Сергей Терехов – Защита персональных данных курс лекций (страница 2)

Наконец, если принято решение о проведении работ по защите персональных данных специализированной организацией – системным интегратором, эти лекции послужат хорошим подспорьем тому сотруднику предприятия, который будет обязан от имени предприятия участвовать в предпроектном исследовании, подготовке требований технического задания, приемке систем защиты.

В данном курсе скрупулезно будут рассмотрены все основные положения законодательства в области защиты персональных данных, даны необходимые для понимания сведения из области информационной безопасности и предложены типовые решения и проекты, реализация которых обеспечит как реальную безопасность, так и успешность выездной или документарной проверки предприятия контролирующими органами.

В процессе создания этих методических материалов использованы личный практический опыт автора и многочисленные открытые источники информации, среди которых особенно хочется отметить партнеров ООО «Технологии Управления Ресурсами»:

ЗАО «Диалог-Наука»;

ООО «DrWeb»;

Корпорацию «Майкрософт»;

Kerio Technologies Inc;

GFI;

Acronis Inc.

Лекция 1. Основные понятия информационной безопасности

В Федеральном законе «О персональных данных» приводятся обобщенные формулировки понятий, связанных с обработкой ПДн, обобщенные требования к процедурам обработки и обобщенные требования к защите ПДн. Дальнейшая конкретизация понятийной базы и требований приводится в постановлениях Правительства и приказах соответствующих государственных служб. Подробное описание «кто есть, кто» в правовом пространстве «защита персональных данных» изложено в лекции «Правовое обеспечение защиты персональных данных».

Фактически ФЗ «О персональных данных» обязывает все предприятия разработать, внедрить и сопровождать систему защиты (специфической) информации и, следовательно, даже только для адекватного понимания этого закона и выпущенных в его развитие подзаконных актов необходимо знание базовых понятий информационной безопасности.

1.1. 

Информация

Все отношения по защите информации, которые возникают на предприятиях Российской Федерации, применяющих информационные технологии, регулируются ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Понятие «информация» является базовым, фундаментальным понятием (также как, например, понятие «объект») и поэтому по сути неопределяемым. Нет более общего понятия, через которое его можно было бы определить классическим способом (отнесением к ближайшему роду и указанием видовых отличий или перечислением его элементов). Единственное, что можно сделать в таких случаях – это привести синонимы данного понятия. Подобным образом поступили с определением информации в упомянутом Федеральном законе. Итак, информация – это сведения (сообщения, данные) независимо от формы их представления. Информация как абстрактная сущность не может существовать отдельно сама по себе и неразрывно связана с носителем. Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Носителем одной и той же информации может быть бумага, звуковые волны, световые волны и т.д. Заметьте, что при таком понимании ничего не говорится об интерпретации (толковании) информации. Например, любое бессмысленное утверждение или бессмысленная фраза типа «дерево береза курит сигареты с фильтром» – информация.

В современном обществе информация приравнивается к таким же активам, как и здания, сооружения, транспортные средства и т.д. и часто выступает в качестве товара. Более того для отдельных предприятий стоимость информационных активов может превышать стоимость всех других. Для них утрата информации может привести вообще к прекращению деятельности предприятия.

1.2. 

Обладатель информации

Физическое или юридическое лицо может стать (законным) обладателем информации, если оно самостоятельно создало ее или получило на основании закона или договора с обладателем информации право разрешать или ограничивать доступ к ней. Человек, родившийся на территории России, в соответствии с законом становится обладателем фамилии, имени, отчества, места рождения и иной персональной информации. Юридическое лицо при приеме на работу физического лица становится обладателем персональной информации этого лица на основании трудового кодекса РФ и трудового договора. Автор этой лекции, самостоятельно ее сотворивший, – законный обладатель информации. Если господин Петров получил по обычной почте адресованный ему конверт от банка «Х Банк» с предложением получить кредит в банке, и с этим банком у Петрова нет действующего договора, то банк незаконный обладатель персональной информации Петрова.

1.3. 

Доступ к информации

Чтобы воспользоваться информацией, необходимо иметь к ней доступ, т.е. иметь право (полное или ограниченное право доступа, полученное от обладателя) на ее обработку. Другими словами, доступ к информации – это возможность получения информации и ее использования. Например, доступ к тексту гимна РФ никому не ограничен, любой желающий может скопировать его с официального сайта и выучить. Однако доступ к полной платежной ведомости предприятия может быть закрыт даже для его сотрудников.

1.3.1.

Право доступа

Право доступа – это совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы (информации, её носителям, процессам и другим ресурсам), которые установлены правовыми документами или обладателем информации. Права доступа определяют набор действий (например, чтение, запись, модификация), разрешённых для выполнения субъектам (например, пользователям системы) над информацией. Для этого требуется некая система разграничения прав доступа для предоставления субъектам различных прав доступа к информации.

Например, операционная система Windows (XP/7/8/10 или некая другая) содержит штатные средства разграничения прав доступа пользователя к информации. Типовые средства основываются на процедуре входа пользователя в систему, состоящей из идентификации пользователя (ввод имени пользователя), аутентификации (ввод пароля, доказательство подлинности пользователя), авторизации (предоставление прав доступа).

Аналогичные средства разграничения прав доступа имеют и прикладные программы.

1.3.2.

Несанкционированный доступ к информации

Несанкционированный доступ к информации – доступ к информации с нарушением прав разграничения доступа, определенных обладателем и реализуемых штатными средствами информационной системы.

Злоумышленник может загрузить свою операционную систему, например, с оптического привода компьютера, и получить несанкционированный доступ к информации. Если пользователь вошел в программу расчета заработной платы под именем другого пользователя с подбором его пароля, то он совершил несанкционированный доступ к информации.

1.4. 

Типы информации с позиции информационной безопасности

Всю информацию с позиции информационной безопасности подразделяют на два типа:

Информация неограниченного доступа или общедоступная информация. Это информация, находящаяся в свободном доступе любому лицу, может распространяться и передаваться без каких-либо ограничений. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен обладателем. Примером такой информации служит текст Конституции России. Другой пример, – номера телефонов абонентов в телефонной книге, выпущенной телефонным оператором с письменного согласия абонентов.

Информация ограниченного доступа или конфиденциальная информация. Доступ к этой информации ограничивается либо по инициативе обладателя, либо директивно соответствующими государственными органами, такими как Государственная Дума, Федеральная Служба по Техническому и экспортному Контролю (ФСТЭК), Федеральная Служба Безопасности (ФСБ), во исполнение федеральных законов и указов президента.

В свою очередь, конфиденциальная информация подразделяется на следующие виды:

Служебная тайна (информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства);

Профессиональная тайна (сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);

Коммерческая тайна; (ФЗ о коммерческой тайне № 98 от 29.6.2004 г.);

Банковская тайна (ФЗ о банках и банковской деятельности №395-1 от 2.12.1990 г.);

Персональные данные (ФЗ о персональных данных № 152 от 27.06.2006 г.)

Государственная тайна. (Указ президента РФ № 351 от 17.03.2008 г.)

1.5. 

Свойства информации с позиции информационной безопасности

Существует несколько подходов к выделению из многочисленных свойств информации тех характеристик, на основе которых формируется само понятие информационной безопасности. Здесь будут выбраны характеристики, ставшие в некотором смысле классическими: