«Защита персональных данных» (стр. 1 из 5)

Персональные компьютеры, системы управления и сети на их основе быстро входят во все области человеческой деятельности. Среди них можно выделить такие сферы применения, как военная. Коммерческая, банковская, посредническая, научные исследования по высоким технологиям и др. очевидно, широко используя компьютеры и сети для обработки и передачи информации, эти отрасли должны быть надежно защищены от возможности доступа к ней посторонних лиц. Ее утраты или искажения. Согласно статистическим данным, более 80% компаний несут финансовые убытки из-за нарушения целостности и конфиденциальности используемых данных.

Кроме информации, составляющей государственную или коммерческую тайну, существует информация, представляющая собой интеллектуальную собственность. К ней можно отнести результаты научных исследований, программы, обеспечивающие функционирование компьютера, игровые программы, оригинальные аудио- и видеоклипы, которые защищаются законами, принятыми в большинстве стран мирового сообщества. Стоимость такой информации в мире составляет несколько триллионов долларов в год. Ее несанкционированное копирование снижает доходы компаний и авторов, занятых ее разработкой.

В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно – работодателю. Работник в данной ситуации передает конфиденциальную информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.

Усложнение методов и средств организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ к ресурсам, программам и данным, недостаточный уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п.[1]

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

Поэтому цель данной работы: наиболее детально рассмотреть вопросы информационной безопасности, изучить способы и средства нарушения конфиденциальности информации, а также методы ее защиты.

Глава 1 Общие понятия информационной безопасности

1.1. Анализ угроз информационной безопасности

Эффективность любой информационной системы в значительной мере определяется состоянием защищенности (безопасностью) перерабатываемой в ней информации.

Безопасность информации – состояние защищенности информации при ее получении, обработке, хранении, передаче и использовании от различного вида угроз.[2]

Для успешного противодействия угрозам и атакам информационных систем, а также выбора способов и средств защиты, политики безопасности и анализа рисков от возможного несанкционированного доступа необходимо классифицировать существующие угрозы информационной безопасности. Каждый признак классификации должен отражать одно из обобщенных требований к системе защиты, а сами угрозы позволяют детализировать эти требования. Современные компьютерные системы и сети являются сложными системами, подверженными, кроме того, влиянию чрезвычайно большого числа факторов и поэтому формализовать задачу описания полного множества угроз не представляется возможным. Как следствие, для защищенной компьютерной системы определяется не полный перечень угроз, а перечень классов угроз, которым должен противостоять комплекс средств защиты.

Классификация угроз может быть проведена по ряду базовых признаков:

1. По природе возникновения: объективные природные явления, не зависящие от человека; субъективные действия, вызванные деятельностью человека.

2. По степени преднамеренности: ошибки конечного пользователя или персонала; преднамеренного действия, для получения несанкционированного доступа к информации.

3. По степени зависимости от активности Информационных систем: проявляющиеся независимо от активности информационных систем (вскрытие шифров, хищение носителей информации); проявляющиеся в процессе обработки данных (внедрение вирусов, сбор «мусора» в памяти, сохранение и анализ работы клавиатуры и устройств отображения).

4. По степени воздействия на информационные системы: пассивные угрозы (сбор данных путем выведывания или подсматривания за работой пользователей); активные угрозы ; внедрение программных или аппаратных закладок и вирусов для модификации информации или дезорганизации работы информационной системы).

5. По способу доступа к ресурсам информационных систем: получение паролей и прав доступа, используя халатность владельцев и персонала, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования и др.; обход средств защиты, путем загрузки посторонней операционной защиты со сменного носителя; использование недокументированных возможностей операционной системы.

6. По текущему месту расположения информации в информационной системе: внешние запоминающие устройства; оперативная память; сети связи; монитор или другое отображающее устройство (возможность скрытой съемки работы принтеров, графопостроителей, световых панелей и т.д.).[3]

Необходимо отметить, что абсолютно надежных систем защиты не существует. Кроме того, любая система защиты увеличивает время доступа к информации, поэтому построение защищенных информационных систем не ставит целью надежно защититься от всех классов угроз. Уровень системы защиты – это компромисс между понесенными убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения, удорожания информационной системы и увеличения времени доступа к ресурсам от введения систем защиты, с другой стороны.

1.2. Юридические основы информационной безопасности

Широкое распространение компьютерных систем и сетей, внедрение их в государственных учреждениях и важность задачи сохранения конфиденциальности государственной и частной информации заставили многие страны принять соответствующие законы, регламентирующие защиту компьютерных систем и сетей.

Наиболее общим законом Российской Федерации является Конституция. Главы 23, 29, 41 и 42 в той или иной мере затрагивают вопросы информационной безопасности. Статья 23 Конституции, например, гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений; статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Главы 41 и 42 гарантируют право на знание фактов и обстоятельств, создающих угрозу жизни и здоровью людей, право на знание достоверной информации о состоянии окружающей среды.

Действующий Уголовный кодекс Российской Федерации предусматривает наказания за преступления, связанные с нарушением конфиденциальности информации. Глава 28 «Преступления в сфере компьютерной информации» содержит статьи 272-274, посвященные преступлениям, связанным, соответственно, с неправомерным доступом к компьютерной информации, созданием, использованием и распространением вредоносных программ, нарушением правил эксплуатации ЭВМ, систем и сетей на их основе.[4]

8 июля 2006 года государственной Думой Российской Федерации принят Федеральный Закон № 152-ФЗ О персональных данных. Данным законом регулируются отношения, которые связанны с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.