Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"
Шрифт:
Статья 19.
Меры по обеспечению безопасности персональных данных при их обработке
Комментарий к статье 19
1. Обеспечение безопасности персональных данных при их обработке — один из ключевых моментов, обусловивший принятие рассматриваемого нормативного правового акта. В целях предотвращения и нейтрализации угроз безопасности конституционным правам и свободам граждан в области духовной жизни и информационной деятельности, связанным с возможностью неправомерного или случайного доступа к их персональным данным, законодатель допускает использование оператором
Организационные меры защиты подразумевают под собой регламентацию производственной деятельности оператора, направленную на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации. Организационные меры защиты персональных данных предусматривают совершенствование системы обеспечения информационной безопасности, сертификацию систем защиты конфиденциальной информации по требованиям информационной безопасности, контроль за действием персонала в защищенных информационных системах, определение порядка финансирования деятельности системы обеспечения информационной безопасности. Организационные меры защиты персональных данных обеспечивают организацию охраны и режима на объекте защиты, работы с кадрами и документами, содержащими конфиденциальные сведения, использование технических средств защиты, осуществление информационно-аналитической деятельности по выявлению угроз защищаемой информации.
Организационные меры по защите конфиденциальной информации направлены на организацию выполнения правил, процедур и требований защиты персональных данных на основе правил, установленных настоящим Законом, иными федеральными законами, подзаконными актами. Они играют существенную роль в создании надежного механизма защиты информации, так как угрозы несанкционированного доступа к ней в значительной мере обусловлены не техническими действиями. Значительно чаще утечка, хищение и уничтожение информации обусловлены злоумышленными действиями, небрежностью или халатностью пользователей или персонала защиты информации.
Организационные меры защиты персональных данных в основном направлены на предотвращение утечки защищаемой информации в печати и возникновении других условий, создающих объективные предпосылки появления каналов утечки информации. Основное их назначение — предотвратить несанкционированный доступ к защищаемой информации, ее разглашение или раскрытие. В каждом конкретном случае организационные мероприятия имеют специфическую для данной организации форму и содержание, обусловленные особенностями защищаемых сведений, существующих угроз информации, имеющихся средств защиты и др.
Технические меры защиты персональных данных — это использование различных технических, программных и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения. Технические меры защиты включают в себя различные методы, применение которых может осуществляться как индивидуально, так и в совокупности.
Программно-технические методы основываются на мерах по предотвращению несанкционированного доступа к обрабатываемым персональным данным и специальных воздействий, вызывающих их разрушение, уничтожение, искажение или сбои в работе информационных систем, выявление "вредных" технических устройств и программ, исключение перехвата конфиденциальной информации техническими средствами, применение средств защиты информации, в том числе криптографических, при передаче по каналам связи.
Инженерно-технические методы представляют собой совокупность специальных органов, технических средств и мероприятий, используемых в интересах защиты информации.
По функциональному назначению средства технической защиты подразделяются на физические, аппаратные, программные и криптографические средства.
Физические средства — различные инженерные сооружения, препятствующие проникновению злоумышленников на объекты защиты. Эти средства применяются для решения следующих задач:
охрана территории учреждения и наблюдение за ней;
охрана зданий, внутренних помещений и контроль за ними;
осуществление контролируемого доступа в здания и помещения, в которых осуществляется обработка персональных данных.
Все физические средства защиты можно разделить на три категории: средства предупреждения, обнаружения и ликвидации угроз.
Аппаратные средства — приборы, устройства, приспособления и различные технические решения, используемые для обеспечения надежной защиты персональных данных от утечки, копирования и уничтожения. По функциональному назначению аппаратные средства подразделяются на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия угрозам защищаемой информации. Аппаратные средства не обладают достаточной гибкостью, поэтому часто теряют свои защитные свойства при раскрытии принципов их действия и в дальнейшем не могут быть использованы.
Программные средства — специальные программы, программные комплексы и системы защиты персональных данных в информационных системах различного назначения, в автоматизированных средствах сбора, накопления, хранения, обработки и передачи данных, предназначенные для решения следующих задач:
идентификации технических средств, файлов и аутентификации пользователей;
регистрации и контроля работы технических средств и пользователей;
обслуживания режимов обработки защищаемой информации;
защиты операционных средств ЭВМ и прикладных программ пользователей;
уничтожения информации в запоминающем устройстве после ее использования;
выявления нарушений использования ресурсов ЭВМ или компьютерной сети.
Программные средства используются в основном для защиты персональных данных в средствах вычислительной техники с целью разграничения доступа пользователей информационных сетей к соответствующим категориям защищаемой информации, защиты от хакерских атак и вредоносных программ (вирусов) и т.д. Они весьма надежны, и период их гарантированного использования без перепрограммирования достаточно продолжителен.
Криптографические средства — специальные математические и алгоритмические средства защиты персональных данных, передаваемых по системам и сетям связи, хранимых и обрабатываемых в ЭВМ, с использованием различных методов шифрования.
Для защиты конфиденциальной информации разработано множество устройств шифрования и криптозащиты телефонных и радиопереговоров, передачи текстовых файлов. Широкое распространение получили скремблеры и маскираторы, заменяющие речевой сигнал цифровой передачей данных. Производятся средства защиты телетайпов, телексов и факсов. Они занимают важное место в системе инженерно-технических средств защиты информации и выступают надежным средством обеспечения защиты информации на длительный период.