опоиб. Информация как объект правоотношений
Скачать 0.51 Mb.
|
19. Угрозы ИБИнформационная безопасность (англ. Information Security, а также — англ. InfoSec) — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности. Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам. Угрозы информационной безопасности могут быть классифицированы по различным признакам: По аспекту информационной безопасности, на который направлены угрозы: Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна и конфиденциальная информация[3] (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений (тайна связи), сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации (ноу-хау) и др.). Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования. Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей. По расположению источника угроз: Внутренние (источники угроз располагаются внутри системы); Внешние (источники угроз находятся вне системы). По размерам наносимого ущерба: Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба); Локальные (причинение вреда отдельным частям объекта безопасности); Частные (причинение вреда отдельным свойствам элементов объекта безопасности). По степени воздействия на информационную систему: Пассивные (структура и содержание системы не изменяются); Активные (структура и содержание системы подвергается изменениям). По природе возникновения: Естественные (объективные) — вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека; Искусственные (субъективные) — вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют: Непреднамеренные (случайные) угрозы — ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники; Преднамеренные (умышленные) угрозы — неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей. Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений. Классификация источников угроз информационной безопасности Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления, например, конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба. Все источники угроз информационной безопасности можно разделить на три основные группы: Обусловленные действиями субъекта (антропогенные источники) – субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры. Обусловленные техническими средствами (техногенные источники) – эти источники угроз менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними. Стихийные источники – данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить, или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы. 20. Права и обязанности субъекта и оператора персональных данных.Статья 14. Право субъекта персональных данных на доступ к своим персональным данным Комментарий к статье 14 Комментируемой статьей начинается новая глава Закона, определяющая права субъекта ПД. Итак, субъект ПД обладает следующими правами: - правом на получение сведений об операторе, о месте его нахождения; - правом на получение сведений о наличии у оператора ПД, относящихся к соответствующему субъекту ПД; - правом на ознакомление со своими ПД, находящимися у оператора (кроме случаев, когда доступ к ПД ограничен - см. комментарий к п. 5 Закона); - правом требовать от оператора уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - правом принимать предусмотренные законом меры по защите своих прав. Право доступа к своим ПД предоставляет и Директива 95/46/EC Европейского Парламента и Совета Европейского союза от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных". Так, согласно ст. 12 указанного документа государства-участники гарантируют право каждого субъекта данных получать от контролера (физического или юридического лица, официального органа, агентства или иного органа, который самостоятельно или совместно с другими определяет цели и средства обработки ПД): - подтверждение того, были ли или нет в обработке относящиеся к нему данные, и информацию по меньшей мере о целях обработки, категории используемых данных, получателях или категориях получателей, которым сообщаются данные; - сообщение об обрабатываемых данных и о любой доступной информации, касающейся их источника; - сведения о логике, используемой в любой автоматической обработке данных, касающихся его; - уточнение, стирание или блокировку данных, не соответствующих положениям Директивы, в частности, в связи с неполным или неточным характером данных; - уведомление третьих лиц, которым раскрываются данные, о любых уточнениях, стирании или блокировках данных, если это не оказывается невозможным или требующим непропорциональных усилий. Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных Комментарий к статье 16 Комментируемая статья определяет перечень прав субъекта ПД при принятии решений на основании исключительно автоматизированной обработки его данных. Обратимся к Директиве 95/46/EC Европейского Парламента и Совета Европейского союза от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных". В ст. 15 указанного документа указываются обязанности государств-участников при принятии ими автоматизированных решений в отношении частных лиц. Так, государства-участники взяли на себя обязательства предоставить каждому лицу право не оказаться под воздействием решения, порождающего юридические последствия в отношении его или существенно воздействующего на него и основанного исключительно на автоматической обработке данных, предназначенной для оценки некоторых касающихся его личных аспектов, таких, как выполнение им своей работы, кредитоспособность, надежность, поведение и т.п. Важным документом, защищающим права граждан при автоматизированной обработке их данных, является Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных от 28.01.1981, в соответствии с которой все ПД, проходящие автоматическую обработку: - должны быть получены и обработаны добросовестным и законным образом; - должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; - должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются; - должны быть точными и в случае необходимости обновляться и т.д. Пунктом 1 комментируемой статьи законодатель запрещает принятие на основании исключительно автоматизированной обработки ПД следующих решений в отношении субъекта ПД: - решений, порождающих юридические последствия в отношении субъекта ПД; - решений, каким-либо образом затрагивающих права и законные интересы субъекта ПД. Статья 17. Право на обжалование действий или бездействия оператора Комментарий к статье 17 1. Норма, содержащаяся в п. 1 комментируемой статьи, предоставляет право субъекту ПД обжаловать действия или бездействие оператора ПД, если тот осуществляет обработку данных с нарушением требований законодательства о ПД. Субъект ПД может защитить свои права путем направления жалобы по своему выбору: - в уполномоченный орган по защите прав субъектов персональных данных; - в суд. Обязанности оператора Статья 18. Обязанности оператора при сборе персональных данных Комментарий к статье 18 1. Со ст. 18 начинается новая глава комментируемого Закона, устанавливающая обязанности оператора ПД. Пунктом 1 комментируемой статьи законодатель закрепляет за оператором ПД обязанность предоставить субъекту ПД по его просьбе следующую информацию: - подтверждение факта обработки ПД оператором, а также цель такой обработки; - способы обработки ПД, применяемые оператором; - сведения о лицах, которые имеют доступ к ПД или которым может быть предоставлен такой доступ; - перечень обрабатываемых ПД и источник их получения; - сроки обработки ПД, в том числе сроки их хранения; - сведения о том, какие юридические последствия для субъекта ПД может повлечь за собой обработка его ПД. Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Комментарий к статье 19 Законодатель возлагает на оператора ПД обязанность принимать необходимые организационные и технические меры для защиты данных: - от неправомерного или случайного доступа к ним; - от уничтожения, изменения, блокирования, копирования, распространения; - от иных неправомерных действий. Во-первых, всем операторам ПД необходимо закрепить документально основные понятия обработки ПД, такие, как цель обработки; способы обработки; сведения о лицах, имеющих доступ к ПД; перечень обрабатываемых ПД; источник получения; сроки обработки и хранения ПД. Необходимость анализа всех обрабатываемых организацией ПД и аккумулирования этой информации в едином документе обусловлена требованием к технической защите обрабатываемых оператором ПД. Приказом ФСТЭК России, ФСБ России и Мининформсвязи от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" при классификации информационных систем с целью определения уровня их защиты и степени расходования средств организации на техническую защиту ПД субъектов учитываются категории обрабатываемых ПД и их объем. Поэтому и возникает необходимость такую информацию фиксировать и документировать. Во-вторых, организациям следует установить сроки хранения ПД. При этом необходимо заранее продумать обоснование выбранных сроков хранения. В-третьих, мероприятия по обеспечению безопасности ПД при их обработке в информационных системах должны включать в себя учет лиц, допущенных к работе с ПД в информационных системах. Нужно помнить, что лица, доступ которых к ПД, обрабатываемым в информационной системе, необходим для выполнения служебных обязанностей, должны допускаться к таким данным на основании списка, утвержденного уполномоченным лицом оператора ПД. В-четвертых, оператором ПД должны быть реализованы следующие механизмы защиты: - регистрация и учет; - обеспечение целостности; - обеспечение антивирусной защиты. Функционал, который должны выполнять данные механизмы, определен в методических документах ФСБ России и ФСТЭК России по защите ПД. Такие механизмы призваны предотвращать несанкционированный доступ к ПД и обеспечивать своевременное обнаружение фактов несанкционированного доступа к ним. В-пятых, оператору ПД следует разработать ряд локальных документов, таких, как: - приказ о создании комиссии по защите ПД с наделением ее полномочий по проведению всех мероприятий, касающихся организации защиты ПД; - положение о ПД и их защите; - инструкцию о порядке обеспечения конфиденциальности при обращении с информацией, содержащей ПД; - приказы о возложении персональной ответственности за защиту ПД; - форму согласия субъекта ПД на их обработку в случаях, определенных комментируемым Законом; - перечень информационных систем, обрабатывающих ПД; - регламент допуска сотрудников к обработке ПД; - перечень сотрудников, допущенных к обработке ПД; - должностные инструкции сотрудников, имеющих отношение к обработке ПД. В-шестых, должна быть осуществлена классификация информационных систем ПД на основании Приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". При этом модель угроз создается на основании методических документов ФСТЭК России и ФСБ России, а также актуальных угроз безопасности ПД при их обработке в информационных системах данных. Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных Комментарий к статье 20 1. Комментируемая статья по своей сути дополняет ст. 14, 18 Закона. Так, в ответ на запрос субъекта ПД или его представителя о предоставлении информации о ПД, относящихся к этому субъекту, оператор ПД обязан: - сообщить субъекту ПД или его законному представителю информацию о наличии данных, относящихся к соответствующему субъекту ПД; - предоставить возможность ознакомления с этими данными. Предоставление возможности ознакомления с ПД должно быть организовано оператором: - при обращении субъекта ПД или его законного представителя - либо в течение десяти рабочих дней с даты получения запроса субъекта ПД или его законного представителя. Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных . В п. 1 комментируемой статьи законодатель определяет порядок действий оператора ПД при обращении или по запросу субъекта данных или его законного представителя либо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в случаях: - выявления недостоверных ПД; - выявления неправомерных действий с ПД. Оператор обязан осуществить блокирование ПД, относящихся к соответствующему субъекту данных, с момента такого обращения или получения такого запроса на весь период проверки. Напоминаем, что под блокированием ПД подразумевается временное прекращение сбора, систематизации, накопления, использования, распространения ПД, в том числе их передачи. Идем дальше. Итак, получив информацию о недостоверности ПД в соответствии с п. 1 комментируемой статьи, оператор обязан: - блокировать ПД; - на основании документов, представленных субъектом ПД или его законным представителем либо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), осуществить проверку данных на предмет подтверждения (опровержения) факта недостоверности ПД; - уточнить ПД на основании документов, представленных субъектом ПД или его законным представителем либо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор); - снять блокирование с ПД. Статья 22. Уведомление об обработке персональных данных Первоначально обязанность уведомлять уполномоченный орган о начале обработки ПД была закреплена в Директиве 95/46/EC Европейского Парламента и Совета Европейского союза от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных". Согласно ст. 18 упомянутого выше документа государства-участники обязаны обеспечить, чтобы контролер (физическое или юридическое лицо, официальный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных) или его представитель, если таковой имеется, уведомили уполномоченный орган перед осуществлением полностью или частично любой операции по автоматической обработке данных либо набора таких операций, предназначенных служить единой цели или нескольким связанным целям. Как упоминалось выше, в Российской Федерации таким уполномоченным органом, который обязаны уведомить операторы ПД перед началом обработки данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). |