Основные методы защиты информации

Сведения  о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться  персональные данные, относящиеся к  другим субъектам персональных данных.

Доступ  к своим персональным данным предоставляется  субъекту персональных данных или его  законному представителю оператором при обращении либо при получении  запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного  документа, удостоверяющего личность субъекта персональных данных или его  законного представителя, сведения о дате выдачи указанного документа  и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в  электронной форме и подписан электронной цифровой подписью в  соответствии с законодательством  Российской Федерации.

Субъект персональных данных имеет право  на получение при обращении или  при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1. подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2. способы обработки персональных данных, применяемые оператором;
3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4. перечень обрабатываемых персональных данных и источник их получения;
5. сроки обработки персональных данных, в том числе сроки их хранения;
6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

В некоторых  случаях, право субъекта на доступ к  своим персональным данным ограничивается. Оно ограничивается в случае, если обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими  субъекту персональных данных обвинение  по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных  уголовно-процессуальным законодательством  Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными  данными. Также, право субъекта на доступ ограничивается, если обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка и если предоставление персональных данных нарушает конституционные права и свободы других лиц.

Особо отметим  права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.

Обработка персональных данных в целях продвижения  товаров, работ, услуг на рынке путем  осуществления прямых контактов  с потенциальным потребителем с  помощью средств связи, а также  в целях политической агитации допускается  только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без  предварительного согласия субъекта персональных данных, если оператор не докажет, что  такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

Следующим рассмотрим право субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.

Запрещается принятие на основании исключительно  автоматизированной обработки персональных данных решений, порождающих юридические  последствия в отношении субъекта персональных данных или иным образом  затрагивающих его права и  законные интересы. Решение, порождающее  юридические последствия в отношении  субъекта персональных данных или иным образом затрагивающее его права  и законные интересы, может быть принято на основании исключительно  автоматизированной обработки его  персональных данных только при наличии  согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению  соблюдения прав и законных интересов  субъекта персональных данных.

Оператор  обязан разъяснить субъекту персональных данных порядок принятия решения  на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия  такого решения, предоставить возможность  заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Оператор  обязан рассмотреть возражение в  течение семи рабочих дней со дня  его получения и уведомить  субъекта персональных данных о результатах  рассмотрения такого возражения.⁸

Существует  также право на обжалование действий или бездействия оператора. Руководствуясь этим правом, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. И, если субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.⁹

Также закон  регламентирует и обязанности оператора, которые неразделимо связаны  с правами субъекта персональных данных. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе  информацию. Если обязанность предоставления персональных данных установлена федеральным  законом, оператор обязан разъяснить субъекту персональных данных юридические последствия  отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены  оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1. наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2. цель обработки персональных данных и ее правовое основание;
3. предполагаемые пользователи персональных данных;
4. установленные настоящим Федеральным законом права субъекта персональных данных.

2. Основные методы защиты информации
1. Обеспечение достоверности и сохранности информации в автоматизированных системах

Проблема  обеспечения (повышения) достоверности  информации при ее обработке в  автоматизированных системах заключается  главным образом в контроле правильности информационных массивов, обнаружении  ошибок и их исправлении на различных  этапах обработки информации. Исследование проблемы обеспечения достоверности  информации в автоматизированных системах осуществляется на трех уровнях:

1. Синтаксическом (связан с контролем и защитой элементарных составляющих информационных массивов – знаков или символов);
2. Семантическом (связан с обеспечением достоверности смыслового значения информационных массивов, их логичности, непротиворечивости и согласованности);
3. Прагматическом (связан с изучением вопросов ценности информации при принятии управленческих решений, ее доступности и своевременности, влияния ошибок на качество и эффективность функционирования автоматизированных систем).¹⁰

Ошибки, возникающие в процессе обработки  информации, связаны с помехами, сбоями и отказами технических и  программных средств, ошибками пользователей  и обслуживающего персонала, недостаточной  точностью или ошибками в исходных, промежуточных и выходных  данных, неадекватностью реализованных  математических моделей реальным процессам.

Для достижения требуемой или максимальной достоверности  обработки информации в автоматизированных системах используются специальные  методы, основанные на введении в структуры  обработки информационных массивов информационной, временной или структурной  избыточности.

Информационная  избыточность характеризуется введением  дополнительных разрядов в используемые информационные массивы и дополнительных операций в процедуры переработки  информационных массивов, имеющих математическую или логическую связь с алгоритмом переработки, обеспечивающих выявление  и исправление ошибок определенного  типа.

Временная избыточность связана с возможностью неоднократного повторения определенного  контролируемого этапа обработки  информации.

Структурная избыточность характеризуется введением  в состав автоматизированных систем дополнительных элементов.

По виду реализации известные методы обеспечения  достоверности обрабатываемой информации в автоматизированных системах можно  разделить на две основные группы: организационные (системные и административные) и аппаратно-программные (программные  и аппаратные) (рис. 1).

Надежность  автоматизированных систем – свойство автоматизированных систем выполнять  функции, сохраняя во времени значения установленных эксплуатационных показателей  в заданных пределах, соответствующих данным режимам и условиям использования, технического обслуживания, ремонта, хранения и транспортирования.

Надежность  комплекса аппаратных средств определяется в основном случайными сбоями и отказами, а надежность комплекса программных  средств – наличием систематических  ошибок, допущенных при его разработке.

Для обеспечения  достоверности в автоматизированных системах используются общие типовые  методы обеспечения надежности аппаратуры, целью которых служит поддержание  характеристик аппаратных средств  автоматизированных систем в заданных пределах. Надежность технических (аппаратных) средств достигается на этапах разработки, производства и эксплуатации.¹¹ 

Для программных  средств рассматривают два этапа  – этап разработки и этап эксплуатации. Этап разработки программных средств  является определяющим при создании надежных компьютерных систем.

На этапе  эксплуатации программные средства дорабатываются, в них устраняются  замеченные ошибки, поддерживается целостность  программных средств и актуальность данных, используемых этими средствами.

Аппаратно-программные  методы повышения достоверности  перерабатываемой в автоматизированных системах информации представляют собой  совокупность методов контроля и  выявления ошибок в исходных и  получаемых информационных массивах, их локализации и исправления.¹²

При эксплуатации автоматизированных систем существует возможность разрушения информационных массивов, которое приводит к появлению  ошибок в результатах, невозможности  решения некоторых функциональных задач или к полному отказу автоматизированных систем. Основными  причинами нарушения целостности  и готовности информационных массивов в процессе их непосредственного  использования или хранения на носителях  являются ошибки и преднамеренные действия операторов и обслуживающего персонала, деструктивные действия компьютерных вирусов, агрессивность внешней  среды (температура, влажность и  др.), износ носителей информации, приводящие к разрушению информационных массивов или их носителей.¹³

Проблема  обеспечения целостности и готовности информации при эксплуатации автоматизированных систем заключается в разграничении  доступа к информационным массивам и программно-техническим ресурсам, контроле правильности информационных массивов, обнаружении ошибок, резервировании и восстановлении информационных массивов во внутримашинной информационной базе по зарезервированным информационным массивам.¹⁴

Методы  повышения сохранности информации в автоматизированных системах в  зависимости от вида их реализации можно разделить на организационные  и аппаратно-программные.

I. Организационные методы повышения сохранности состоят в создании и использовании рациональной технологии эксплуатации информационных массивов, предусматривающей профилактические меры по снижению доли искажений информационных массивов до определенного допустимого уровня и по обеспечению своевременного предоставления необходимых аутентичных информационных массивов для автоматизированного решения задач автоматизированных систем. Основными из них являются:

1) учет  и хранение информационных массивов  в базах данных автоматизированных  систем;

2) контроль  за качеством работы операторов  и обслуживающего персонала;

3) контроль  износа и старения технических  средств, функционирования автоматических  систем, а также правильности  их эксплуатации;

4) профотбор,  обучение и стимулирование персонала  автоматизированных систем;