VМеждународная научно-практическая конференция УДК 004.056.53
Комлев Дмитрий Владимирович Komlev Dmitrii Vladimirovich
студент 2 курса магистратуры 2nd year master's student ФГАОУ ВО «Национальный исследовательский университет ИТМО»
ITMO National Research University
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ КАК ЭЛЕМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: АКТУАЛЬНОСТЬ ПРОБЛЕМЫ И СПОСОБЫ ЕЕ РЕШЕНИЯ
ENSURING THE PROTECTION OF PERSONAL DATA AS AN ELEMENT OF INFORMATION SECURITY: THE RELEVANCE OF THE PROBLEM
AND WAYS TO SOLVE IT
Аннотация: В статье рассматривается правовое регулирование зашиты персональных данных как важный элемент обеспечения информационной безопасности, актуальность решения задачи ее обеспечения, приведены примеры возникновения новых угроз утечки персональных данных, при этом обозначены возможные мероприятия, способствующие защите персональных данных.
Abstract: The article considers the legal regulation of personal data protection as an important element of information security, the relevance of solving the problem of its provision, provides examples of the emergence of new threats to the leakage of personal data, and identifies possible measures that contribute to the protection of personal data.
Ключевые слова: информационная безопасность, защита персональных данных, защита, информация, правовое регулирование.
Key words: information security, personal data protection, protection, information, legal regulation.
Цифровое развитие является бесспорным катализатором мирового прогресса. При этом глобальная цифровизация, Интернет, мобильная связь, компьютерные технологии, возможности достижений науки и техники в этой сфере неизбежно порождают возникновение рисков и угроз.
VМеждународная научно-практическая конференция
Обеспечение информационной безопасности, защита персональных данных в последнее время становится одной из ключевых задач не только мирового масштаба, но и в рамках любого государства и организаций.
На международном уровне механизм защиты персональных данных отражен в принципе неприкосновенности частной жизни. Соответствующий принцип содержится в международном пакте «О гражданских и политических правах» (статья 17), в соответствии с которым установлено, что никто не может подвергаться произвольному или незаконному вмешательству на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на честь и репутацию [1].
В зарубежном законодательстве сложилось два основных подхода к определению персональных данных. Во-первых, в некоторых государствах персональные данные отождествляются с любой информацией, имеющей отношение к данному лицу (Нидерланды, Швеция, Новая Зеландия и др.). Во-вторых, для некоторых государств характерна детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.). При этом оптимальным вариантом регулирования считается наличие тщательно выверенного и закрепленного правом баланса двух основных информационных прав и свобод: право доступа к информации, затрагивающей интересы лица, и право ограничения доступа третьих лиц к информации о себе [2].
В Европейском союзе разработаны и приняты положения, регламентирующие обеспечение защиты персональных данных, закрепленные в GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных) [3]. В соответствии с указанным документом права субъектов персональных данных существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.
Само определение персональных данных в GDPR имеет следующее содержание: «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое
VМеждународная научно-практическая конференция физическое лицо - это лицо, которое может быть идентифицировано прямо или
косвенно, в частности, посредством ссылки на идентификатор, такой как имя,
фамилия, идентификационный номер, данные о местоположении, онлайн-
идентификатор или один или несколько характерных для указанного лица
физических, физиологических, генетических, духовных, экономических,
культурных факторов или ссылаясь на факторы социальной идентичности» [3].
Такое понимание аналогично тому, что закреплено в Федеральном законе «О
персональных данных» от 27.07.2006 № 152-ФЗ [4].
Российское законодательство в этой сфере также свидетельствует о внимании государства к обеспечению защиты информационной среды, выраженное в первую очередь в принятии ряда системообразующих законодательных актов.
Часть первая статьи 24 Конституции Российской Федерации содержит положение о том, что «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается» [5]. Указанная норма имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей «персональные данные» [6].
Кроме того, приняты такие правовые акты, как Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 и др.
VМеждународная научно-практическая конференция
Вместе с тем утечка персональных данных остаётся на высоком уровне [7].
При этом проблема обостряется на фоне возникновения современных вызовов. В качестве примера возникшей угрозы нарушения безопасности персональных данных можно обозначить следующее.
В период распространения новой коронавирусной инфекции СОУГО -19 произошли глобальные изменения в общественной жизни людей. Так, многие работодатели в целях сохранения стабильности своей деятельности были вынуждены перевести сотрудников на удалённый режим работы, учебными заведениями организованы возможности дистанционного обучения и пр. Такая специфика работы предполагает усиление обеспечения информационной безопасности в части защиты персональных данных, которое предполагает наличие надежных каналов связи и достаточных материальных ресурсов для процесса перехода. Стирание границ между корпоративными и личными устройствами, корпоративными и личными данными, связанное с тем, что многие сотрудники работают из дома на своих личных ноутбуках и компьютерах, априори снижают уровень защиты информации.
При этом практически все организации за время удаленной работы сталкивались с попытками «слива» информации - как намеренными (сговор сотрудников со злоумышленниками), так и непреднамеренными [8].
Например, были случаи, когда сотрудникам приходила рассылка якобы от отдела кадров их компании с информацией об увольнении в связи с принятием решения руководителем по оптимизации штата в трудных пандемических условиях, и более подробную информацию им предлагалось узнать в прикрепленном к письму зараженном файле или при переходе по ссылке на сайт, ворующий персональные данные. Понесли ущерб от таких рассылок и сами работники, персональные данные которых попадали третьим лицам, и компании, получившие таким образом локальные и сетевые заражения [8].
По данным, озвученным Львом Матвеевым, за I полугодие 2020 года в разных регионах страны было зафиксировано 72 инцидента по утечке персональных данных зараженных СОУГО-19 или подозреваемых в таком
VМеждународная научно-практическая конференция заражении лиц. Также имел место случай взлома базы с результатами анализов пациентов онкодиспансера - за расшифровку мошенники требовали выкуп в сумме 80 тыс. руб. [8].
Обеспечение защиты персональных данных должно быть приоритетной задачей и содержать меры, предупреждающие их хищение.
Пунктом 5.5 Концепции защиты персональных данных в информационных системах персональных данных оператора связи, утвержденной Министерством связи и массовых коммуникаций Российской Федерации 28.04.2010, закреплено, что принимаемые меры по обеспечению безопасности персональных данных должны носить упреждающий характер. Оператор связи принимает необходимые меры по защите персональных данных до начала их обработки, которые должны обеспечить надлежащий уровень безопасности [9].
Успешное решение этих задач невозможно без применения совокупности средств и методов защиты информации [10].
Среди основных направлений защиты информации можно назвать организационное, правовое и инженерно-техническое. При этом организационной защите информации среди этих направлений отводится особое место.
Организационная защита информации призвана посредством выбора конкретных сил и средств, в том числе правовых и инженерно-технических, реализовать на практике спланированные руководством предприятия меры по защите информации. Эти меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке [11].
Ключевое место в технологии защиты персональных данных работников занимает разработка положения. Положение о защите персональных данных работника - это основной документ, регламентирующий алгоритм защиты персональных данных работника на конкретном предприятии. Данный документ занимает основное место в системе защиты информации предприятия. Как правило, положением определяется порядок получения, обработки, хранения,
VМеждународная научно-практическая конференция передачи и любого другого использования персональных данных работника, а
также ведения его личного дела в соответствии с трудовым законодательством
Российской Федерации. Положение о защите персональных данных работника -
это внутренний (локальный) документ предприятия [12].
Одной из главных проблем для специалистов, являющихся операторами персональных данных перед началом сбора и обработки такой информации можно отнести в первую очередь отсутствие четкого списка организационно -распорядительных документов, необходимых для подтверждения выполнение им требований законодательства в сфере защиты персональных данных. Большое количество обязанностей возлагаемых на оператора персональных данных федеральными законами и актами, приводят к необходимости документального подтверждения исполнения всех этих требований. Если нет понимания конечного списка документов, специалист, который занимается их разработкой, тратит много лишнего времени на написание документов, частично повторявших друг друга, соответственно идет потеря эффективности труда специалиста.
Для уменьшения трудозатрат специалиста при разработке организационно-распорядительной документации актуальным будет автоматизация данного процесса, что в дальнейшем не только позволит оптимизировать работу, но и сократит количество ошибок, связанных с человеческим фактором, и сократит финансовые расходы на разработку документов специализированными компаниями.
Соизмерение потенциальных расходов, связанных с внедрением современных информационных технологий, с ущербом, который может быть причинен утечкой информации, свидетельствует о том, что обеспечение безопасности информации требует вложения серьезных финансовых ресурсов. В связи с чем формирование статьи расходов, достаточной для финансирования обеспечения информационной безопасности, должно быть одной из приоритетных задач компаний.
VМеждународная научно-практическая конференция
Кроме того, в качестве решения задачи обеспечения защиты персональных
данных необходимо повышение уровня знаний сотрудников всех компаний, являющихся операторами персональных данных об угрозах информационной безопасности, о методах их распознавания по первичным признакам и способах противодействия им, поскольку зачастую зависимость информационной безопасности от людей остается на высоком уровне.
При этом для самих граждан при пользовании Интернетом и техническими устройствами важно соблюдать «цифровую гигиену», обеспечивающую минимизацию рисков хищения персональных данных: не оставлять информацию о себе, не запускать ссылки, не открывать файлы, то есть по умолчанию считать, что каждая входящая коммуникация является коммуникацией от злоумышленников. Возможно, имеет смысл задуматься над целесообразностью включения в образовательную программу предмет, в рамках которого обучающиеся будут изучать базовые аспекты и средства обеспечения защиты собственных персональных данных (возможно, как в виде основного предмета, так и факультативного кружка). Однако повышение грамотности по вопросу информационной безопасности необходимо осуществлять для всех возрастных категорий.
Библиографический список:
1. Международный пакт о гражданских и политических правах, принят резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года. URL: https://www.un.org/ru/documents/decl_conv/conventions/pactpol.shtml (дата обращения 15.04.2021)
2. Защита персональных данных работников по законодательству зарубежных стран : бюллетень / Центр сравнительного трудового права ; [А. В. Дворецкий, И. В. Чернышова]. - [Томск] : Изд-во Томского ун-та, 2007. - 22 с. -ISBN 5751119223. С. 12 - 13.
3. Регламент (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА «О защите физических лиц в отношении обработки персональных данных и о
VМеждународная научно-практическая конференция свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие
правила защиты данных) от 27 апреля 2016 года // URL: https://ogdpr.eu/ru/gdpr -
2016-679 (дата обращения 15.04.2021).
4. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 3 // СПС «Консультант Плюс».
5. Конституция Российской Федерации // СПС «Консультант Плюс».
6. Защита персональных данных в Российской Федерации: Проблемы и перспективы. 14.10.2011 // URL: https://www.securitylab.ru/contest/408606.php (дата обращения: 15.04.2021).
7. Эксперты оценили объем «утечек» персональных данных россиян в 2020 году. 11.01.2021 // URL: https://www.vedomosti.ru/technology/news/2021/01/11/ 853607-eksperti-otsenili-obem-utechek-personalnih-dannih-rossiyan-v-2020-godu (дата обращения: 15.04.2021)
8. Ключевская Н. Информационная безопасность и COVID -19: рекомендации для бизнеса и граждан. 11.11.2020 // URL: https://www.garant.ru/ article/1421147/ (дата обращения: 15.04.2021)
9. Концепция защиты персональных данных в информационных системах персональных данных оператора связи, утвержденная Министерством связи и массовых коммуникаций Российской Федерации 28.04.2010 //URL: https://digital.gov.ru/uploaded/files/persdan.pdf (дата обращения 15.04.2021).
10. Домбровская Л. А., Яковлева Н. А., Стахно Р. Е. Современные подходы к защите информации, методы, средства и инструменты защиты // Наука, техника и образование, 2016. № 4 (22). С. 16-19.
11. Домбровская Л.А., Васютина Т.Л. Организационные средства защиты информации как элемент общей системы защиты информации // European science. 2016. URL: https://cyberleninka.ru/article/n/organizatsionnye-sredstva-zaschity-informatsii-kak-element-obschey-sistemy-zaschity-informatsii (дата обращения 15.04.2021).
VМеждународная научно-практическая конференция
12. Парфенов Н.П., Стахно Р.Е. Технология защиты персональных данных. // Наука, техника и образование. 2016. URL: https://cyberleninka.ru/ article/n/tehnologiya-zaschity-personalnyh-dannyh (дата обращения 15.04.2021).
УДК 578:334.72
Викторова Екатерина Викторовна Viktorova Ekaterina Viktorovna
Студентка Student
Институт экономики и управления (СП), ФГАОУ ВО «КФУ имени В.И. Вернадского»
IEM Vernadsky CFU
РОССИЙСКИЙ БИЗНЕС И ПАНДЕМИЯ: КАК ПРЕДПРИЯТИЯ АДАПТИРУЮТСЯ К НОВЫМ УСЛОВИЯМ
RUSSIAN BUSINESS AND PANDEMIC: HOW COMPANIES ADAPT TO NEW CONDITIONS
Аннотация. Актуальность исследования вызвана сложным социально-экономическим положением субъектов малого и среднего предпринимательства в период пандемии, так как пандемия ударила практически по всем отраслям экономики, но в самом тяжелом положении оказался малый и средний бизнес. Представителям бизнеса пришлось за достаточно короткий период времени переориентировать цели и трансформировать введения бизнеса, для того чтобы остаться конкурентоспособным и «выжить» в этих сложных условиях.
Abstract. The relevance of the study is due to the difficult socio-economic situation of small and medium-sized businesses during the pandemic, since the pandemic hit almost all sectors of the economy, but small and medium-sized businesses found themselves in the most difficult situation. Business representatives had to reorient their goals and transform business introductions in a fairly short period of time in order to remain competitive and "survive" in these difficult conditions.