Лекции по "Информационной безопасности"

 

В законе дается определение персональных данных - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (статья 3).

 

В статье 5 говорится о принципах обработки персональных данных. Это:

1) законность целей и способов обработки персональных данных и добросовестность;

2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют  цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

 

В статье 6 говорится об условиях обработки персональных данных:

1. Обработка  персональных данных может осуществляться  оператором с согласия субъектов персональных данных.

2. Согласия субъекта  персональных данных не требуется  в следующих случаях:

1) обработка  персональных данных осуществляется  на основании федерального закона, устанавливающего ее цель, условия  получения персональных данных  и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка  персональных данных осуществляется  в целях исполнения договора, одной из сторон которого является  субъект персональных данных;

3) обработка  персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка  персональных данных необходима  для защиты жизни, здоровья  или иных жизненно важных интересов  субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка  персональных данных необходима  для доставки почтовых отправлений  организациями почтовой связи,  для осуществления операторами  электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка  персональных данных осуществляется  в целях профессиональной деятельности  журналиста либо в целях научной,  литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется  обработка персональных данных, подлежащих опубликованию в соответствии  с федеральными законами, в том  числе персональных данных лиц,  замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

 

В статье 8 говорится об общедоступных источниках персональных данных:

1. В целях  информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о  субъекте персональных данных  могут быть в любое время  исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

 

В статье 10 говорится, что обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается. Исключение составляют угрозы здоровью субъекту персональных данных, обработка персональных данных в медико-профилактических целях и в правоохранительных целях и др. при соблюдении определенных условий.

 

В статье 14 говорится о праве субъекта персональных данных на доступ к своим персональным данным (на основании 24 статьи Конституции РФ).

 

В статье 19 говорится о мерах по обеспечению безопасности персональных данных при их обработке. В частности, что оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

 

В статье 22 говорится об уведомлении об обработке персональных данных, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся  к субъектам персональных данных, которых связывают с оператором  трудовые отношения;

2) полученных  оператором в связи с заключением  договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся  к членам (участникам) общественного  объединения или религиозной  организации и обрабатываемых  соответствующими общественным  объединением или религиозной  организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся  общедоступными персональными данными;

5) включающих  в себя только фамилии, имена  и отчества субъектов персональных  данных;

6) необходимых  в целях однократного пропуска  субъекта персональных данных  на территорию, на которой находится  оператор, или в иных аналогичных целях;

7) включенных  в информационные системы персональных  данных, имеющие в соответствии  с федеральными законами статус  федеральных автоматизированных  информационных систем, а также  в государственные информационные  системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых  без использования средств автоматизации  в соответствии с федеральными  законами или иными нормативными  правовыми актами Российской  Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

 

 

Закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года N 149-ФЗ.

 

Закон на первое место ставит сохранение конфиденциальности информации.

Технические средства, предназначенные  для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические  средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

В статье 3 закона говорится о принципах правового регулирования отношений, возникающих в сфере информации, информационных технологий и защиты информации. Это:

1) свобода поиска, получения,  передачи, производства и распространения  информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации  о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

5)   достоверность информации и своевременность ее предоставления;

6) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

 

В статье 5 информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

 

1)    информацию, свободно распространяемую;

2) информацию, предоставляемую  по соглашению лиц, участвующих  в соответствующих отношениях;

3) информацию, которая в  соответствии с федеральными  законами подлежит предоставлению или распространению;

4) информацию, распространение  которой в Российской Федерации  ограничивается или запрещается. 

 

В статье 9 по вопросам ограничения доступа к информации говорится:

1. Обязательным является  соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

2. Защита информации, составляющей  государственную тайну, осуществляется  в соответствии с законодательством  Российской Федерации о государственной  тайне.

3. Федеральными законами  устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

4. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

 

В статье 16 говорится о защите информации: 

 

1. Защита информации  представляет собой принятие  правовых, организационных и технических  мер, направленных на:

 

1) обеспечение защиты  информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности  информации ограниченного доступа, 

3) реализацию права на  доступ к информации.

Закон вводит понятие информационной системы и их подразделение на государственные, муниципальные и  иные.

Закон "О лицензировании отдельных видов  деятельности"

Закон номер 128-ФЗ принят Государственной  Думой 13 июля 2001 года и действует с 8 августа 2001 года.

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. С точки зрения предмета ИБ интересны следующие виды:

• распространение шифровальных (криптографических) средств;
• техническое обслуживание шифровальных (криптографических) средств;
• предоставление услуг в области шифрования информации;
• разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
• выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• разработка и (или) производство средств защиты конфиденциальной информации;
• техническая защита конфиденциальной информации;
• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;
• изготовление экземпляров аудиовизуальных произведений, программ для ЭВМ, баз данных и фонограмм на любых видах носителей (за исключением случаев, если указанная деятельность самостоятельно осуществляется лицами, обладающими правами на использование указанных объектов авторских и смежных прав в силу федерального закона или договора).