Министерство просвещения ПМР

Муниципальное учреждение «УНО г. Бендеры»

МОУ «Бендерский теоретический лицей»

Секция: информатика ИКТ

Компьютерная безопасность

Выполнила:

Марина Алина Андреевна, 11 А класс,

г. Бендеры, ул. 40 лет Победы, 44/19, тел. 5-54-88

Руководитель:

Коврикова Ольга Анатольевна,

методист-организатор по ИО

Бендеры, 2016

Оглавление

Сравнение и описание антивирусов (приложение № 2).

Таким образом, можно сказать, что программный код вируса, встроенный в другую программу или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на несущем компьютере наносят колоссальный вред. Необходимо систематически производить профилактику компьютеров на наличие вредоносных программ.

Глава II . Исследование современных угроз информационной безопасности

2.1. Анализ результатов анкетирования учащихся лицея

Среди учеников 7-11 классов было проведено анкетирование с целью выявления представления о вредоносных программах.

На основе анкетирования выявили часто встречаемые виды вирусов среди опрашиваемых учеников МОУ «Бендерский теоретический лицей».

В анкетировании приняло участие 387 человек. Результаты ответов по классам (приложение №3).

На вопрос «Сталкивались ли вы когда-то с вирусами на своем компьютере? Если да, то с какими?» были получены следующие ответы:

На вопрос « Взламывали ли ваши аккаунты и где?»

На вопрос «Сталкивались ли вы с вирусами в интернете?»

Из результатов тестирования видно, что учащиеся лицея часто сталкиваются с взломом аккаунтов в «Вконтакте», «Одноклассниках», на почте и в « S kype», поэтому в работе я решила исследовать, каким образом происходит взлом аккаунтов и как защититься от этого.

2.2. Взлом аккаунтов

Взлом электронной почты и аккаунтов в социальных сетях

Как работают хакеры, и как у них получается, регулярно взламывать почтовые ящики известных личностей? Этим вопросом наверняка задаются все, кто читает новости про успешные хакерские атаки.

Чаще всего взлом почты и аккаунтов в соцсетях происходит из-за неправильно подобранного пароля. Он слишком простой и его легко подобрать. Поэтому нужно правильно его составлять на основе приведенных ниже рекомендаций.

Каким образом лучше выбирать составляющие для пароля?

Не применять пароль, который является словарным словом.

Если есть возможность, то можно использовать знаки препинания.

Можно применять символы из нижнего и верхнего регистров, а так же цифры от 0 до 9.

Оптимальным для составления пароля является количество цифр (букв) от 8 до 10.

Использовать последние символы из списка цифр, знаков или алфавита.

рис. 1. Программа подбора пароля

Существуют также специальные программы (рис. 1), подбирающие пароли к аккаунту в почтовом сервисе в автоматическом режиме.

Метод защиты: использование сложного пароля, который невозможно угадать или логически вычислить; использование сервиса восстановления пароля с помощью контрольного вопроса.

Вторая причина взлома электронной почты происходит после попадания на нее вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код.

Третья причина взлома не только почты, но и аккаунтов соцсетей – это взлом cookies. Сookies – это информация, которую браузер хранит «по просьбе» веб-сайта. Как правило, это данные, необходимые для аутентификации пользователя. Сookies хранится в файлах в рабочей папке браузера, и злоумышленники, похитив их, могут получить доступ к учетной записи (рис. 2).

рис. 2. Сохраненные данные Сookies

Метод защиты заключается в том, что необходимо постоянно при завершении работы выходить из почтового сервиса для его автоматического закрытия. Т.е. именно нажимать на «Выход», а не просто закрывать браузер или страницу.

2.3. Взлом « Skype»

В «Skype» все чаще стали «заводиться» вирусы. Вредоносные «червяки» забираются под видом каких-то сообщений со ссылками в различные компьютерные программы. Поэтому следует быть осторожными и не переходить по сомнительным ссылкам.

« Skype » может быть подвержен взлому или заражению даже во время установки, если он скачан с какого-либо сайта, который занимается распространением вредоносного софта. Поэтому скачивать «Skype» нужно только с официального сайта разработчика (skype.com). Тем более что предлагается программа в свободном доступе.

Недавно я и сама столкнулась с тем, что получила от знакомого человека, который находится в моих контактах в « Skype », подозрительное сообщение. Вскоре я поняла, что мой знакомый «удачно» поймал в данной соцсети вирус, который послал сообщение и мне.

Сообщения, которые содержат вредоносные программы, могут быть различного рода. Например, началась атака подобным вирусом с сообщения «Это новый аватар вашего профиля?». Затем формулировка стала таковой: «Посмотри на эту фотографию», «На этой фотографии он похож на Путина», а сейчас можно встретить и такое: «Жесть! Как можно было так спалиться?». Рядом с сообщением находится ссылка. Она может быть как непонятной, так и вполне логичной, похожей на нормальную ссылку, на которую хочется перейти. Например:

это новый аватар вашего профиля?))http://goo.gl/...

очень хорошая фотография, вы http://is.gd/uqfHnA?id=pk-help.com
invoice_{цифры}.pdf.exe

Важно! Переходить по ссылке ни в коем случае нельзя! Иначе на компьютер загрузится вирус, который заражает программы, ворует пароли и блокирует доступ к сайтам с антивирусами, также рассылается сообщение-вирус всем контактам, находящимся в данном аккаунте.

Файл является сетевым червем и IRC -ботом, который может распространяться через файл autorun . inf , прописываясь в ветку реестра oftware \ Microsoft \ Windows \ CurrentVersion \ Run .

При этом файл-вирус копирует себя в % APPDATA %\
7658354235994425565\ winsvc . ex и пытается распространяться через вложения в электронной почте. Чтобы избавиться от него, нужно удалить и файл winsvc.ex, и ссылку на него из реестра.

Также существует второй вид вируса в « Skype». Это вирус Т9000 – он записывает разговоры пользователей, не распознается ни одной антивирусной программой и распространяется путем рассылок писем со ссылками на зараженные файлы формата RTF.

Единственный способ распознать присутствие вируса на компьютере - это при запуске «Skype» на экране появляется сообщение следующего содержания: «explorer.exe wants to use Skype».

Главная цель трояна - это не сбор личной информации пользователей «Skype», а доступ к данным финансового характера.

Методы защиты. Прежде всего, нужно приостановить действие вируса и отключить его возможность публиковать информацию, используя другие программы. Для этого следуйте инструкции: установите антивирусную программу и уберите доступ любых программ «Skype» (рис. 3) в настройках программы (желательно это сделать после установки «Skype»).

рис.3. Окно настройки Skype

На зараженном компьютере может быть надпись, пример которой указан на рис. 4.

рис. 4. Окно контроля доступа Skype

Нужно избавиться от этой надписи, нажав кнопку «Удалить». Окно обязательно должно быть чистым, то есть не иметь каких-либо записей.

Таким простым способом можно избавить « Skype» и компьютер от дальнейшего распространения вируса, но полностью от него не избавиться. Для этого лучше использовать специальные утилиты, а также проверить весь компьютер на вирусы.

Можно воспользоваться утилитой «VBA32 AntiRootkit». После ее скачивания и запуска откроется окно, в котором нужно будет нажать кнопку «No» и дождаться загрузки программы. В меню «Tools» следует выбрать LowLevel DiskAccessTool. Откроется окно, в котором будет прописан путь к папке «%AppDatа%». Справа в программе Вы увидите вредоносный файл, который может иметь совершенно бессмысленное название. Нажав на этот файл правой клавишей мыши, выберите из контекстного меню «Удалить». Затем следует подтвердить это действие, выйти из утилиты и перезагрузить компьютер.

Совет! Перед перезагрузкой лучше всего проверить компьютер на наличие вирусов, используя для этого Kaspersky Anti-Virus или Dr.Web.

Но многие вирусы не обнаруживаются привычными нам антивирусными программами. Поэтому для проверки «Skype» и удаления в нем вирусов можно использовать программу Malwarebytes Anyi-Malware. Чтобы проводить сканирование компьютера, эту программу можно скачать бесплатно с официального сайта (malwarebytes.org).

Запустите программу и перейдите в «Настройки». В открывшемся окне уберите три галочки (рис. 5).

рис. 5. Окно настройки Malwarebytes

Затем перейдите во вкладку «Сканер» и выставьте флажок «Полное сканирование» (рис. 6).

рис. 6. Окно сканирования Malwarebytes на наличие вирусов

Так программа проверит компьютер на наличие вирусов и удалит их.

2.4. Уголовный кодекс ПМР

Нормативные акты большинства стран мира, в том числе и в Приднестровской Молдавской Республике, предусматривают уголовную ответственность за киберпреступления. Наказания в нашей республике назначаются в виде штрафа от 700 до 5000 РУМЗП или в виде лишения свободы от 2 до 7 лет, в зависимости от тяжести преступлений.

Рассказав учащимся лицея о результатах моего исследования, я ознакомила их со статьями уголовного кодекса ПМР.

Статья 268. Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере от 700 (семисот) до 1700 (тысячи семисот) расчетных уровней минимальной заработной платы либо исправительными работами на срок от 6 (шести) месяцев до 1 (одного) года, либо лишением свободы на срок до 2 (двух) лет.

То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от 1700 (тысячи семисот) до 3000 (трех тысяч) расчетных уровней минимальной заработной платы либо исправительными работами на срок от 1 (одного) года до 2 (двух) лет, либо арестом на срок от 3 (трех) до 6 (шести) месяцев, либо лишением свободы на срок от 2 (двух) до 5 (пяти) лет.

Статья 269. Создание, использование и распространение вредоносных программ для ЭВМ

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, -
наказываются лишением свободы на срок до 3 (трех) лет со штрафом в размере от 700 (семисот) до 2000 (двух) тысяч расчетных уровней минимальной заработной платы.

Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от 3 (трех) до 7 (семи) лет.

Статья 270. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 (двух) до 5 (пяти) лет либо обязательными работами на срок от 180 (ста восьмидесяти) до 240 (двухсот сорока) часов, либо ограничением свободы на срок до 2 (двух) лет.

То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок от 1 (одного) года до 4 (четырех) лет.

В Законодательстве предусмотрена уголовная ответственность за нарушения такого характера. Но по этим статьям никого не наказывают, так как отдел по работе с киберпреступлениями полностью отсутствует.

2.5. Обобщение полученных результатов

На основе моего исследования я разработала памятку (приложение
№ 4), подготовила обзор рекомендованной литературы и интернет источников (приложение № 5) с которыми были ознакомлены учителя и ученики теоретического лицея 5-11 классов (приложение № 6).

После представления изученных мной материалов учащимся было предложено ответить на следующие вопросы, в результате которых я получила данные, представленные на графике.

Всего участвовало в опросе 597 учащихся.

Обобщенные результаты ответов 5-11 классов

Из графика видно, что подготовленная мной информация была полезна и актуальна.

Сравнительный анализ ответов по классам

При сравнительном анализе по классам видно, что информация была полезна в большинстве классов. Среди учеников 8-х классов показатель ниже по сравнению с другими классами.

Таким образом, проанализировав результаты анкетирования, выделив наиболее опасные вредоносные программы и ознакомив учащихся с моим исследованием, ученики лицея будут наиболее информационно защищены.

Заключение

В настоящее время все мы можем наблюдать положительную динамику информатизации нашего общества. Там, где ещё вчера работа велась «дедовским методом» (кипы бумаг, счёты, калькуляторы), сегодня всё чаще и чаще мы видим компьютеры. Количество компьютеров растёт, их объединяют в локальные сети и со временем, как правило, подключают к глобальной сети Интернет. Люди, работающие с использованием передовых технологий вычислительной техники, как правило, не имеют ни малейшего опыта работы и достаточной информации обо всех подстерегающих их опасностях.

За последние два года наибольшим источником компьютерных вирусов является именно глобальная сеть Интернет. Из нее к пользователям попадают минимум 95 % всех вредоносных программ.

По определению вирусами являются программы, которые имеют возможность создавать свои копии, которые в свою очередь сохраняют способность к размножению (размножение – главное свойство вируса). Но это определение вируса в узком смысле этого слова. В широком же смысле, мы называем вирусами как собственно сами вирусы, так и Internet-черви, сетевые черви, троянские программы, утилиты скрытого администрирования.

Поэтому на основе анкетирования мной было выявлено, с какими вредоносными программами чаще всего сталкиваются учащиеся лицея. Были рассмотрены соответствующие вирусы, принцип их работы и методы защиты.

Выдвинутая мной гипотеза о том, что при установлении путей проникновения вредоносных программ, принципа их работы и разработки методов защиты от них, можно повысить уровень защиты персональных данных – подтвердилась. Это было видно из результатов, полученных после обобщения мной исследовательской работы среди учащихся и учителей МОУ «Бендерский теоретический лицей».

В Законодательстве ПМР предусмотрена уголовная ответственность за неправомерный доступ к компьютерной информации, создание и распространение вредоносных программ. Но по этим статьям, как выяснилось, никого не наказывают, так как отдел по работе с киберпреступлениями полностью отсутствует.

Остается еще раз призвать проявлять осторожность при использовании интернет-технологий, и тогда, наверняка, проблема компьютерных вирусов не будет представлять никакой угрозы вашим данным. Я описала некоторые интернет-источники и литературу, позволяющие дополнительно получить информацию о защите своего ПК от различных угроз, которые рекомендую прочитать учащимся, учителям и родителям.

Также в заключении хочется выделить список правил при работе с компьютером, чтобы избежать возможности заражения вирусами:

Пользуйтесь антивирусными программами.

Соблюдайте осторожность при установке всевозможных приложений на ваш ПК, особенно с неофициальных сайтов.

Не переходите по подозрительным разного рода ссылкам.

Не позволяйте устанавливаться автоматически незнакомым программам.

Список использованной литературы

Касперски К. «Компьютерные вирусы изнутри и снаружи», 2013 г.

Климентьев К. Е. Компьютерные вирусы и антивирусы: взгляд программиста, -М., ДМК, 2013 г.

Курбанова Ф.Ф., Залкеприева А.А. Мобильные вирусы и методы защиты от них//Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. XLII междунар. студ. науч.-практ. конф. № 5, 2015 г.

Хлестова Д.Р., Попов К.Г. Защита детей от Интернет-угроз. Журнал «Символ науки». Выпуск № 7-2 / 2016

Шаньгин В.Ф. Компьютерная безопасность компьютерных сетей и систем: учебное пособие - М.:ИД « ФОРУМ»: ИНФРА-М, 2011 г. 416с. https://a-panov.ru/antivirus http://www.ferra.ru/ru/mobile/s26687/#.VjN4h7fhCUk

Приложение № 1

По данным исследователя компании McAfee Торалв Дирро опубликовал блог о росте новых вредоносных программ, примерно до 20 000 новых образцов вредоносных программ в день. Затем он продолжил, сказав, что «сейчас с постоянным, хотя все еще массивным, ростом все же есть свет в конце туннеля для индустрии безопасности»…

К сожалению, то «вредоносное плато» в 2008 году было лишь временной передышкой: к 2010 году объемы создания новых вредоносных программ утроились до уровня 63000 образцов в день, а в 2015 году, по данным антивирусной лаборатории PandaLabs, их количество достигло 230000 новых образцов ежедневно.

Для 2016 года красный сектор показывает количество новых угроз, зарегистрированных в AV - Test , по состоянию на 16 ноября 2016г., а синий сектор показывает примерное количество новых угроз, которые будут зарегистрированы в оставшиеся недели 2016 года. Как видно из графика, общее количество новых зарегистрированных вредоносных программ в 2016 году ожидается ниже, чем в 2015 году.

Защита персональных данных в Российской Федерации: Проблемы и перспективы

Alexander Antipov

В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Шкилев Николай Александрович

ВВЕДЕНИЕ

Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей « персональные данные ».

Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.

Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.

Следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене», - ст. 11 «Информация о гражданах (персональные данные)» Закона «Об информации, информатизации и защите информации». Защите персональных данных работников посвящена глава 14 Трудового кодекса Российской Федерации.международных стандартов:- ISO 17799 - по информационной безопасности;- ISO 15489 - по управлению документацией.

Принятие ФЗ «О персональных данных» явилось ответом законодательной ветви власти на один из наиболее острых вызовов современной России - бесконтрольный оборот приватных сведений граждан, неуважение к частным данным вообще, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, ФЗ имеет огромное социальное значение.

Согласно исследованию холдинга ROMIR Monitoring, проведенного в январе 2006 года по заказу «РИО-Центра», российские граждане целиком и полностью поддерживают законодательную инициативу властей. Например, лишь 3,4% респондентов уверено в защищенности своих персональных данных, а противоположной точки зрения - то есть уверенности в полной беззащитности своих приватных сведений - придерживаются 24,4% граждан. При этом 74,1% респондентов поддержали бескомпромиссную борьбу с распространением пиратских копий баз данных ГИБДД, операторов связи, БТИ и других организаций, а 63,3% граждан считают, что государство просто обязано контролировать сбор персональных данных коммерческими структурами. Отметим, что в основе исследования лежит репрезентативная выборка, состоящая из 1,6 тыс. постоянно проживающих в стране граждан из 43 субъектов РФ. Другими словами, очевидно, что с социальной точки зрения в стране уже давно назрела необходимость законодательного регулирования сбора и обработки персональной информации граждан.

Все это наводит на мысль, что исполнительная и судебная ветви власти могут и должны с энтузиазмом перенять эстафету законодателей. и уже с 30 января 2007 года органы правопорядка и суды могут начать привлекать и осуждать лиц, виновных в нелегальном распространении персональных данных. Однако с наиболее серьезными последствиями нового ФЗ придется столкнуться коммерческим компаниям, которые могут потерять лицензию на обработку приватных сведений граждан в случае нарушения требований закона.

1.Краткий правовой анализ Федерального закона “О персональных данных”

1.1. Основные понятия и термины закона

Прежде чем перейти к экспертизе требований ФЗ «О персональных данных», рассмотрим основные понятия этого нормативного акта. Список наиболее важных терминов вместе с пояснениями представлен в таблице ниже (см. таб. 1). Полный листинг понятий ФЗ можно найти во 2 ст. полного текста закона.

Прежде всего, следует обратить внимание на определение термина «персональные данные» (см. таб. 1). Далее по тексту в качестве синонима к этому понятию будут использоваться такие словосочетания, как приватные сведения, личная информация, частные записи граждан и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых ФЗ. Также важно заметить, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Таблица 1.

Основные понятия закона «О персональных данных»

Анализ главных определений ФЗ позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней ФЗ понимает защиту от распространения (синоним слову «утечка»). Таким образом, закон «О персональных данных» затрагивает деятельность абсолютно всех коммерческих компаний и госструктур, которые теперь должны позаботиться о защите персональных данных от неавторизованного распространения, то есть, от утечки.

1.2. Основные положения закона

Рассмотрим основные положения ФЗ «О персональных данных», с которыми теперь должны считаться представители бизнеса и госсектора. Прежде всего, следует отметить 5 ст. закона - «Принципы обработки персональных данных», согласно которой цели обработки приватной информации должны соответствовать целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. На практике это означает, что организация обязана прямо во время сбора личных сведений уведомить граждан о том, для чего ей эти сведения понадобились и что она будет с ними делать. Более того, единожды заявив о своих целях, организация не может просто так их изменить, не поставив в известность граждан.

В ч.2 ст.5 указано очень важное с точки зрения IT-безопасности требование к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Базовая концепция нового закона нашла свое отражение в ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»). Рассмотрим эти статьи подробнее.

Согласно ст.6, основным условием обработки приватных сведений является согласие на это владельца персональных данных, то есть самого гражданина. Из этого условия существует ряд исключений. Например, общедоступными являются некоторые приватные сведения высших чиновников и кандидатов на выборные должности. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта чувствительной информации. Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, являются п.2.2 и 2.5 ст.6. Согласно первому из них, разрешена «обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных». Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи». Однако во всех остальных случаях, бизнес просто обязан спросить у гражданина разрешение на обработку его личных сведений.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае, если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.

В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Можно резюмировать, что бизнес должен получить согласие владельца приватных данных на обработку этой информации и обеспечить конфиденциальность персональных сведений. При этом согласно 9 ст., компания должна получить письменное согласие гражданина на обработку его личных записей, которое в случае возникновения конфликтных ситуаций должно быть предъявлено в суде. Отметим, что в согласии обязательно указываются цель обработки персональных данных, перечень самих данных и действий с ними и срок, в течение которого действует согласие (а также порядок его отзыва).

1.3. Требования к безопасности персональных данных

Особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, бизнесу необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

1.4. Ответственность за нарушения закона

При нарушении требований закона «О персональных данных» виновные лица (согласно ст.24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

1.5. Критические даты

Из представленной выше экспертизы ФЗ «О персональных данных» следует, что организациям предстоит принять целый ряд технических и организационных мер, чтобы удовлетворить новым нормативным требованиям. Далее в таблице (см. таб. 2.) приведен ряд критических дат, к наступлению которых бизнес и госсектор обязан привести в соответствие ФЗ свои бизнес-процессы и IT-системы.

Критические даты закона «О персональных данных»

Выводы

Собирая воедино все указанные выше требования ФЗ «О персональных данных», можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. Другими словами, российским компаниям теперь придется иметь дело с новым классом информации. Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый ФЗ практически требует создать еще один класс информации - персональные данные (клиентов, служащих и т.д.). Однако очевидно, что изменение принципов классификации влечет за собой модификацию политики IT-безопасности. Следовательно, бизнесу необходимо дополнить свой набор политик, как минимум, одной новой - политикой использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Вдобавок, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.

2.Краткий анализ Федерального закона “О персональных данных” в вопросах информационных технологий.

2.1 Требования к ИТ-безопасности

По требованиям нормативно-правовых документов работы по обеспечению безопасности персональных данных являются неотъемлемой частью работ при создании информационных систем для их обработки. Т.е. информационные системы, в которых обрабатываются персональные данные, должные в обязательном порядке содержать подсистему защиты этих данных

Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться... не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности... и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных ». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных » от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности «Внешторгбанка», отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Между тем, согласно ст.19 ч.2 ФЗ «О персональных данных », Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных ». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно было стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Отметим, что сам уполномоченный орган уже выбран. Это Федеральная служба по техническому и экспортному контролю. Однако каких-либо формализованных требований от ФСТЭК России в плане защиты персональных данных еще не было обнародовано.

Также отметим, что согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.

2.2. Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений, для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.

2.3.Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных ». В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ «О персональных данных». Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.

Однако это лишь одна сторона медали - с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.

Итак, необходимым условием обработки персональных данных является согласие на это субъекта персональных данных, за исключением особых случаев.

Федеральный закон обязывает операторов соблюдать требования по конфиденциальности персональных данных (за исключением общедоступных и обезличенных персональных данных), в том числе с помощью криптографических средств.

В целом, требования по обеспечению безопасности персональных данных устанавливаются Федеральным законодательством, Постановлениями Правительства РФ и иными подзаконными актами. Контроль выполнения требований по обеспечению безопасности персональных данных осуществляется Федеральной службой безопасности и Федеральной службой по техническому и экспертному контролю.

На этапе проектирования информационной системы или при её эксплуатации необходимо провести категорирование персональных данных. На основании категории персональных данных, а также характеристик информационной системы, связанных с угрозами безопасности персональных данных, информационной системе присваивается определённый класс, который определяет требования к защите обрабатываемых в ней данных.

Классификация информационных систем персональных данных проводится на основе нормативно-правовых документов ФСТЭК.

Мероприятия по защите персональных данных, в частности, должны включать в себя:

• Определение угроз безопасности персональных данных при их обработке, разработка модели угроз;
• Разработку на основе модели угроз системы защиты с применением методов, соответствующих классу информационной системы;
• Проверку готовности средств защиты к использованию с составлением заключений о возможности эксплуатации;
• Установку и ввод в эксплуатацию средств защиты, а также обучение сотрудников их использованию;

Важно отметить, что согласно требованиям нормативно-правовых документов средства защиты, используемые в информационных системах персональных данных (в том числе средства защиты от несанкционированного доступа, криптографические средства защиты, средства защиты от утечек по техническим каналам) должны в установленном порядке проходить оценку соответствия требованиям ФСБ и ФСТЭК.

И согласно требованиям обмен персональными данными при их обработке должен осуществляется по каналам связи, защита которых реализована с помощью организационных или технических мер.

В соответствии с законом №152-ФЗ существенно расширяется круг юридических лиц, автоматизированные системы которых должны содержать подсистемы защиты информации. В их число попадают медицинские учреждения, инвестиционные и трастовые компании, прочие структуры, привлекающие средства населения, а также все юридические лица, в составе автоматизированных систем которых в том или ином виде ведутся личные дела сотрудников.

Со дня вступления ФЗ «О персональных данных» в силу (30 января 2007 года) для операторов персональных данных описанные в законе требования по обработке и в том числе по защите персональных данных являются обязательными.

Следует отметить, что Федеральный закон касается не только вновь создаваемых систем обработки персональных данных. Информационные системы персональных данных, созданные до дня вступления закона в силу, должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 января 2010 года.

В Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” сказано: “Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”. Рассмотрим, каким образом в соответствии сдействующими законадательными и нормативными актами грамотно подойти к вопросу внедрения новых средств защиты данных.

Для этого необходимо в первую очередь определиться с требованиями к реализации системы защиты данных.

Для формирования основных базовых требований к реализации системы защиты данных необходимо определиться с ответами на следующие вопросы:

• Что должно служить сущностью “объект доступа”, другими словами, что должен представлять собою объект (в общем случае, набор объектов), при сохранении в который, данные должны шифроваться и/ либо гарантированно удаляться (естественно, что речь идет об автоматическом “прозрачном” для пользователя шифровании данных “на лету” при их сохранении в объект (и соответствующим образом расшифрования), реализуемого системным драйвером (аналогично и гарантированного удаления). Подходы к построению СЗД, предполагающие реализацию шифрования и/либо гарантированного удаления вручную пользователем, а уж тем более, вопросы реализации этих функций на прикладном уровне - из конкретных приложений, рассматривать не будем, наверное, даже не следует пояснять почему, если мы говорим об эффективных средствах защиты для корпоративных приложений, ориентированных на защиту персональных данных;
• Что должно служить сущностью “субъект доступа”, другими словами, следует ли при принятии решения о шифровании (расшифровании) и/либо гарантированного удаления данных при запросе доступа к объекту в принципе учитывать, и если да, то каким образом учитывать то, какой пользователь и каким процессом обращается к объекту. Другими словами, следует управлять тем, какие пользователи сохраняют данные в зашифрованном виде (соответственно их информация гарантированно удаляется), либо тем, в какие объекты данных сохраняются в шифрованном виде (соответственно, в каких объектах данные гарантированно удаляются);
• Что должно служить сущностью “право шифрования”. Дело в том, что при построении СЗИ от НСД возможны два подхода к реализации разграничительной политики доступа к ресурсам: посредством назначения атрибутов, присваиваемых объектам (здесь можно говорить об атрибутах “шифрование” и “гарантированное удаление”), либо посредством назначения прав доступа к объектам для пользователей. Этот вопрос тесно связан с предыдущим;
• Как обеспечить коллективный доступ пользователей к зашифрованным данным (это одна из ключевых задач для корпоративных приложений при защите персональных данных, состоящая в том, что данные должны располагаться на общем ресурсе (как правило, разделенные в сети файловые объекты), причем в зашифрованном виде, при этом к этим данным должно предоставляться право доступа нескольким пользователям, например, удаленно к файловому серверу с рабочих станций корпоративной сети). Соответственно следует говорить и о гарантированном удалении данных в коллективно используемых ресурсах. Важным здесь является вопрос, учитывать ли какие-либо идентификационные данные пользователя (если да, то каким образом) при генерации ключа шифрования.

Рассмотрим эти вопросы по порядку, при этом будем учитывать, во-первых, что обе процедуры, и шифрование, и гарантированное удаление весьма ресурсоемки и оказывают влияние на загрузку вычислительного ресурса (даже при их реализации на уровне системного драйвера, в случае же реализации их на уровне приложения загрузка вычислительного ресурса возрастает в разы), во-вторых, на одном вычислительном средстве в корпоративных приложениях, как правило, обрабатывается как открытая, так и конфиденциальная информация (причем, подчас, конфиденциальная информация также может категорироваться), т.е. далеко не все данные следует дополнительно защищать средствами шифрования и гарантированного удаления.

Различные по категории конфиденциальности данные должны храниться в различных файловых объектах (только в этом случае могут быть реализованы различные режимы их обработки), причем, как на жестком диске, так и на внешних накопителях, причем как на локальных, так и на разделенных в сети (при этом не обеспечить коллективный доступ к данным - без возможности разделения файловых объектов в сети) . Основным объектом реализации разграничительной политики доступа к ресурсам является “папка”. Что касается внешних накопителей (например, Flash-устройств), то подчас на них разрешается записывать информацию только в зашифрованном виде, т.е. в этом случае объектом шифрования должен служить диск (однако, может разрешаться в зависимости от типа информации на одном внешнем накопителе сохранять данные, как в открытом, так и в шифрованном виде, тогда объектом шифрования вновь становится “папка”, например, каталог на накопителе). Папка является и обязательным объектом шифрования при использовании разделяемого ресурса (например, жесткого диска на сервере) при реализации коллективного доступа к данным в корпоративной сети. В некоторых конкретных случаях может потребоваться шифрование и отдельного файла, в частности, вся база данных может располагаться в отдельном файле. Не смотря на частность данных случаев, их возможность - объектом шифрования является файл, также должна быть реализована в средстве защиты.

Требование к реализации. Объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети. При этом средством защиты должна предоставляться возможность задания любого набора объектов (например, несколько каталогов на выбор, включая разделенные в сети) в качестве объектов криптографической защиты и гарантированного удаления остаточной информации

Несмотря на кажущуюся очевидность данных требований, на практике широко распространены средства с весьма ограниченными возможностями задания объектов защиты, например, только локальный диск (так называемый, “файловый сейф”), либо только локальные файловые объекты могут назначаться для шифрования данных, или, например, совсем уж странное решение реализуется в некоторых средствах защиты в части гарантированного удаления остаточной информации - если активизируется этот режим, то гарантированно удаляются данные во всех файловых объектах (а как же совершенно не оправданное в этом случае дополнительное влияние на загрузку вычислительного ресурса?). Естественно, что подобные средства более просты в практической реализации, однако, следствием реализации подобных решений является их невысокая потребительская стоимость в корпоративных приложениях.

Перейдем к рассмотрению следующих двух очень важных взаимосвязанных вопросов. Следует ли учитывать каким-либо образом сущность “пользователь” при построении схемы защиты, следовательно, дополнительная защита должна являться привилегией пользователя (рассматриваться как его право), либо объекта (рассматриваться, как дополнительный атрибут файлового объекта). Заметим, что права доступа к объектам в корпоративных приложениях следует рассматривать, как принадлежность пользователя, а не как атрибут файлового объекта В данном же случае, все наоборот. Особенностью корпоративных приложений является то, что один и тот же пользователь должен обрабатывать на одном компьютере, как открытую, так и конфиденциальную информацию (если только открытую, то отсутствует потребность в дополнительной защите данных, а только конфиденциальную - на практике, как правило, не бывает). Следовательно, если дополнительную защиту данных рассматривать, как привилегию пользователя (т.е. для учетной записи устанавливать соответствующий режим сохранения и удаления (модификации) данных), то в корпоративных приложениях это будет означать, что все данные (как открытые, так и конфиденциальные) пользователя следует шифровать и гарантированно удалять. Это бессмысленно! Следовательно, шифрование и гарантированное удаление необходимо рассмаривать не как привилегию пользователя (учетной записи), а как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, присваиваемыми объектам - при сохранении данных в этот объект они автоматически шифруются, при удалении (модификации) объекта данные гарантированно удаляются.

Требование к реализации. Возможность дополнительной защиты данных методами шифрования и гарантированного удаления необходимо рассмаривать как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, устанавливаемыми для дополнительно защищаемого объекта.

Теперь о коллективном доступе к ресурсам. Это очень важная функциональная возможность. Без ее практической реализации невозможно обеспечить не только общие для пользователей файловые хранилища, но и принципиально организовать обмен защищаемыми данными через файловую систему, причем не только в сети, но и локально, на одном компьютере. Коллективный доступ к ресурсам априори возможен лишь в том случае, когда такая сущность, как “ключ шифрования” едина (ключ одинаковый) для пользователей, имеющих право доступа к коллективно используемому ресурсу.

С учетом сказанного можем сделать два очень важных вывода, во-первых, средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, во-вторых, ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей, т.к. в противном случае, эти данные должны совпадать для учетных записей, под которыми разрешен доступ к коллективно используемым объектам (что недопустимо). Заметим, что несмотря на данное, казалось бы, очевидное требование, подобные решения, реализованные на практике, существуют.

Требование к реализации. Средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, при этом ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей.

В порядке замечания отметим, что с целью снижения ресурсоемкости средства защиты, с учетом того, что на одном компьютере может обрабатываться конфиденциальная информация различных категорий, как следствие, требующая различной дополнительной защищенности, целесообразно предусмотреть возможность шифровать данные различных категорий (различные объекты) с использованием различных алгоритмов шифрования (в частности, с использованием различных длин ключа шифрования), соответственно, гарантированно удалять данные различных категорий с использованием различных правил (в частности, с возможностью задания для различных объектов различного числа проходов очистки - записи маскирующей информации, и различных способов задания маскирующей информации - маскирующая информация - это те данные, которые записываются поверх исходных данных при уничтожении, либо при модификации объекта, другими словами, эти те данные, которые остаются на носителе в качестве остаточной информации).

Теперь остановимся еще на одном важном вопросе реализации коллективного доступа, в данном случае, удаленного доступа к разделенным в сети дополнительно защищаемым объектам. Упрощенно, имеем следующую структуру системы. На рабочих станциях пользователями осуществляется обработка данных, которые сохраняются в разделенный между пользователями объект, располагаемый на отдельном компьютере (файловом сервере). Возникает вопрос, где осуществлять процедуру шифрования данных - на рабочих станциях, перед их сохранением на сервере, либо собственно на сервере? Наверное, ответ на этот вопрос очевиден - на рабочих станциях. Это объясняется тем, что при таком решении данные передаются по каналу связи в зашифрованном виде (в противном случае, в открытом).

Требование к реализации. При реализации коллективного доступа к разделенным в сети дополнительно защищаемым объектам шифрование данных должно осуществляться на рабочих станциях, на которых пользователями осуществляется обработка данных.

В порядке замечания отметим, что такое решение возможно лишь в том случае, если средством защиты выполняется требование к реализации, состоящее в том, что объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети (см. выше).

Заключение

Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке. Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны ­сообщаться в уполномоченный орган.

Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:

• при наличии трудовых отношений;
• при заключении договора, стороной которого является субъект персональных данных;
• если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов;
• при оформлении пропусков;
• если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и ­общественного порядка;
• если персональные данные обрабатываются без использования средств автоматизации.

В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления ­первых заявлений и жалоб. Начать можно со следующих очевидных мер:

Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.

Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:

• определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по ­собст­венной инициативе и т.д.);
• уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
• установить сроки хранения и сроки обработки данных в ­каждом информационном ресурсе;
• определить способы обработки;
• определить лиц, имеющих доступ к данным;
• сформулировать юридические последствия;
• определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.

В современном мире технологии, связанные с хранение и обработкой персональных данных, стали незаменимой частью жизни общества. Они используются в банковской сфере, медицине, детсадах, школах, ВУЗах и на различных предприятиях. Помимо всего прочего за последние пять лет социальные сети получили огромное влияние и хранят в себе неисчислимое количество личной информации. Следовательно, все чаще встаёт вопрос о сохранности персональных данных, ведь все эти факторы плодотворно влияют на развитие киберприступности, а информация имеет еще больший вес.

На различных предприятиях, где весьма важно сохранить различные секретные данные, применяются многие методы борьбы с этим. В своем проекте я хочу ознакомиться с ними и узнать, можно ли применять какие-либо из них в школах для повышения безопасности учеников и учителей.

Результаты экспертной оценки

Экспертная карта межрайонного этапа 2017/2018 (Экспертов: 5)

Сумма баллов: 7,8

Информатизация современного общества, создание и широкое использование различными государственными и частными структурами компьютеризированных баз данных о гражданах, активное участие России в международном информационном обмене придают особую актуальность задаче обеспечения правовой защиты информации о частной жизни граждан. Информация, являясь чрезвычайно емким понятием, охватывающим все стороны человеческого бытия, самым тесным образом связана с современными представлениями о безопасности. В особой мере это касается персональных данных - наиболее распространенного вида сведений, циркулирующих в обществе. Многие аспекты безопасности персональных данных, а вместе с ними - личности, общества и государства все в большей мере определяются эффективностью защиты информации, информационных технологий и средств телекоммуникации, а также степенью готовности страны к отражению внутренних и внешних угроз, связанных с неправомерным вторжением в информационную среду.

Одна из главных проблем защиты личной информации состоит в латентном характере посягательств на частную жизнь граждан: субъект данных может и не догадываться о незаконном сборе, обработке, хранении, уничтожении и передаче его персональных данных, а также о внесении в эти данные преднамеренных искажений. Применяемые правоохранительными органами меры не всегда адекватны степени возникающих угроз в этой сфере, что обуславливает необходимость применения дополнительных мер по обеспечению информационной безопасности страны, защиты частной жизни граждан от преступных посягательств. Деятельность, связанная с защитой личных секретов человека, его персональных данных требует комплексного подхода, сочетающего в себе применение эффективных правовых, организационных и технических мер.

Изучение учебной и научной юридической литературы по рассматриваемой тематике позволяет констатировать, что проблема защиты персональных данных все еще является малоизученной, поэтому нуждается в отдельной проработке. Большинство научных работ, посвященных информационной безопасности и защите информации, лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования этой сферы, затрагивали только лишь общие проблемы без необходимой их конкретизации и предложений по их решению.

Настоящая монография посвящена разработке новых и совершенствованию существующих теоретических положений, методологических принципов формирования механизмов противодействия возникающим угрозам в сфере защиты персональных данных. В работе обоснованно отмечается, что современные требования к обеспечению их защиты обуславливают необходимость кардинального переосмысления существующих взглядов и выработки новых концептуальных подходов к этой проблеме.

В целях повышения эффективности борьбы с информационными правонарушениями авторами определены основные угрозы в сфере оборота персональных данных, разработаны предложения по совершенствованию мер их организационно-правовой и технической защиты, исследованы правовые институты защиты частной жизни граждан и персональных данных, основные положения Федерального закона «О персональных данных», особенности регулирования защиты персональных данных в различных сферах деятельности, основные этапы создания системы защиты персональных данных на предприятии, организация защиты персональных данных в информационных системах, а также опыт защиты персональных данных в развитых зарубежных странах.

Работа достаточно полно отражает системный характер рассматриваемого феномена - защиты персональных данных от самых разнообразных угроз. Результаты проведенного научного исследования создают методологическую основу для организации противодействия криминальным структурам в рассматриваемой области правоотношений усилиями как самих хозяйствующих субъектов, так и правоохранительных органов.

Объектом исследования являются защита частной жизни и персональных данных как социальное явление, а также связанные с нею общественные отношения, явления и процессы.

Предмет исследования - закономерности борьбы с посягательствами на частную жизнь граждан, особенности защиты персональных данных в России и за рубежом, современное состояние и перспективы совершенствования правовых основ защиты информационных систем персональных данных.

Цель исследования - всестороннее исследование проблем защиты персональных данных в России и в зарубежных странах, поиск путей решения проблем, связанных с обеспечением безопасности информационных ресурсов, содержащих персональные данные. Достижение поставленной цели возможно, по мнению авторов, при условии комплексного, системного подхода к решению взаимосвязанных задач, поставленных и разработанных в монографии.

Содержание монографии способствует решению актуальных проблем, связанных с подготовкой специалистов в области обеспечения информационной безопасности. Привить глубокие знания, навыки и умения в области решения указанных первостепенных задач можно лишь на основе глубокого изучения законодательства, подзаконных, ведомственных и межведомственных нормативных правовых актов; отечественного и зарубежного опыта в области обеспечения безопасности персональных данных; результатов научных исследований по данной проблематике; достижений юридических знаний, а также естественных и точных наук.

Настоящая работа является попыткой систематизировать имеющийся законодательный, научный и практический материал по правовой охране персональных данных, выявить спорные моменты и дать рекомендации по их устранению. Ее главной особенностью является комплексный и междисциплинарный характер подачи материалов. Сделанные в монографии выводы опираются на прочный теоретический фундамент и передовые юридические знания, в том числе - связанные с использованием последних достижений науки и техники. Текст монографии насыщен наглядными примерами, иллюстрирующими рассматриваемую тематику, которые адаптируют теоретические изыскания авторов применительно к практической сфере деятельности.

Комплексность и обширная научно-эмпирическая база работы обеспечивают репрезентативность и достоверность сформулированных в ней выводов, представляющих интерес для развития теоретических представлений о борьбе с информационными угрозами и дальнейшего совершенствования методов защиты персональных данных.

Монография предназначена для специалистов в области борьбы с информационными преступлениями, специалистов по защите персональных данных на предприятиях и в организациях, а также для преподавателей и практических работников в сфере обеспечения информационной безопасности, студентов и аспирантов вузов.

Библиографическая ссылка

Дипломная работа На тему: «Защита персональных данных в информационной системе организации МКУ «Молодежный центр» МО Кореновский район

Тема данной работы чрезвычайно актуальна в наше время, а все потому, что в нашем XXI веке появляется все больше инноваций и способностей владения компьютером. Возможностей взлома систем появляется все больше и чаще. Как известно, создание информационных систем (ИС) повышает производительность труда любой организации (предприятия), с любой формой собственности. Пользователи данной системы могут быстро получать данные, необходимые для выполнения их служебных обязанностей.

Но несмотря на многие плюсы от производства компьютеров, существует и множество минусов. Самой распространенной проблемой на сегодняшний день является то, что злоумышленники с легкостью могут получить доступ к вашим персональным данным. Обладая доступом к различным базам данных (БД), злоумышленники могут использовать их для вымогания денег, других ценных сведений, материальных ценностей и прочего.

Защита персональных данных является актуальной темой в нашей стране, поскольку законодательная база существует не так уж и много. Но не все специалисты, которые работают на предприятии, знают, как защитить систему своего компьютера, поэтому на специалистов по информационной безопасности ложиться не только ответственность за безопасность информационной системы, но и система обучения персонала. Целью работы, в настоящее время, является защита персональных данных, которая стоит на первом месте. Чаще всего злоумышленников интересуют сведения, хранящиеся в БД государственных структур, таких как МВД, ФСБ и прочих, а также подконтрольных им организациям, таким как учреждения здравоохранения, образования. Всё чаще в СМИ появляются статьи, на тему популярных SMSмошенничеств. А ведь получив доступ к БД какой-нибудь медицинской организации, злоумышленник может шантажировать больного, либо его родственников, либо испортить ему репутацию.

Поэтому, задачей данной дипломной работы, является разработка комплексной системы безопасности персональных данных в Отделе по делам молодежи города Кореновска, задачей которой является не только разработать, но и внедрить систему защиты персональных данных, а так же подробно составить пути решения для защиты информационных систем персональных данных и рассчитать затраченные средства на установку и защиту персональных данных от злоумышленников.

Предметом исследования моей работы стала защита персональных данных в МКУ «Молодёжный центр» Методом исследования стало Разработка и внедрение мер по защите персональных данных в МКУ «Молодежный центр»

Учреждение МКУ «Молодёжный центр» занимается разработкой, организацией молодежных проектов, создает условия и формы поддержки молодёжных идей и инициатив, а так же помощь ветеранам Великой Отечественной Войны и малоимущим. Сотрудничает с образовательными учреждениями Кореновского района и т. д.

В ходе изучения данной организации было установлено, что незащищенность персональных данных в данной организации проблема довольна большая, а так же на всех персональных компьютерах не установлены антивирусные программы, криптографические методы защиты информации, базы данных находятся в свободном доступе для всех сотрудников комитета без уровней доступа.

Было решено установить программу создания VPN, которая представляет собой объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных

В ходе работы была произведена покупка межсетевого экрана cisco asa, антивирусника web+Kaspersky, программы devicelock которая предназначена для защиты и устранения утечки информации, xspider-программа позволяет сканировать и искать уязвимости.

Так как задачей работы являлось не только создать, но и внедрить защищенную систему персональных данных, то в ходе работы была разработана защищенная локальная сеть организации МКУ «Молодежный центр» МО Кореновский район, по которой в защищенных каналах циркулирует информация относящаяся к персональным данным, так же предложены программные и аппаратные средства защиты. В частности была предложена базовая политика безопасности для защиты от несанкционированного доступа к критически важным ресурсам. В ходе внедрения, вся информация остается защищенной и доступ к ней имеет только каждый специалист Молодежного центра, под личным паролем и контролем, а так же начальник отдела, так как он имеет доступ просматривать данные со своего компьютера, при этом не пользуясь компьютером специалистов, что стало намного безопаснее и удобнее.