МИТСО.811з:

Основы информационной безопасности при работе на компьютере
[+]
Опубликован: 03.08.2011 | Уровень: для всех | Доступ: свободно
Лекция 1:

Общие понятия безопасности персональных данных
A
|
версия для печати
Лекция 1: 12 || Лекция 2 >

Федеральные законы № 152-ФЗ,№149-ФЗ

А что же говорит закон об осуществлении безопасности персональных данных? Обратимся к Федеральному закону № 152-ФЗ. В соответствии с 152-ФЗ, каждое предприятие должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все необходимые меры во избежание следующих правонарушений:

  1. кража персональных данных;
  2. изменение;
  3. блокирование;
  4. копирование;
  5. разглашение информации и другие незаконные действия, указанные в 152-ФЗ.

Поскольку под понятие "Персональные данные" попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое, то система защиты персональных данных нужна фактически любой организации. В случае нарушения положений закона № 152-ФЗ о защите персональных данных компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица – к гражданской, уголовной, административной, дисциплинарной ответственности. Согласно закону "О персональных данных", каждое предприятие должно осуществлять защиту персональных данных своих пользователей с помощью следующих средств:

  1. Средства контроля за доступом к сети
  2. Средства контроля утечек персональных данных
  3. Сертифицированные межсетевые экраны
  4. Сертифицированные средства антивирусной защиты.

Защита персональных данных на финальном этапе создания системы представляет собой аттестацию информационной системы по требованиям защиты информации Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Само же понятие персональных данных определено следующим выражением: персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Интересен тот факт, что закон не рассматривает конкретно и в явном виде то, что персональной информацией могут быть и фотографии пользователя, его пароли и логины к различным веб-ресурсам, а также данные подобного типа (на этот тип персональных данных не указывает явно определение персональных данных, хотя, возможно, имеются в виду и подобные типы данных). Эти данные также можно отнести к персональным данным, и, по сути, они являются таковыми. Также закон вводит такое понятие как актуальность данных (то есть, например, фамилия может поменяться со временем у определенного лица). Статья восьмая рассказывает о весьма интересном положении по отношению к открытым местам хранения персональных данных:

  1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
  2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

То есть, различные телефонные справочники, распространенные в сети Интернет, являются незаконными, т.к они хоть и являются общедоступным источником, но вряд ли у субъектов спрашивали их письменные согласия на распространение своих персональных данных в общедоступном виде. Также интересна статья 10 о специальных категориях персональных данных:

  1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
  2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
    1. субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
    2. персональные данные являются общедоступными;
    3. персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов, либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
    4. обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
    5. обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественными объединениями или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
    6. обработка персональных данных необходима в связи с осуществлением правосудия;
    7. обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
  3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
  4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Также законом предусмотрен особый вид персональных данных, именуемый биометрическими персональными данными. Данное понятие вводится в статье 11 закона о персональных данных:

  1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
  2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Как можно увидеть, законодательный акт, выраженный Федеральным законом № 152-ФЗ, надежно защищает персональные данные пользователя. Вместе с этим законом также существует перекрестный Федеральный закон №149-ФЗ "об информации, информационных технологиях и о защите информации". И хотя в целом он не относится к персональным данным, но косвенно пересекается с ними и следующая статья 8 данного закона рассказывает о праве доступа на информацию:

  1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.
  2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.
  3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
  4. Не может быть ограничен доступ к:
    1. нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
    2. информации о состоянии окружающей среды;
    3. информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
    4. информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
    5. иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
  5. Государственные органы и органы местного самоуправления обязаны обеспечивать доступ к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.
  6. Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу, либо в суд.
  7. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.
  8. Предоставляется бесплатно информация:
    1. о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях;
    2. затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;
    3. иная установленная законом информация.
  9. Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами.

Внимательно изучая данные законы и их статьи, можно наиболее глубоко вникнуть в юридические аспекты в области защиты информации.

Дальше >>
Лекция 1: 12 || Лекция 2 >

Вопросы и ответы

вопросов: 5
Екатерина Дюбко
Екатерина Дюбко
Нет данных о прохождении курса в зачетке
ответить
Александр Мишин
Александр Мишин
Каким образом распространялись первые антивирусы?
ответить

Студенты

всего: 12056
Александр Климов
Александр Климов
Россия, Московское высшее техническое училище им. Н. Э. Баумана, 1989
предложить дружбу
Игорь Матусевич
Игорь Матусевич
Россия
предложить дружбу