Закон Российской Федерации о защите персональных данных

Оператор и субъект персональных данных. Категории персональных данных, обрабатываемые в ИСПДн, ответственность за нарушения по обработке. Жизненный цикл персональных данных, срок обработки. Классы типовой информационной системы, аттестация и сертификация.
Краткое сожержание материала:

Размещено на

Министерство по образованию и науке Российской Федерации

Томский государственный университет систем управления и радиоэлектроники

Кафедра РТЦ

Реферат по дисциплине «Основы информационной безопасности»

Тема: Закон Российской Федерации о защите персональных данных

2011

Введение

Нужно ли защищать информацию о конкретном человеке, которая позволяет его идентифицировать? Для большинства людей этот вопрос уже решен. Законодательства многих стран, прежде всего, их конституции, содержат принципы защиты неприкосновенности частной жизни, защиты личной тайны, privecy, запрет на сбор информации о человеке без его согласия.

Жизнь человека в информационном мире неизбежно делает его более прозрачным для государства и общества, поэтому желание сохранить "информационную приватность" становится все более ощутимым. Собственно говоря, именно развитие информационно-телекоммуникационных технологий, внедрение их во все сферы жизни общества и государства, перевод многочисленных картотек в цифровую форму побудили людей задуматься о защите этой весьма чувствительной информации. Новые технологии, с одной стороны, существенно упростили сбор, обработку, хранение, передачу данных, а с другой - создали очевидные угрозы их незаконного оборота, что ведет к нарушениям прав личности.

Нужно ли особым образом защищать персональные данные, если и без этого существуют режимы личной, семейной, профессиональной, государственной, коммерческой, служебной тайн?

Для приведения в соответствие с требованиями Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных» (далее - Закон №152-ФЗ) защиты персональных данных требуется внедрение новых ИТ-продуктов, принятие организационных мер и модернизация бизнес-процессов компании. Но первым шагом организаций, которые владеют личной информацией, является необходимость подать заявку о регистрации в Роскомнадзор. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Юридические или физические лица при обработке персональных данных обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Организации или физ.лица до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением следующих случаев: 1) относящихся к субъектам персональных данных, которых связаны с трудовыми отношениями; 2) полученных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится юридическое лицо, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Разъяснить технические требования к компаниям должны были документы ФСТЭК (Федеральная служба по техническому и экспортному контролю), которая вплотную подключится к проверкам вместе с ФСБ. В 2008г. служба выпустила четыре нормативных документа с подробными инструкциями по исполнению Закона №152-ФЗ. Однако данные документы создали противоречия, они повторили требования инструкций, предъявляемые к системам, обрабатывающим гостайну, которые не так актуальны для юридических и физических лиц.

К примеру, служба предлагает устранять утечку информации по акустическому и виброакустическому каналам. Итак, наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее - их неконкретность. Эта причина является основной для преодоления препятствий к осуществлению требованиям Федерального закона. На данный момент компании могут реализовать лишь самые общие положения закона - внедрить систему защиты от утечек и инсайдеров, криптографические средства и разделение доступа. Отсюда можно сделать вывод, что сегодня рынок объективно не готов к осуществлению требований Закона №152-ФЗ. Отметим, что согласно ст. 24 гл. 5 Закона №152-ФЗ лица, виновные в нарушении его требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. В случае проверки ФСТЭК и ФСБ и обнаружении нарушений компанию могут лишить права заниматься основным видом деятельности и оштрафовать на сумму до 500 000 рублей. Кроме этого, законом предусмотрен арест собственника бизнеса, лишение его свободы на срок до 5 лет и исправительные работы сроком до года. На 2011г. запланировано около 3тысяч проверок, изучить план проверок можно на официальном сайте Генпрокуратуры.

Персональные данные

В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Персональные данные (данные) - информация, несущая определенно личный характер к своему владельцу. Главное отличие персональных данных от корпоративных данных - это то, что при похищении персональных данных ущерб будет нанесен конкретному лицу в первую очередь (а потом возможно по цепочке украсть и данные друзей лица), а при похищении корпоративных данных урон будет нанесен в первую очередь компании, то есть группе лиц (а уже потом конкретно каждому лицу).

Примерами персональных данных могут служить переписка по электронной почте, файлы пользователя (например, файл диплома или созданный пользователем рисунок), логины и пароли к различным онлайн-сервисам (или веб-сайтам), данные кредитной карточки пользователя, фотографии пользователя (его собственные), его паспортные данные (которые могут храниться у пользователя на компьютере).

Персональные данные могут представлять в ряде случаев определенный интерес у злоумышленника. Например, зная ваш номер кредитной карты и ее пин-код, злоумышленник может сделать любые покупки и переводы в сети Интернет от вашего лица, а вы только будете удивляться тому, куда уходят ваши деньги. Другой пример: вы пользователь платного онлайн-сервиса (например, сервиса Интернет-телефонии). Зная ваш логин и пароль к сервису, злоумышленник может пользоваться этим сервисом от вашего имени, не заплатив при этом ни копейки. Суть похищения вашей персональной информации может быть не только в виде денежной прибыли, но также заключаться в личном интересе, например, злоумышленника может интересовать ваша личная жизнь, и он захочет просмотреть все ваши фотографии.

При этом действия злоумышленника могут носить различный характер: направленный и локальный. При направленном характере действий злоумышленник будет намеренно охотиться именно за вашей личной информацией (например,...