Цель закона - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Законе в статьях 5 и 6 прописаны принципы и условия обработки персональных данных. Данным законом и другими законами предусмотрены случаи обязательного предоставления субъектом своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. В Главе 3 данного Закона представлены Права субъекта персональных данных.
Интересы государства в плане обеспечения конфиденциальности информации наиболее полно представлены в Законе «О государственной тайне». В нем государственная тайна определена как защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Здесь же дается описание средств защиты информации, к которым, согласно данному Закону, относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну.[5]
За последние годы, прошедшие с момента принятия Федерального закона №152 «О персональных данных», было выпущено и опубликовано множество подзаконных актов – Постановлений Правительства РФ, приказов государственных регуляторов, нормативно-методических документов ФСТЭК, ФСБ и Россвязькомнадзора. Уточнялись требования, функции и наименования регулирующих и контролирующих органов, образцы документов. Изменения и дополнения продолжаются и до сих пор. Автором представлены практически все документы, которые, по его мнению, в той или иной степени касаются обработки персональных данных и обеспечения их безопасности.
- Российское Законодательство по защите персональных данных представлено огромным количеством Законов и Постановлений. Например:
- Федеральный закон Российской Федерации 30 декабря 2001 г. № 197-ФЗ;
- Федеральный закон от 19 декабря 2005 г. N 160-ФЗ;
- Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ - О персональных данных;
- Федеральный закон Российской Федерации от 3 декабря 2008 г. N 242-ФЗ - О государственной геномной регистрации в Российской Федерации;
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 - Положение об обеспечении безопасности персональных данных при их обработке в информационных системах.
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 - Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
- Постановление от 6 июля 2008 г. № 512 - Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных;
- Постановление Правительства Российской Федерации 2 июня 2008 г. № 419 - О Федеральной службе по надзору в сфере связи и массовых коммуникаций;
- Указ Президента Российской Федерации от 30 мая 2005 г. N 609 - Об утверждении Положения о персональных данных государственного служащего Российской Федерации и ведении его личного дела;
- Приказ от 13 февраля 2008 года N 55/86/20 - Об утверждении порядка проведения классификации информационных систем персональных данных;
- Приказ Россвязькомнадзора №08 от 17.07.2008 - Об утверждении образца формы уведомления об обработке персональных данных;
- Методические материалы ФСТЭК - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
- Методические материалы ФСТЭК - Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
- Методические материалы ФСТЭК - Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
- Методические материалы ФСТЭК - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
- Методические материалы ФСБ – Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. От 21 февраля 2008 года;
- Методические материалы ФСБ - Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. От 21 февраля 2008 года.[6]
Основой этих всех документов является концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации и основные принципы защиты компьютерных систем.
Глава 2 Основные методы защиты информации
2.1. Обеспечение достоверности и сохранности информации в автоматизированных системах
Проблема обеспечения (повышения) достоверности информации при ее обработке в автоматизированных системах заключается главным образом в контроле правильности информационных массивов, обнаружении ошибок и их исправлении на различных этапах обработки информации.[7] Исследование проблемы обеспечения достоверности информации в автоматизированных системах осуществляется на трех уровнях:
- Синтаксическом (связан с контролем и защитой элементарных составляющих информационных массивов – знаков или символов);
- Семантическом (связан с обеспечением достоверности смыслового значения информационных массивов, их логичности, непротиворечивости и согласованности);
- Прагматическом (связан с изучением вопросов ценности информации при принятии управленческих решений, ее доступности и своевременности, влияния ошибок на качество и эффективность функционирования автоматизированных систем).
Ошибки, возникающие в процессе обработки информации, связаны с помехами, сбоями и отказами технических и программных средств, ошибками пользователей и обслуживающего персонала, недостаточной точностью или ошибками в исходных, промежуточных и выходных данных, неадекватностью реализованных математических моделей реальным процессам.
Для достижения требуемой или максимальной достоверности обработки информации в автоматизированных системах используются специальные методы, основанные на введении в структуры обработки информационных массивов информационной, временной или структурной избыточности.
Информационная избыточность характеризуется введением дополнительных разрядов в используемые информационные массивы и дополнительных операций в процедуры переработки информационных массивов, имеющих математическую или логическую связь с алгоритмом переработки, обеспечивающих выявление и исправление ошибок определенного типа.
Временная избыточность связана с возможностью неоднократного повторения определенного контролируемого этапа обработки информации.
Структурная избыточность характеризуется введением в состав автоматизированных систем дополнительных элементов.[8]
По виду реализации известные методы обеспечения достоверности обрабатываемой информации в автоматизированных системах можно разделить на две основные группы: организационные (системные и административные) и аппаратно-программные (программные и аппаратные) (рис. 1).
Надежность автоматизированных систем – свойство автоматизированных систем выполнять функции, сохраняя во времени значения установленных эксплуатационных показателей в заданных пределах, соответствующих данным режимам и условиям использования, технического обслуживания, ремонта, хранения и транспортирования.
Надежность комплекса аппаратных средств определяется в основном случайными сбоями и отказами, а надежность комплекса программных средств – наличием систематических ошибок, допущенных при его разработке.
Для обеспечения достоверности в автоматизированных системах используются общие типовые методы обеспечения надежности аппаратуры, целью которых служит поддержание характеристик аппаратных средств автоматизированных систем в заданных пределах. Надежность технических (аппаратных) средств достигается на этапах разработки, производства и эксплуатации.[9]
Рис.1. Классификация методов повышения достоверности обработки информации в Автоматизированных системах
АС – автоматизированные системы; ИМ – информационные массивы;
Для программных средств рассматривают два этапа – этап разработки и этап эксплуатации. Этап разработки программных средств является определяющим при создании надежных компьютерных систем.