24763

Особенности правовой защиты персональных данных

Шпаргалка

Информатика, кибернетика и программирование

Особенности правовой защиты персональных данных. Эти процессы стимулируют создание системы правовой защиты персональных данных. Персональные данные любая информация относящаяся к прямо или косвенно определенному или определяемому физическому лицу субъекту персональных данных;ФЗ 152 Государственный надзор за выполнением требований законодательства в области защиты ПДн распределен между тремя ведомствами: 1 Роскомнадзор основной исполнительный и надзорный орган по защите прав физических лиц чьи персональные данные обрабатываются; 2...

Русский

2013-08-09

134.5 KB

21 чел.

Билет №21

1. Особенности правовой защиты персональных данных.

Правовая защита персональных данных напрямую связана с проблематикой киберпреступности, поскольку большинство преступлений в этой сфере либо начинается с незаконного получения персональных данных (мошенничества с электронными картами, "спам"), либо имеет целью получение таких данных (например, незаконное копирование и распространение баз данных, содержащих персональную информацию конфиденциального характера).

В условиях постиндустриального (информационного) развития общества масштабы таких преступлений резко увеличиваются, поскольку использование информационных и коммуникационных технологий существенно упрощает их совершение. Эти процессы стимулируют создание системы правовой защиты персональных данных.

ФЗ “Об информации, информатизации и защите информации” (п. 1 ст. 11) отнес персональные данные к категории конфиденциальной информации. Структура конфиденциальной информации установлена Указом Президента РФ “Об утверждении перечня сведений конфиденциального характера” №188 от 06.03.1997 г. и персональные данные есть в этом перечне. Позиция, по нашему мнению, спорная.

Во-первых, далеко не все персональные данные являются конфиденциальными. Многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п. – это персональные данные, которые обнародуются по согласию субъекта.

Во-вторых, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа ( Закон РФ "О государственной тайне", ФЗ "О коммерческой тайне" и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны – сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны – сведения о взаимоотношениях членов семьи, в том числе родственных.

Таким образом, персональные данные – это вид сведений, непосредственно связанных с личностью, а не самостоятельный режим конфиденциальности.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);(ФЗ 152)

Государственный надзор за выполнением требований законодательства в области защиты ПДн распределен  между тремя ведомствами:

1) Роскомнадзор - основной исполнительный и надзорный орган по защите прав физических лиц, чьи персональные данные обрабатываются;

2) ФСТЭК РФ - лицензирование деятельности операторов ПДн при осуществлении ими технической  защиты конфиденциальной информации, осуществляет контроль защиты информации с использования технических средств;

3) ФСБ РФ - лицензирование деятельности операторов ПДн, при использовании ими при защите  ПДн криптографических средств защиты и  курирует вопросы защиты информации с использованием средств шифрования.

В общем виде структура нормативно-правовых актов в области защиты персональных данных представлена на рисунке.

Ответственность за неисполнение требований по защите ПДн

За ненадлежащее исполнение вышеперечисленных нормативно-правовых актов по защите ПДн возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. В таблице приведены меры наказания за невыполнение требований законодательства по защите персональных данных: 

Статья

Нормативно-правовой акт

Название статьи

Максимальная мера наказания

5.39

КоАП

Отказ в предоставлении гражданину информации

3 000 руб.

13.11

КоАП

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (отсутствие согласия субъекта ПДн на обработку его ПДн)

10 000 руб.

13.12

КоАП

Использование несертифицированных средств защиты информации (при построении системы защиты ИСПДн)

20 000 руб. + конфискация + приостановление деятельности на срок до 90 суток

13.13

КоАП

Осуществление деятельности по защите ПДн без соответствующей лицензии.

20 000 руб. + конфискация

13.14

КоАП

Разглашение ПДн

5 000 руб.

19.5

КоАП

Невыполнение законного предписания контролирующего органа

20 000 руб.

19.7

КоАП

Непредставление или представление в неполном или искаженном виде сведений в государственные органы (Уведомление об обработке ПДн)

5 000 руб.

137

УК

Нарушение неприкосновенности частной жизни

300 000 руб. + лишение свободы до 4 лет

140

УК

Отказ в предоставлении информации, затрагивающей права и свободу гражданина

200 000 руб.

272

УК

неправомерный доступ к охраняемой законом компьютерной информации

200 000 руб. + лишение свободы до 2 лет

При причинении ущерба свыше 1 млн. руб

300 000 руб. + лишение свободы до 4 лет

81

ТК

Разглашение охраняемой законом тайны

увольнение

90

ТК

Нарушение норм, регулирующих обработку и защиту ПДн

увольнение

237

ТК

Неправомерные действия или бездействие работодателя

Размер возмещения морального ущерба определяет суд

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

I. Определить категорию обрабатываемых персональных данных: 
• категория 4 - обезличенные и (или) общедоступные персональные данные; 
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации; 
• объем 2 - одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 - одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах субъекта РФ или РФ.

III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов(см. табл.): 
•  класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
•  класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
• 
 класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
• 
 класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

2. Защита программ от несанкционированного копирования.

 В общем случае система защиты от несанкционированного копирования представляет собой комплекс средств, предназначенный для затруднения (предотвращения) нелегального копирования защищаемого программного модуля, с которым она ассоциирована.

     Структура системы защиты от несанкционированного копирования включает:  подсистему внедрения управляющих механизмов, подсистема реализации защитных функций, блок установки, блок сравнения, блок ответной реакции.

      Подсистема внедрения управляющих механизмов представляет собой комплекс программных средств, предназначенный для подключения внедряемого защитного кода к защищаемому программному модулю. Внедряемый защитный код – это программный модуль, задача которого состоит в противодействии попыткам запуска (исполнения) нелегальной копии защищаемой программы.

      Подсистема реализации защитных функций представляет собой программную секцию, решающую задачу распознавания легальности запуска защищаемой программы.

      Подсистема противодействия нейтрализации защитных механизмов предназначена для борьбы с возможными попытками нейтрализации системы защиты от несанкционированного копирования и/или её дискредитации.

      Блок установки характеристик среды отвечает за получение характеристик, идентифицирующих вычислительную среду.

      Блок сравнения характеристик среды устанавливает факт легальности запуска защищаемой программы.

    Блок ответной реакции реализует ответные действия системы защиты на попытки несанкционированного исполнения защищаемой программы.

      Поскольку стойкость системы защиты определяется стойкостью каждого её элемента, то в качестве объекта атаки может использоваться любая из описанных подсистем. Здесь необходимо отметить неоднородный уровень как самих идей, лежащих в основе той или иной подсистемы, так и их реализаций, что, в первую очередь связано с развитием приёмов, методов и средств для нейтрализации систем защиты. Учитывая современное состояние вопроса, наиболее актуальной задачей, является разработка подсистемы внедрения управляющих механизмов системы защиты и подсистемы установки характеристик среды, хотя остальные подсистемы должны быть разработаны не менее тщательно. Показательным примером является блок ответной реакции, который может, как просто выводить сообщение о незаконности копии, так и предпринимать более сложные действия, позволяющие на определённое время замаскировать наличие защиты, увеличивая тем самым время атаки. Но если функционирование блока ответной реакции может влиять на надёжность системы лишь косвенным образом, то зачастую самым слабым местом всей системы является блок сравнения характеристик среды и именно против него в первую очередь направлены атаки злоумышленников.  Подсистема внедрения управляющих механизмов.

      Системы защиты от несанкционированного копирования можно классифицировать по способу внедрения защитного механизма:

- встроенная (внедряется при создании программного продукта);

- пристыковочная (подключается к уже готовому программному продукту).

         

Наибольшую популярность в последнее время приобрели системы второго типа.

 Это обусловлено рядом преимуществ, которые даёт их использование:

  1.  простота тиражирования программных систем защиты на объекты заказчика и разработчика;
  2.  простота технологии применения; обеспечение достаточного уровня защищённости данных в силу специализации разработчиков;
  3.  более оптимальное соотношение “надёжность функционирования/затраты на разработку” по сравнению со встроенными системами, подготовленными непрофессионалами.

        Рассмотрим способы установки защитных механизмов в защищаемые программные модули. Одним из вариантов встраивания пристыковываемого модуля в исполняемый модуль является дописывание его по вирусному принципу.

При этом код защиты дописывается в некоторую область защищаемого файла и защищаемый файл модифицируется таким образом, чтобы управление передавалось на пристыкованный модуль защиты, который проверяет легальность копии, и в случае положительного ответа передаёт управление на исполняемый модуль.

         Такой подход к внедрению в исполняемые файлы имеет ряд существенных недостатков. Во-первых, исходный код защищаемой программы остаётся практически в неизменном виде,что значительно упрощает нейтрализацию защиты. Во-вторых, если предполагается защищать файлы большого размера и, как следствие, со сложной (может быть и с оверлейной) структурой, то необходимо учитывать то, что код, находящийся в конце загружен не будет, а значит, программный модуль не будет отработан. Некоторые недостатки можно устранить, если писать в начало программы не одну команду перехода, во весь код защиты. При этом необходимо модифицировать таблицу перемещения (которая находится в конце заголовка EXE-файла), в случае если защищается файл типа EXE.   

    

      Основным недостатком защит такого типа является то, что они могут быть нейтрализованы динамически, путём определения момента, когда защитная часть уже отработала и начал выполняться сам защищаемый код. Примером такого подхода к нейтрализации защит являются программы SNAPSHOT и INTRUDER. Основная идея метода, реализованного в подобных программах, заключается в двукратной загрузке исследуемого модуля по разным адресам памяти с последующим вычислением всей необходимой информации на основе анализа дампов памяти (под необходимой информацией здесь понимается заголовок EXE-файла, содержащий всю информацию, которая требуется операционной системе для загрузки программы). Другим важным недостатком описанных методов внедрения является то, что существующие защитные механизмы данного типа не могут обеспечить корректную защиту самомодифицирующихся программ, которые в процессе выполнения изменяют свой образ, хранящийся на диске. Исходя из указанных недостатков, можно сформулировать следующие требования к пристыковываемым модулям:

  1.  пристыковываемый модуль должен подключаться к файлам любого размера;
  2.  результирующий файл, полученный после подключения пристыковываемого модуля, должен быть устроен таким образом, чтобы максимально затруднить выделение исходной защищаемой программы;
  3.  пристыковываемый модуль не должен накладывать ограничений на функционирование защищённой программы, в частности, он должен позволять модифицировать в процессе работы свой собственный дисковый файл.  

Блок установки характеристик среды. 

      Если структура системы защиты от несанкционированного копирования практически не зависит от применяемых способов защиты, то конкретная реализация блока установки характеристик среды зависит от многих параметров, среди которых можно выделить способ предполагаемой организации распространения программного обеспечения.  

       В общем случае программное обеспечение может распространяться:

  1.  бесплатно (из альтруизма и соображений саморекламы);
  2.  условно бесплатно (по принципу “попробуй и купи” (try and buy) , когда оплата производится добровольно и только тогда, когда пользователь соглашается с реальной пользой для себя данного продукта);
  3.  на коммерческой основе.  

       Последний случай (распространение программного продукта на коммерческой основе) предусматривает наличие защиты, которая может включать или не включать в себя технические меры. При наличии технических мер защиты производитель может распространять свой программный продукт тремя основными способами, которые определяют конкретную реализацию блока установки характеристик среды:  

  1.  с помощью специальной службы распространения; 
  2.  через торговые организации; 
  3.  через свободное распространение дистрибутивных (демонстрационных) пакетов с последующей регистрацией.  

       При наличии специальной службы распространения контроль за дистрибутивными носителями вместо технических мер осуществляется организационными мерами. Сотрудники службы распространения выезжают с дистрибутивными комплектами к заказчикам, где производят установку программного обеспечения на жёсткий диск. Поскольку наличие у пользователя резервных копий не предусматривается, то в случае сбоя требуется повторный выезд сотрудника службы распространения, что обычно рассматривается как определённое неудобство. При данном способе блок установки характеристик среды должен уметь идентифицировать только параметры компьютера, благодаря чему разработка блока несколько упрощается. В случае распространения программных продуктов через торговые организации возможны следующие варианты:  

  1.  программа ассоциирует (связывает) себя с дистрибутивным носителем без “привязки” к конкретному компьютеру;
  2.  программа ассоциирует себя со специальным аппаратным устройством, подключаемым к компьютеру и входящим в дистрибутивный комплект;
  3.  программа ассоциирует себя как с дистрибутивным носителем (при инсталляции), так и с параметрами компьютера (в рабочем режиме).  

       Первые два варианта удобны тем, что позволяют переносить защищённые программы с компьютера на компьютер, но как плату за это требуют постоянного присутствия либо ключевой дискеты, либо специального аппаратного устройства.

       Свободный от этих недостатков третий вариант требует помимо обеспечения надёжности ключевой дискеты решения далеко не простой проблемы счётчика инсталляций. Достаточно интересен третий способ распространения программного обеспечения – посредством свободного распространения дистрибутивных (демонстрационных) пакетов. Суть этого способа лучше всего описать следующим сценарием. Пользователь, всё равно каким способом, получает программу и запускает её на своём компьютере. При запуске ему сообщается некоторый код, который вместе с квитанцией об оплате он должен передать разработчику. В ответ ему сообщается другой код, являющийся паролем для регистрации копии программы и ассоциации её с компьютером. По такому способу, например, защищён некогда популярный текстовый процессор “Слово и Дело”.    Таким образом, в зависимости от выбранного способа распространения программного продукта, блок установки характеристик среды должен

уметь идентифицировать параметры компьютера, дистрибутивного носителя, либо специального аппаратного устройства.

3. Концепция создания КСЗИ.

При построении КСЗИ важно обеспечить полноту составляющих защиты, учесть все факторы и обстоятельства, оказывающие влияние на качество защиты. Необходимо обеспечить безопасность всей совокупности подлежащей защите информации во всех компонентах ее сбора, хранения, передачи и использования, а также во время и при всех режимах функционирования систем обработки информации.

Понятно, что выполнение вышеприведенных требований в первую очередь требует создания замысла (концепции) построения КСЗИ. Рассмотрим содержательную составляющую написания такой концепции на примере «Концепции обеспечения безопасности информации в автоматизированной системе организации»  (далее — Концепция). Конечно, этот документ не охватывает всех вопросов, связанных с защитой информации предприятия, но обработка информации в электронном виде приобретает все больший вес, что объясняет важность изучения данной концепции.

Рассматриваемая Концепция состоит из введения, восьми разделов и приложений.

Основные разделы Концепции следующие:

1. Общие положения.

2. Объекты защиты.

3. Цели и задачи обеспечения безопасности информации.

4. Основные угрозы безопасности информации АС организации.

5. Основные положения технической политики в области обеспечения безопасности информации АС организации.

6. Основные принципы построения системы комплексной защиты информации (КСЗИ).

7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов.

8. Первоочередные мероприятия по обеспечению безопасности информации АС организации.

Подробное описание разделов Концепции в книге Грибунина. (10 глава)


 

А также другие работы, которые могут Вас заинтересовать

20030. Послевоенный мир, его разделение на две системы. Переход в холодной войне 15.91 KB
  ОВД Организация Варшавского ДоговораСССР. Гонка вооружений наращивание СССР и США количества вооружений с целью достижения качественного превосходства. В СССР эта политика проявлялась в создании железного занавеса системы международной самоизоляции. Причины холодной войны: Победа во II мировой войне привела к резкому усилению СССР и США.
20031. Попытки реформирования советской системы в 1950-60. Н.С Хрущев 17.59 KB
  С Хрущев. Борьба за личное лидерство длилась вплоть до весны 1958 но в итоге к власти пришел Хрущев.Начатая Хрущевым критика сталинизма привела к некоторой либерализации общественной жизни общества оттепель. Хрущева В 1954 г.
20032. СССР в период застоя(1964-1985) 14.54 KB
  к и в политической экономической и культурной жизни страны все было стабильно не было ничего нового. В культурной жизни зарождалось дессидентское движениенелегальные кружки интеллигенции выступающие за свержение коммунизма правительство полностью контролировало культурную жизнь странывыссылка из страны неугодных большевикам людейсолженицын плесецаявишневская 18 лет руководство брежнева перевели государство в состояние развала 1982Брежнев умирает с 18821884 правил Андропов а 18841885 Черненко общество жило от похорон до похорон...
20033. Перестройка-от частных преобразований к смене модели общественного развития(1985-1991) 14.85 KB
  В апреле 1985 было объявлено о проведении масштабных реформ с целью изменения общества например в экономике курс на ускорениеэто повышение темпов экономического роста на базе научнотехнического прогресса Первыми перестроечными законами стала антиалкогольная компания и закон о госприемке но все эти меры не дали никаких результатов да и к тому же всю обстановку осложнила авария на чернобыльской АЭС 1986. Основная задача перестройки заключалась в придании экономике рыночных основ. Первым шагом к рыночной экономике стал закон о гос.
20034. Новая Россия в 90 годы 20 века 16.18 KB
  В середине 1980 административные структуры в союзных республиках начали борьбу за усиление собственной власти начались трения между коренными жителями и русскоязычным населением рухнул миф о дружбе народов СССРвыступление в казахстане столкновение в фергане наколились взаимоотношения грузии с абхазией с целью прекратить эти волнения горбачев задумал подписание нового союзного договора подписание которого было назначено на 20 августа 1991 19 авг. Начался антигосударственный переворот по радио было объявлено об отстранение президента...
20035. Гражданская война (1918-1920). Причины, этапы, итоги, последствия войны 16.63 KB
  Причинами гражданской войны в России можно считать противостояние двух политических лагерей красных и белых красные большевики бедные крестьяне и рабочие белые зажиточное крестьянство офицеры казаки дворянство студенчество. Войны являлась прежде всего участие иностранных держав они поддерживали белыхиностранная интервенция. Многочисленные хорошо вооруженные и организованные за счет Антанты армии белых генералов взяли ее в кольцо. Декабрь 19201922 гокончательный разгром белого движения на юге России Причины победы красных в...
20036. Советское общество в 1920-е года 10.88 KB
  Началось антибольшевистское движение: крестьяне выступали в Тамбовской и Воронежской губерниях рабочие в Москве и Петрограде матросы в Кронштадте НЭП экономическая политика проводившаяся в Советской России и СССР в 1920е годы Март 1921г. была провозглашена НЭП 1. Привлекался иностранный капитал Концессии для участия в российской промышленности Итог НЭПа: экономика страны достигла довоенного уровня. К концу 20х годов НЭП был свернут.
20037. Сталинская модернизация 15.15 KB
  Ее главными мероприятиями стали индустриализация коллективизация. Коллективизация Официально коллективизация началась 7 ноября 1929 г. Сталину становится ясно что коллективизация может привести к серьезному экономическому и политическому кризису . сплошная коллективизация возобновилась.
20038. Дайте оценку Мюнхенскому договору и его последствиям 7.29 KB
  23 августа 1939 Пакт о ненападении Германии и СССР. Получившее название МолотоваРиббентропа к пакту прилагаются секретные материалы и карта Европы распределяющая влияние СССР и Германии на страны Европы. СССР заявил о своей готовности помочь Чехословакии в случае начала войны. Руководители Англии и Франции боялись что Гитлер развяжет войну в Европе что приведет к резкому усилению влияния СССР.