лицу и т. д. Например, работник при заключении трудового договора с работодателем передает ему свои персональные данные в объеме, определенном в Трудовом кодексе РФ. Работодатель обязан систематически один раз в год в соответствии с п. 2 ст. 11 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" передавать данные о работнике (сумму доходов, сумму начисленных пенсионных взносов и т.д.) в Пенсионный фонд РФ.
Другой пример. Субъект персональных данных заключает договор с туристической фирмой, по которому турфирма берет на себя все хлопоты по организации отдыха туриста: оформление визы в стране отдыха, заказ авиабилета, организацию переезда из аэропорта в гостиницу, бронирование мест в гостинице. Выполняя договорные обязательства, турфирма передает персональные данные субъекта другим организациям, консульству, авиаперевозчику, гостинице.
Таким образом, со временем на законном основании обладателями персональных данных конкретного субъекта становятся многочисленные предприятия. Известно, что персональные данные могут быть использованы злоумышленником с нанесением имущественного или иного ущерба субъекту. Широчайшее распространение автоматизированных информационных систем обработки персональных данных, имеющих подключения к компьютерным сетям общего пользования, значительно упростило «утечку» и другие нарушения безопасности. Без эффективных систем безопасности на каждом предприятии права физических лиц могут быть нарушены и в действительности нарушаются. Количество и изощренность мошеннических схем, используемых злоумышленниками для нанесения вреда с использование персональных данных, нарастает по мере все большей информатизации общества. Поэтому актуален и правомерен вопрос, заинтересовано ли предприятие, законно ставшее обладателем персональных данных, в добровольной их защите?
Если персональные данные включены руководством или владельцем предприятия в информационный актив и, следовательно, нарушение безопасности этого актива неизбежно приведет к ощутимому ущербу для бизнеса, то такое предприятие экономически будет заинтересовано в их безопасности и будет создавать соответствующую систему защиты. Компания, специализирующаяся в разработке антивирусных программ и работающая с физическими лицами, вряд ли заинтересована в утечке своей клиентской базы или передаче ее конкурирующей фирме.
Если же персональные данные не включены руководством или владельцем предприятия в информационный актив, то о никакой добровольной защите их не может быть и речи. С позиции руководства – это не нужная работа, требующая не производительной траты времени, финансовых и прочих ресурсов. В самом деле, как может повлиять нарушение конфиденциальности персональных данных сотрудников городской администрации на ее деятельность?
Есть глубокая уверенность, что количество предприятий с безразличным отношением к безопасности персональных данных неизмеримо больше числа тех, для которых персональные данные очень ценный информационный актив.
Поэтому на уровне государственных органов должны быть ответы на вопросы: что же такое персональные данные, кто имеет право получать персональные данные и с какой целью, кому он имеет право передавать, сколько времени он имеет право обрабатывать, какую ответственность и перед кем несет в случае неправомерного использования, как они должны быть защищены, кто контролирует уровень защиты?
Естественно, что государство РФ должно защищать права своих граждан путем создания нормативных актов в виде законов РФ, постановлений правительства и других нормативных документов, направленных на надлежащее регулирование информационных отношений среди субъектов, обрабатывающих персональные данные. Кроме этого, оно должно наделить свои соответствующие Институты обязанностями и полномочиями за контролем неукоснительного выполнения требований этих нормативных документов.
1.2. Нормативные акты в области защиты персональных данных
1.2.1. Конституция Российской федерации
Уже во 2-й статье Конституции провозглашено, что «Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина – обязанность государства». В соответствии с этой статьей субъект персональных данных (физическое лицо, человек) имеет право на то, что его персональные данные, законным обладателем которых стал любой другой субъект (предприятие) будут защищены государством от неправомерного использования. И если это не так, то государство не выполняет своих обязанностей перед человеком и гражданином.
В п. 4 статьи 15 утверждается верховенство, признанных РФ норм международного права: «Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора».
Побудительным мотивом серьезного государственного отношения к защите персональных данных в РФ послужила Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных.
1.2.2. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных
Российская Федерация присоединилась к Конвенции Совета Европы, принятой 28 января 1981, в ноябре 2001 года, ратифицировала ее 19 декабря 2005 года (ФЗ от 19 декабря 2005 г. № 160 –ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных») и обязалась следовать основным принципам Конвенции. Как провозглашено в общих положениях Конвенции ее целью «является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных («защита данных»)». Многие положения из Конвенции в немного измененной формулировке вошли в основной закон № 152 «О персональных данных».
К тексту Конвенции, как прообразу Российских законов по защите персональных данных, будет обращение по мере изложения лекционных материалов в случае двусмысленных, противоречивых или ограничивающих положений в российских нормативных актах.
1.2.3. Федеральный закон «О персональных данных»
Основной закон в сфере персональных данных, принятый в 2006 году и вступивший в действие с начала 2007 года, определил базовые понятия, сферу действия, ответственность, права и обязанности взаимодействующих субъектов (физических лиц и операторов персональных данных), установил общие требования к информационным системам по обработке персональных данных. Содержание закона вызвало неоднозначную реакцию, как в экспертном сообществе, так и в среде тех, кто был обязан его выполнять. Неоднозначные формулировки, ставившие в тупик профессионалов в области информационной безопасности, строгость мер, сравнимых с мерами по защите государственной тайны, неготовность предприятий в первую очередь бюджетных организаций из-за отсутствия финансирования на выполнение работ по защите, были причиной неоднократного переноса срока вступления в действие закона. Последняя редакция закона принята 25 июля 2011 года под № 261-ФЗ.
Однако при всем несовершенстве первоначальной версии закона общество оценило первые шаги государства, направленные на защиту интересов физических лиц. Интересно, появился бы такой закон, если бы наше государство не поставило цель присоединиться к Всемирной Торговой Организации, ВТО?
Тщательный анализ статей закона будет проведен в лекции № 4 «Анализ ФЗ № 152 «О персональных данных».
1.2.4. Постановление правительства РФ «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Законом «О персональных данных» не исключается обработка персональных данных без привлечения средств автоматизации, т.е., по существу, без компьютеров. Поэтому такие традиционные средства как ручка и бумага имеют право на существование и в 21 веке. Нарушение информационной безопасности в таких, с позволения сказать, системах возможно только при физическом присутствии потенциального нарушителя в непосредственной близости с носителем информации, т.е. бумагой или аналогичным носителем. Целостность и доступность определяются физическими характеристиками металлического шкафа, где хранятся носители, и наличием ключа от замка этого шкафа. Конфиденциальность может быть нарушена, если одно физическое лицо может видеть персональные данные другого, если они находятся, например, на одной странице.
Примером такой обработки может быть бумажная платежная ведомость, в которой указаны ФИО работника и его заработная плата, или журнал на проходной предприятия, в котором фиксируются персональные данные субъекта, входящего на территорию предприятия.
В данном постановлении Правительства от 15 сентября 2008 г. за номером 687 излагается порядок (требования и меры) при «ручной» обработке персональных данных. Для чтения этого документа никаких знаний из области информационной безопасности не требуется, поэтому предлагается его самостоятельное изучение.
1.2.5. Постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
В ФЗ «О персональных данных» за № 152-ФЗ в статье 19 в обобщенном виде перечислены меры по обеспечению безопасности персональных данных при их обработке в информационных системах. В пункте 3 данной статьи Правительству РФ предписано конкретизировать эти меры с учетом различных факторов (возможного вреда субъекту персональных данных при инцидентах информационной безопасности, объема и содержания обрабатываемых персональных данных, вида деятельности предприятий) и определить важное понятие «уровень защищенности персональных данных». Именно от уровня защищенности зависит стоимость, а также сложность мер и средств по обеспечению безопасности персональных данных.
До последней редакция Закона таким основополагающим понятием было понятие «класс информационной системы».
Во исполнение статьи 19 правительство выпустило постановление от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Этим постановлением также прекращено ранее действующее постановление от 17 ноября 2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
В постановлении №1119 предложен подход, по которому информационной системе в зависимости от «ценности» персональных данных назначается один из четырех уровней защищенности: 1-й уровень – самый высокий; 4-й уровень – самый низкий. По поручению правительства федеральная служба по техническому и экспортному контролю разработала перечень мер для каждого уровня защищенности, применение которых, по мнению разработчика, должно обеспечить надлежащую безопасность персональных данных.
Учитывая исключительную важность отнесения информационной системы к тому или иному уровню защищенности, которое может повлечь при неправильной классификации к непомерному увеличению затрат на защиту персональных данных или не надлежащей защите, данное понятие подвергается углубленному анализу в лекции № 4 «Анализ Постановления Правительства №1119».
1.2.6. Постановление правительства РФ от 13.02.2019 № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных
