Сергей Терехов – Защита персональных данных курс лекций (страница 1)
Сергей Терехов
Защита персональных данных курс лекций
Глава 1 Основные понятия информационной безопасности
.лекция 1
основные понятия информационной безопасности
Оглавление
Введение
1. Лекция 1. Основные понятия информационной безопасности
1.1. Информация
1.2. Обладатель информации
1.3. Доступ к информации
1.3.1. Право доступа
1.3.2. Несанкционированный доступ к информации
1.4. Типы информации с позиции информационной безопасности
1.5. Свойства информации с позиции информационной безопасности
1.6. Обработка информации
1.7. Информационные технологии
1.8. Информационная система
1.8.1. Классификация информационных систем
1.8.1.1. Локальная информационная система
1.8.1.2. Распределенная информационная система
1.8.1.3. Автономная (изолированная) информационная система
1.8.1.4. Информационная система, имеющая подключения к сети общего пользования
1.8.1.5. Однопользовательская информационная система
1.8.1.6. Многопользовательская информационная система
1.8.1.7. Информационная система с разграничением прав доступа к информации
1.8.1.8. Государственная и муниципальная информационная система
1.8.1.8.1. Государственная информационная система
1.8.1.8.2. Муниципальная информационная система
1.8.1.8.3. Информационная система муниципального казенного учреждения
1.9. Информационная безопасность
1.10. Защита информации
1.10.1. Инвентаризация информационных систем
1.10.2. Определение уязвимостей
1.10.3. Определение угроз
1.10.4. Определение источников угроз
1.10.5. Определение рисков
1.10.6. Контрмеры (защитные меры)
1.10.7. Исходная безопасность информационных систем
1.11. Иллюстрация введенных понятий на простом примере
1.11.1. Анализ уязвимостей
1.11.2. Определение угроз
1.11.3. Определение источников угроз
1.11.4. Определение рисков
1.11.5. Контрмеры
1.12. Заключение
1.13. Вопросы для самопроверки
Введение
Обработкой персональных данных в той или иной форме занимаются все предприятия, организации, учреждения (далее, просто предприятие) независимо от форм собственности, деятельности, размеров и других отличительных факторов. Даже, если предприятие не оказывает услуги населению (физическим лицам), не взаимодействует с другими предприятиями (контрагентами), оно все же имеет в своем штате собственных сотрудников. Соответственно, предприятие обязано в соответствии с законодательством РФ вести кадровый учет, начислять и выплачивать вознаграждение сотрудникам, а также отчитываться перед государственными службами о тех или иных сторонах деятельности (например, перед пенсионным фондом).
Люди, физические лица в повседневной жизни для удовлетворения своих потребностей получают услуги от предприятий (услуги жизнеобеспечения, банковские, страховые и т.д.), становятся их клиентами и передают им сведения о себе (персональные данные – ПДн). Аналогично, поступая на работу, человек обязан передать работодателю некоторый перечень персональных данных, который определен в Трудовом Кодексе РФ.
Современные информационные технологии позволяют получать определенные услуги удаленно, т.е. без физического присутствия и физического взаимодействия клиента с представителем поставщика услуг. Для совершения сделки, например, в Интернет-магазине, персональные данные будут переданы от клиента к поставщику через не безопасную сеть международного доступа.
Если персональные данные физического лица становятся известными злоумышленнику, то они могут быть использованы им в корыстных или иных целях с нанесением материального или морального ущерба данному лицу. Следовательно, персональные данные, полученные предприятием, должны быть защищены от неправомерного использования. Это требование вытекает и из 2 статьи основного закона – Конституции РФ, и из соответствующих статей трудового кодекса РФ, и, наконец, из Федерального Закона № 152 «О персональных данных».
Казалось бы, что после выхода закона РФ № 152 в далеком 2006 году, соответствующих постановлений Правительства РФ, приказов федеральных служб, ответственных за методическое обеспечение и контроль выполнения данного закона, законопослушные предприятия должны были принять необходимые меры по защите персональных данных. Однако в полной и должной мере этого не случилось и по сей день.
Существует несколько причин, по которым этот Закон практически не выполняется:
Закон противоречив, некоторые его положения были абсурдны в момент его выхода при соотнесении с другими действующими правовыми документами и таковыми остались после многочисленных редакций. Есть положения Закона, которые логически находятся вне компетенции предприятий и не могут быть выполнены.
Защита персональных данных относится к сложной области информационной безопасности (персональные данные – это просто конкретный вид информации), малые и средние предприятия не могут позволить себе содержать специалистов в этой области. Даже при наличии специалистов техническая защита персональных данных требует дорогостоящей лицензии на проведение работ по защите конфиденциальной информации.
Привлечение системных интеграторов, имеющих лицензии на защиту конфиденциальной информации и защиту данных с помощью криптографических методов (шифрование данных), непомерно дорого в сравнении с действующими наказаниями для предприятий и должностных лиц за неисполнение закона.
Правовой нигилизм руководителей предприятий, четко понимающих необязательность исполнения Законов в современной России.
Двойные стандарты государственных органов, с одной стороны требующих выполнения закона подведомственными государственными и муниципальными учреждениями, а с другой стороны не обеспечивающих их бюджетными финансовыми средствами для его выполнения.
Не смотря на вышесказанное руководителям и собственникам предприятий все же придется принимать непростые решения:
Продолжать игнорировать требования закона. В этом случае они должны тщательно оценить принимаемый риск, так как неисполнение закона может привести к административному или уголовному преследованию именно руководителей. Адекватная оценка риска, выражаемая в вероятности полноценной проверки предприятия контролирующими органами, поможет выбрать правильную стратегию из двух возможных: что эффективнее, вложить средства в защиту персональных данных или в выплату штрафов государству и возможно в компенсацию нанесенного вреда физическим лицам.
Начать выполнение требований закона. Приняв такое решение, также выбирается непростой путь. Надо ответить на следующие вопросы: что нужно сделать для построения эффективной и приемлемой по стоимости защиты персональных данных и что нужно сделать для успешного прохождения проверки контролирующими органами. Как ни странно, но российская реальность такова, что хорошая система защиты не является достаточным условием успешности проверки. Многие предприятия склоняются к тому, что проще «защититься» от контролирующих органов, чем создавать действительно эффективную систему, обеспечивающую требуемую безопасность персональных данных.
Продолжить и далее поэтапно вводить подсистемы защиты. Наиболее правильная стратегия, позволяющая распределить на длительное время финансовые и прочие ресурсы, постепенно приближаясь к требуемому уровню защищенности персональных данных.
Какое бы не было выбрано решение без анализа и понимания нормативных актов, которые содержат требования к правовым, организационным и техническим аспектам защиты, не обойтись. Кроме этого, руководителям очень полезно хотя бы схематично ознакомиться с общими принципами построения систем, обеспечивающих безопасность персональных данных.
Есть еще круг лиц (ответственные за обработку персональных данных, администраторы безопасности), которым предписано Законом выполнение непростых обязанностей по поддержанию безопасности персональных данных. Как правило, этими лицами назначаются сотрудники, которые очень далеки при выполнении своих прямых обязанностей от проблем информационной безопасности. На малых и средних предприятиях эта непосильная ноша возлагается на юрисконсультов, инспекторов отдела кадров, бухгалтеров. Этот курс лекций поможет им более квалифицировано, с большим пониманием и ответственностью действительно «сопровождать» безопасность, а не только надеяться на то, что проверки и прочие неприятности минуют их.
Некоторые руководители могут принять решение о построении систем защиты персональных данных силами собственных сотрудников. Эти сотрудники должны иметь правовую культуру, обладать навыками разработки сложных систем в области информационной безопасности. Изучив данный курс, эта категория сотрудников получит не только теоретические знания, но и практический опыт, которые можно приобрести и самостоятельно, только времени и сил потребуется на порядок больше.