Научная статья на тему 'Анализ литературы и нормативно-правовой базы в области защиты персональных данных'

Анализ литературы и нормативно-правовой базы в области защиты персональных данных Текст научной статьи по специальности «Право»

CC BY
2581
249
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
ИСПДН / КОНВЕНЦИЯ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ / РОСКОМНАДЗОР / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Аннотация научной статьи по праву, автор научной работы — Чуб В. С.

Многочисленные исследования в области информационной безопасности показывают, что наиболее распространенным каналом утечки конфиденциальной информации, в том числе и персональных данных, является внутренний нарушитель. Защита персональных данных является одной из наиболее актуальных и сложных задач в области информационной безопасности. Принятый в 2006 году закон «О персональных данных» №152-ФЗ, а также множество последовавших за ним нормативно-правовых актов, обязали каждую организацию, осуществляющую обработку персональных данных, обеспечивать защиту этой информации.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Анализ литературы и нормативно-правовой базы в области защиты персональных данных»

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №11/2017 ISSN 2410-6070_

позволяет повысить удельную производительность пневмосортировального стола.

Аэродинамическое сопротивление деки может быть рассчитано по эмпирической формуле:

S = 44,7 • 1дН0 - 44 где 5 - предельная толщина слоя обрабатываемого материала; Но - аэродинамическое сопротивление деки, Па.

В связи с тем, что на деках пневматических сортировальных столов, выпускаемых нашей промышленностью, толщина обрабатываемого материала различная, следовательно, аэродинамическая схема должна обеспечивать дифференцированный подвод воздушного потока к различным участкам деки, Так проведенные нами исследования по- казали, например, что очистка семян происходит эффективнее на дека пневмосортировального стола производительностью 5 т/ч (СПС-5) если отношение средней скорости воздушного потока в зоне расслоения к средней скорости в зове транспортировании составляет 1,2.. .1,4. Список использованной литературы:

1. Бабченко В.Д. Обоснование размеров деки пневматического сортировального стола / В.Д. Бабченко, В.М. Дринча // НТБ ВИМ. М., 2015. - Вып. 68. - С.43-45.

2. А.А. Бойко, Д.С. Подлесный, Ю.Ю. Перунова,"Исследование и обоснование параметров сепарации при разделении семенного материала на фракции используя пневмосортировальный стол"//Международная научно-практическая конференция "Механизмы управления процесами внедрения технических новшеств" //НИЦ АЭТЕРНА 15 откября 2017 г., - г. Уфа. - 96 -102 с.

3. Ермольев Ю.И. Технологические основы интенсификации процесса сепарации зерна воздушно-решетными зерноочистительными машинами и агрегатами: Автореф. дисс. . доктора технических наук / Ю.И. Ермольев. 86. Ростов на Дону, 2012. 45 с.

4. Грушин Ю.Н., Проектирование технологических линий послеуборочной обработки зерна и семян, Вологда-Молочное, 2015.

©Чекмарь А.В. Лепешкин В.Ю. БондаренкоА.Н., 2017

УДК 004.056

В.С. Чуб

студент

Донской государственный технический университет

АНАЛИЗ ЛИТЕРАТУРЫ И НОРМАТИВНО-ПРАВОВОЙ БАЗЫ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Аннотация

Многочисленные исследования в области информационной безопасности показывают, что наиболее распространенным каналом утечки конфиденциальной информации, в том числе и персональных данных, является внутренний нарушитель. Защита персональных данных является одной из наиболее актуальных и сложных задач в области информационной безопасности. Принятый в 2006 году закон «О персональных данных» №152-ФЗ, а также множество последовавших за ним нормативно-правовых актов, обязали каждую организацию, осуществляющую обработку персональных данных, обеспечивать защиту этой информации.

Ключевые слова

ИСПДн, конвенция о защите персональных данных, Роскомнадзор, информационная безопасность.

На сегодняшний день нельзя сказать, что безопасность персональных данных осуществляется должным образом. Доказательством этому утверждению выступают многочисленные утечки баз данных с

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №11/2017 ISSN 2410-6070_

персональными данными граждан в последние годы, о которых часто упоминается в средствах массовой информации. Исходя из этого, можно сделать вывод, что проблема обеспечения безопасности персональных данных до сих пор остается чрезвычайно актуальной.

Актуальность статьи обусловлена с увеличением количества проблем, связанных с утечками персональных данных. Вопрос защиты персональных данных является одним из основных для любого предприятия.

Перечень нормативных и методических документов в области защиты персональных данных

Персональные данные (ПДн) - это информация ограниченного доступа. К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация,[1] принадлежащая субъекту ПДн.

При создании систем защиты персональных данных используются следующие документы:

—Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

—Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

—Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

—ГОСТ РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов», утверждены постановлением Госстандарта СССР от 27.12.1990 № 3380;

—ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», утверждено постановлением Госстандарта СССР от 29 декабря 1990 г. № 3469;

—ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» утверждено постановлением Госстандарта СССР от 24 марта 1989 г. №664;

—ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» утверждено постановлением Госстандарта СССР от 27 декабря 1990 г. № 3399.

—«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено приказом ФСТЭК России от 18.02.2013 № 21.

—«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ от 01.11.2012 № 1119

—Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

—«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144.

—Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

—Приказ ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

—Приказ ФСТЭК № 17 от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации,

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №11/2017 ISSN 2410-6070_

не составляющей государственную тайну, содержащейся в государственных информационных системах».

История федерального закона номер 152 «О персональных данных» началась в далёком 1981 году, когда Совет Европы опубликовал конвенцию о защите персональных данных граждан при их обработке с помощью электронных средств.

Конвенция редактировалась в 1999 году для включения в неё новых реалий. Именно в редакции Россия и подписала Конвенцию 7 ноября 2001 года. Сделано это было по требованию ВТО как необходимый шаг для вступления в эту организацию. Таким образом, на территории России конвенция вступила в силу с 1 марта 2002.

Конвенция предполагает, что страна, которая подписала документ, предъявляет собственные технические требования к защите персональных баз данных своих контролёров - компании, которые обрабатывают персональные данные.[2] Для реализации этого страна должна принять закон о персональных данных, который эти требования закреплял. До выпуска этого закона можно было признать обработку персональных данных незаконной по конвенции, однако прецедентов таких не известно. Таким образом, конвенция была принята формально, но по факту не действовала из-за отсутствия российских нормативных актов.

Российский закон «О персональных данных» был принят 27 июля 2006 года и получил порядковый номер 152. Он закрепил, что ответственными ведомствами за соблюдение закона является Роскомнадзор в части организационных мер и ФСТЭК и ФСБ в части технических мер защиты. В нем также были перечислены организационные меры, такие как назначение ответственных, разработка набора корпоративных документов, регистрация в реестре операторов персональных данных, вести который доверено Роскомнадзору.

Наиболее одиозными особенностями первого ФЗ-152 были требования получения разрешения субъекта на обработку персональных данных, причём обязательно заверенной собственноручной подписью; уничтожению данных в базе оператора по заявлению субъекта в течении трёх дней; уничтожение данных при достижении цели их обработки с обоснованием именно этого набора персональных данных. Таким образом, закон изначально давал больше прав субъекту персональных данных, в то время как практически все граждане являются также и операторами.

Впрочем, серьёзные проблемы возникли у операторов с выпуском подзаконных актов, которые подготовили ФСТЭК, Роскомнадзор и ФСБ. Наиболее сложными из этих требований оказались обязательная сертификация средств защиты для базы персональных данных и аттестация объектов. При этом сложно реализуемыми оказались требования по защите так называемых специальных типов персональных данных. Повышенная степень защиты для сведений о здоровье, политических и религиозных взглядах, а также сексуальной ориентации была прописана ещё в конвенции. Поэтому ФСБ предложила использовать для защиты таких данных методы, разработанные ей для сохранения государственной тайны. Даже сам документ, описывающий требования к защите, был с грифом ДСП, якобы потому, что он давал представление и методах защиты гостайны. В частности, в этих требованиях указывалось, что нужно предусмотреть защиту от утечек по нетехническим каналам, таким как звуковая и визуальная информация, а также с помощью побочного электромагнитного излучения. В результате, все медицинские учреждения и пенсионные фонды потребовалось защищать по этим завышенным требованиям с аттестацией помещения и проверкой на правильное расположение мониторов и телефонов, а также на наличие ПЭМИН.

Требования были завышены, но они могли предъявляться только для новых систем, поскольку закон обратной силы не имеет. Требование о приведении в соответствие всех остальных систем было связано с датой 1 января 2010 года, после которой уже все компании без исключения должны выполнить предписания регуляторов. Только после этого можно было проводить проверки на соответствие техническим требованиям. Поэтому соблюдение технических требований ни кто не проверял до 1 января 2010 года. Однако потом эту дату перенесли ещё на год, а потом на полгода - окончательно закон вступил в силу почти через пять лет после подписания 1 июля 2011 года.

Однако перед самым вступлением закона в силу президент России Дмитрий Медведев потребовал

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №11/2017 ISSN 2410-6070_

снять излишние обременения с операторов персональных данных, поэтому в конце весенней сессии Государственной Думы наблюдалась лихорадочная активность законодателей по изменению закона "О персональных данных". На тот момент уже некоторое время обсуждался законопроект Резника, который и предполагал внести изменения в ФЗ-152 для снижения бремени. Этот законопроект долго согласовывали, но в момент принятия поправок о нём даже и нем вспомнили. В новой редакции закона "О персональных данных" появились совсем другие нормы, которые фактически закрепляли на законодательном уровня часть технических требований из подзаконных актов. Возможно, именно поэтому данные поправки и связывают с ФСБ. Новый закон очень быстро прошёл все три чтения в госдуме, слушания в Совете Федерации и был передан на подпись Президенту. Там он и был подписан 27 июля 2011 года - ровно через пять лет после выпуска первого закона и получил номер 261. Дата, кстати, говорит о спешке, в которой оба закона принимали - это срок конца весенней сессии Госдумы плюс время на подписание Президентом.

Следует отметить, что новая редакция закона всё-таки снимает часть наиболее сложных в реализации требований старого закона, например по получению согласия и обоснование обработки персональных данных. Однако в самом законе появилось требование «оценки соответствия» защиты угрозам безопасности. Сейчас непонятно, что это такое, но практически все сходятся во мнении, что это старая добрая сертификация и аттестация. При этом в законе введены «уровни защищённости», которых нет ни в одном подзаконном акте, поэтому опять требования невозможно выполнить, поскольку они не сформулированы государством -закон опять не работает, но действует.

Анализ требований нормативно-правовых актов

Фундаментальным законом в области обеспечения безопасности ПДн является федеральный закон «О персональных данных» N 152-ФЗ. В этом документе прописаны принципы и условия обработки ПДн, права субъекта ПДн, обязанности оператора, осуществляющего обработку ПДн. Кроме того, в законе «О персональных данных» определены необходимые меры по обеспечению безопасности ПДн при их обработке. [1]

Для анализа требований закона «О персональных данных», а также других нормативно-правовых актов, регулирующих обработку персональных данных, рассмотрим поэтапно, как должен проходить процесс создания системы защиты информационной системы персональных данных в соответствии с российским законодательством.

Первое, что необходимо сделать оператору - это определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн. На этом этапе разрабатываются и утверждаются внутренние документы, регламентирующие деятельность должностных лиц и структурных подразделений, отвечающих за ИБ и закрепляющие их функциональные обязанности и права.

Далее необходимо определить состав обрабатываемых ПДн, цели и условия их обработки, а также срок хранения ПДн. Согласно федеральному закону «о персональных данных» № 152-ФЗ за исключением некоторых случаев обработка персональных данных осуществляется с согласия субъекта персональных данных. В таком случае оператор должен получить согласие субъекта на обработку его ПДн, в том числе в письменной форме.

Кроме того, необходимо определить порядок реагирования на запросы со стороны субъектов персональных данных. Затем при необходимости составляется и отправляется уведомление в уполномоченный орган по защите ПДн о начале обработки ПДн.

После этого оператор должен выделить и определить состав ИСПДн, а также провести анализ структуры информационной системы для того, чтобы определить:

- автоматизированные рабочие места, обрабатывающие персональные данные;

- серверное, коммутационное и сетевое оборудование;

- используемое в ИСПДн прикладное и общесистемное программное обеспечение;

- наличие и типы средств межсетевого экранирования в распределенных ИСПДн;[3]

- наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена.

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №11/2017 ISSN 2410-6070_

Далее, когда собраны исходные данные о системе, наступает этап классификации ИСПДн. Оператор организует систему допуска и учета лиц, допущенных к работе с ПДн в ИСПДн. С этой целью:

- утверждают список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, нужен для выполнения служебных обязанностей;

- создается журнал учета допуска к работе пользователей в ИСПДн, в котором показываются логические имена пользователей, а также список информационных ресурсов, к которым пользователи допущены.

Применительно к каждой системе оператором разрабатывается в виде отдельного документа частная модель угроз на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Выбранными и реализованными способами и методами защиты информации в информационной системе должна обеспечиваться нейтрализация предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором системы защиты персональных данных.

После этого должна быть произведена оценка соответствия требованиям безопасности персональных данных. Для этого проводятся такие мероприятия, как декларирование соответствия и аттестация. Список использованной литературы:

1. Виртуальный клуб юристов.//Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных»- Режим доступа: http://www.yurclub.ru/docs/administrative/article19.html

2. Куликова С.В.//«Первые шаги в науку» » - Режим доступа: http://rushkolnik.ru/docs/index-34551452.html

3. Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО "Арсенал+"- Режим доступа: https://revolution.allbest.ru/programming/ 00264509_2.html#1

© Чуб В.С., 2017

i Надоели баннеры? Вы всегда можете отключить рекламу.