24763

Особенности правовой защиты персональных данных

Шпаргалка

Информатика, кибернетика и программирование

Особенности правовой защиты персональных данных. Эти процессы стимулируют создание системы правовой защиты персональных данных. Персональные данные любая информация относящаяся к прямо или косвенно определенному или определяемому физическому лицу субъекту персональных данных;ФЗ 152 Государственный надзор за выполнением требований законодательства в области защиты ПДн распределен между тремя ведомствами: 1 Роскомнадзор основной исполнительный и надзорный орган по защите прав физических лиц чьи персональные данные обрабатываются; 2...

Русский

2013-08-09

134.5 KB

21 чел.

Билет №21

1. Особенности правовой защиты персональных данных.

Правовая защита персональных данных напрямую связана с проблематикой киберпреступности, поскольку большинство преступлений в этой сфере либо начинается с незаконного получения персональных данных (мошенничества с электронными картами, "спам"), либо имеет целью получение таких данных (например, незаконное копирование и распространение баз данных, содержащих персональную информацию конфиденциального характера).

В условиях постиндустриального (информационного) развития общества масштабы таких преступлений резко увеличиваются, поскольку использование информационных и коммуникационных технологий существенно упрощает их совершение. Эти процессы стимулируют создание системы правовой защиты персональных данных.

ФЗ “Об информации, информатизации и защите информации” (п. 1 ст. 11) отнес персональные данные к категории конфиденциальной информации. Структура конфиденциальной информации установлена Указом Президента РФ “Об утверждении перечня сведений конфиденциального характера” №188 от 06.03.1997 г. и персональные данные есть в этом перечне. Позиция, по нашему мнению, спорная.

Во-первых, далеко не все персональные данные являются конфиденциальными. Многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п. – это персональные данные, которые обнародуются по согласию субъекта.

Во-вторых, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа ( Закон РФ "О государственной тайне", ФЗ "О коммерческой тайне" и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны – сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны – сведения о взаимоотношениях членов семьи, в том числе родственных.

Таким образом, персональные данные – это вид сведений, непосредственно связанных с личностью, а не самостоятельный режим конфиденциальности.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);(ФЗ 152)

Государственный надзор за выполнением требований законодательства в области защиты ПДн распределен  между тремя ведомствами:

1) Роскомнадзор - основной исполнительный и надзорный орган по защите прав физических лиц, чьи персональные данные обрабатываются;

2) ФСТЭК РФ - лицензирование деятельности операторов ПДн при осуществлении ими технической  защиты конфиденциальной информации, осуществляет контроль защиты информации с использования технических средств;

3) ФСБ РФ - лицензирование деятельности операторов ПДн, при использовании ими при защите  ПДн криптографических средств защиты и  курирует вопросы защиты информации с использованием средств шифрования.

В общем виде структура нормативно-правовых актов в области защиты персональных данных представлена на рисунке.

Ответственность за неисполнение требований по защите ПДн

За ненадлежащее исполнение вышеперечисленных нормативно-правовых актов по защите ПДн возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. В таблице приведены меры наказания за невыполнение требований законодательства по защите персональных данных: 

Статья

Нормативно-правовой акт

Название статьи

Максимальная мера наказания

5.39

КоАП

Отказ в предоставлении гражданину информации

3 000 руб.

13.11

КоАП

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (отсутствие согласия субъекта ПДн на обработку его ПДн)

10 000 руб.

13.12

КоАП

Использование несертифицированных средств защиты информации (при построении системы защиты ИСПДн)

20 000 руб. + конфискация + приостановление деятельности на срок до 90 суток

13.13

КоАП

Осуществление деятельности по защите ПДн без соответствующей лицензии.

20 000 руб. + конфискация

13.14

КоАП

Разглашение ПДн

5 000 руб.

19.5

КоАП

Невыполнение законного предписания контролирующего органа

20 000 руб.

19.7

КоАП

Непредставление или представление в неполном или искаженном виде сведений в государственные органы (Уведомление об обработке ПДн)

5 000 руб.

137

УК

Нарушение неприкосновенности частной жизни

300 000 руб. + лишение свободы до 4 лет

140

УК

Отказ в предоставлении информации, затрагивающей права и свободу гражданина

200 000 руб.

272

УК

неправомерный доступ к охраняемой законом компьютерной информации

200 000 руб. + лишение свободы до 2 лет

При причинении ущерба свыше 1 млн. руб

300 000 руб. + лишение свободы до 4 лет

81

ТК

Разглашение охраняемой законом тайны

увольнение

90

ТК

Нарушение норм, регулирующих обработку и защиту ПДн

увольнение

237

ТК

Неправомерные действия или бездействие работодателя

Размер возмещения морального ущерба определяет суд

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

I. Определить категорию обрабатываемых персональных данных: 
• категория 4 - обезличенные и (или) общедоступные персональные данные; 
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации; 
• объем 2 - одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 - одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах субъекта РФ или РФ.

III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов(см. табл.): 
•  класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
•  класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
• 
 класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
• 
 класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

2. Защита программ от несанкционированного копирования.

 В общем случае система защиты от несанкционированного копирования представляет собой комплекс средств, предназначенный для затруднения (предотвращения) нелегального копирования защищаемого программного модуля, с которым она ассоциирована.

     Структура системы защиты от несанкционированного копирования включает:  подсистему внедрения управляющих механизмов, подсистема реализации защитных функций, блок установки, блок сравнения, блок ответной реакции.

      Подсистема внедрения управляющих механизмов представляет собой комплекс программных средств, предназначенный для подключения внедряемого защитного кода к защищаемому программному модулю. Внедряемый защитный код – это программный модуль, задача которого состоит в противодействии попыткам запуска (исполнения) нелегальной копии защищаемой программы.

      Подсистема реализации защитных функций представляет собой программную секцию, решающую задачу распознавания легальности запуска защищаемой программы.

      Подсистема противодействия нейтрализации защитных механизмов предназначена для борьбы с возможными попытками нейтрализации системы защиты от несанкционированного копирования и/или её дискредитации.

      Блок установки характеристик среды отвечает за получение характеристик, идентифицирующих вычислительную среду.

      Блок сравнения характеристик среды устанавливает факт легальности запуска защищаемой программы.

    Блок ответной реакции реализует ответные действия системы защиты на попытки несанкционированного исполнения защищаемой программы.

      Поскольку стойкость системы защиты определяется стойкостью каждого её элемента, то в качестве объекта атаки может использоваться любая из описанных подсистем. Здесь необходимо отметить неоднородный уровень как самих идей, лежащих в основе той или иной подсистемы, так и их реализаций, что, в первую очередь связано с развитием приёмов, методов и средств для нейтрализации систем защиты. Учитывая современное состояние вопроса, наиболее актуальной задачей, является разработка подсистемы внедрения управляющих механизмов системы защиты и подсистемы установки характеристик среды, хотя остальные подсистемы должны быть разработаны не менее тщательно. Показательным примером является блок ответной реакции, который может, как просто выводить сообщение о незаконности копии, так и предпринимать более сложные действия, позволяющие на определённое время замаскировать наличие защиты, увеличивая тем самым время атаки. Но если функционирование блока ответной реакции может влиять на надёжность системы лишь косвенным образом, то зачастую самым слабым местом всей системы является блок сравнения характеристик среды и именно против него в первую очередь направлены атаки злоумышленников.  Подсистема внедрения управляющих механизмов.

      Системы защиты от несанкционированного копирования можно классифицировать по способу внедрения защитного механизма:

- встроенная (внедряется при создании программного продукта);

- пристыковочная (подключается к уже готовому программному продукту).

         

Наибольшую популярность в последнее время приобрели системы второго типа.

 Это обусловлено рядом преимуществ, которые даёт их использование:

  1.  простота тиражирования программных систем защиты на объекты заказчика и разработчика;
  2.  простота технологии применения; обеспечение достаточного уровня защищённости данных в силу специализации разработчиков;
  3.  более оптимальное соотношение “надёжность функционирования/затраты на разработку” по сравнению со встроенными системами, подготовленными непрофессионалами.

        Рассмотрим способы установки защитных механизмов в защищаемые программные модули. Одним из вариантов встраивания пристыковываемого модуля в исполняемый модуль является дописывание его по вирусному принципу.

При этом код защиты дописывается в некоторую область защищаемого файла и защищаемый файл модифицируется таким образом, чтобы управление передавалось на пристыкованный модуль защиты, который проверяет легальность копии, и в случае положительного ответа передаёт управление на исполняемый модуль.

         Такой подход к внедрению в исполняемые файлы имеет ряд существенных недостатков. Во-первых, исходный код защищаемой программы остаётся практически в неизменном виде,что значительно упрощает нейтрализацию защиты. Во-вторых, если предполагается защищать файлы большого размера и, как следствие, со сложной (может быть и с оверлейной) структурой, то необходимо учитывать то, что код, находящийся в конце загружен не будет, а значит, программный модуль не будет отработан. Некоторые недостатки можно устранить, если писать в начало программы не одну команду перехода, во весь код защиты. При этом необходимо модифицировать таблицу перемещения (которая находится в конце заголовка EXE-файла), в случае если защищается файл типа EXE.   

    

      Основным недостатком защит такого типа является то, что они могут быть нейтрализованы динамически, путём определения момента, когда защитная часть уже отработала и начал выполняться сам защищаемый код. Примером такого подхода к нейтрализации защит являются программы SNAPSHOT и INTRUDER. Основная идея метода, реализованного в подобных программах, заключается в двукратной загрузке исследуемого модуля по разным адресам памяти с последующим вычислением всей необходимой информации на основе анализа дампов памяти (под необходимой информацией здесь понимается заголовок EXE-файла, содержащий всю информацию, которая требуется операционной системе для загрузки программы). Другим важным недостатком описанных методов внедрения является то, что существующие защитные механизмы данного типа не могут обеспечить корректную защиту самомодифицирующихся программ, которые в процессе выполнения изменяют свой образ, хранящийся на диске. Исходя из указанных недостатков, можно сформулировать следующие требования к пристыковываемым модулям:

  1.  пристыковываемый модуль должен подключаться к файлам любого размера;
  2.  результирующий файл, полученный после подключения пристыковываемого модуля, должен быть устроен таким образом, чтобы максимально затруднить выделение исходной защищаемой программы;
  3.  пристыковываемый модуль не должен накладывать ограничений на функционирование защищённой программы, в частности, он должен позволять модифицировать в процессе работы свой собственный дисковый файл.  

Блок установки характеристик среды. 

      Если структура системы защиты от несанкционированного копирования практически не зависит от применяемых способов защиты, то конкретная реализация блока установки характеристик среды зависит от многих параметров, среди которых можно выделить способ предполагаемой организации распространения программного обеспечения.  

       В общем случае программное обеспечение может распространяться:

  1.  бесплатно (из альтруизма и соображений саморекламы);
  2.  условно бесплатно (по принципу “попробуй и купи” (try and buy) , когда оплата производится добровольно и только тогда, когда пользователь соглашается с реальной пользой для себя данного продукта);
  3.  на коммерческой основе.  

       Последний случай (распространение программного продукта на коммерческой основе) предусматривает наличие защиты, которая может включать или не включать в себя технические меры. При наличии технических мер защиты производитель может распространять свой программный продукт тремя основными способами, которые определяют конкретную реализацию блока установки характеристик среды:  

  1.  с помощью специальной службы распространения; 
  2.  через торговые организации; 
  3.  через свободное распространение дистрибутивных (демонстрационных) пакетов с последующей регистрацией.  

       При наличии специальной службы распространения контроль за дистрибутивными носителями вместо технических мер осуществляется организационными мерами. Сотрудники службы распространения выезжают с дистрибутивными комплектами к заказчикам, где производят установку программного обеспечения на жёсткий диск. Поскольку наличие у пользователя резервных копий не предусматривается, то в случае сбоя требуется повторный выезд сотрудника службы распространения, что обычно рассматривается как определённое неудобство. При данном способе блок установки характеристик среды должен уметь идентифицировать только параметры компьютера, благодаря чему разработка блока несколько упрощается. В случае распространения программных продуктов через торговые организации возможны следующие варианты:  

  1.  программа ассоциирует (связывает) себя с дистрибутивным носителем без “привязки” к конкретному компьютеру;
  2.  программа ассоциирует себя со специальным аппаратным устройством, подключаемым к компьютеру и входящим в дистрибутивный комплект;
  3.  программа ассоциирует себя как с дистрибутивным носителем (при инсталляции), так и с параметрами компьютера (в рабочем режиме).  

       Первые два варианта удобны тем, что позволяют переносить защищённые программы с компьютера на компьютер, но как плату за это требуют постоянного присутствия либо ключевой дискеты, либо специального аппаратного устройства.

       Свободный от этих недостатков третий вариант требует помимо обеспечения надёжности ключевой дискеты решения далеко не простой проблемы счётчика инсталляций. Достаточно интересен третий способ распространения программного обеспечения – посредством свободного распространения дистрибутивных (демонстрационных) пакетов. Суть этого способа лучше всего описать следующим сценарием. Пользователь, всё равно каким способом, получает программу и запускает её на своём компьютере. При запуске ему сообщается некоторый код, который вместе с квитанцией об оплате он должен передать разработчику. В ответ ему сообщается другой код, являющийся паролем для регистрации копии программы и ассоциации её с компьютером. По такому способу, например, защищён некогда популярный текстовый процессор “Слово и Дело”.    Таким образом, в зависимости от выбранного способа распространения программного продукта, блок установки характеристик среды должен

уметь идентифицировать параметры компьютера, дистрибутивного носителя, либо специального аппаратного устройства.

3. Концепция создания КСЗИ.

При построении КСЗИ важно обеспечить полноту составляющих защиты, учесть все факторы и обстоятельства, оказывающие влияние на качество защиты. Необходимо обеспечить безопасность всей совокупности подлежащей защите информации во всех компонентах ее сбора, хранения, передачи и использования, а также во время и при всех режимах функционирования систем обработки информации.

Понятно, что выполнение вышеприведенных требований в первую очередь требует создания замысла (концепции) построения КСЗИ. Рассмотрим содержательную составляющую написания такой концепции на примере «Концепции обеспечения безопасности информации в автоматизированной системе организации»  (далее — Концепция). Конечно, этот документ не охватывает всех вопросов, связанных с защитой информации предприятия, но обработка информации в электронном виде приобретает все больший вес, что объясняет важность изучения данной концепции.

Рассматриваемая Концепция состоит из введения, восьми разделов и приложений.

Основные разделы Концепции следующие:

1. Общие положения.

2. Объекты защиты.

3. Цели и задачи обеспечения безопасности информации.

4. Основные угрозы безопасности информации АС организации.

5. Основные положения технической политики в области обеспечения безопасности информации АС организации.

6. Основные принципы построения системы комплексной защиты информации (КСЗИ).

7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов.

8. Первоочередные мероприятия по обеспечению безопасности информации АС организации.

Подробное описание разделов Концепции в книге Грибунина. (10 глава)


 

А также другие работы, которые могут Вас заинтересовать

69832. ОСНОВНЫЕ ПРОБЛЕМЫ И ПОДХОДЫ К ПРЕПОДАВАНИЮ ПРАВА В СОВРЕМЕННОЙ ШКОЛЕ 31 KB
  Однако если в начале 90-х годов школа испытывала трудности из-за нехватки учебных пособий педагогических кадров профессионально подготовленных в области юриспруденции наглядных средств обучения и прочее то к настоящему времени ситуация кардинально изменилась.
69833. Основы национальной политики РФ (по Конституции 1993 года) 29.5 KB
  Федеративное устройство Российской Федерации основано на ее государственной целостности единстве системы государственной власти разграничении предметов ведения и полномочий между органами государственной власти Российской Федерации и органами государственной власти субъектов...
69834. Особенности искусства Средневековья 33 KB
  Кроме того церковь была главным заказчиком искусства. Церковь понимая огромную силу искусства по воздействию на людей использовала его для наставления в вере. Другой особенностью средневекового искусства была близость его к народному творчеству так как в отличие от античного искусства...
69835. Особенности национального вопроса в РФ 32.5 KB
  После распада СССР начался процесс переноса «демократических», антитоталитарных подходов в чувствительную сферу национальной политики. Раздавались требования предоставить любому народу право на самоопределение вплоть до отделения.
69836. Особенности управления Сибирью в XVI-XVIII вв 37 KB
  Региональные факторы формирования особенностей управления Сибирью Важную роль в формировании административной системы Сибири сыграли политико-географические факторы. Правительство приняло решение учредить в Сибири особый параллельный столице государства административный центр...
69837. МЕТОДОЛОГИЧЕСКИЕ ПРОБЛЕМЫ ПРЕПОДАВАНИЯ ТЕОРИИ ПРАВА И ГОСУДАРСТВА 31 KB
  Общая теория права и государства фундаментальная методологическая наука правоведения дающая систему знаний о социальном назначении права и государства закономерностях и тенденциях их развития исторических судьбах путях практических преобразований об общем понятийном...
69838. Методика и методы правового обучения 309.5 KB
  Методика правового обучения включает в себя специфические частные закономерности обучения правовым дисциплинам, технологический инструментарий, позволяющий оптимальными методами и средствами усваивать содержание той или иной дисциплины, овладевать опытом предметной деятельности.
69839. МЕТОДИКА ПРЕПОДАВАНИЯ АДМИНИСТРАТИВНОГО ПРАВА 67.5 KB
  Бельский первым среди современных ученых-административистов предпринял весьма важную попытку проанализировать историю административного права показать истоки российской административно-правовой науки. Его книга Феноменология административного права заслуживает самых лестных отзывов.