Защита персональных данных

Министерство образования  и науки Российской Федерации

Государственного образовательного учреждения

Высшего профессионального  образования

Тюменский государственный  университет

Институт математики и  компьютерных наук

Кафедра информационной безопасности

 

 

 

 

 

 

 

 

Курсовая работа

по специальности

 

на тему

«Защита персональных данных»

 

 

 

 

 

 

 

 

Выполнил:

Студент  группы №358

Петров Е.О.

Руководитель:

Бажин К.А.

 

 

 

 

 

 

 

 

 

 

 

 

 

Тюмень 2009 г.

Содержание

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Персональные компьютеры, системы  управления и сети на их основе быстро входят во все области человеческой деятельности. Среди них можно выделить такие сферы применения, как военная. Коммерческая, банковская, посредническая, научные исследования по высоким технологиям и др. очевидно, широко используя компьютеры и сети для обработки и передачи информации, эти отрасли должны быть надежно защищены от возможности доступа к ней посторонних лиц. Ее утраты или искажения. Согласно статистистике - более 60% компаний несут финансовые убытки из-за нарушения целостности и конфиденциальности используемых данных.

Кроме информации, составляющей государственную  или коммерческую тайну, существует информация, представляющая собой интеллектуальную собственность. К ней можно отнести результаты научных исследований, программы, обеспечивающие функционирование компьютера, игровые программы, оригинальные аудио- и видеоклипы, которые защищаются законами, принятыми в большинстве стран мирового сообщества. Стоимость такой информации в мире составляет несколько триллионов долларов в год. Ее несанкционированное копирование снижает доходы компаний и авторов, занятых ее разработкой.

В повседневной жизни человека сохранность  информации о его жизни зависит  от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно – работодателю. Работник в данной ситуации передает конфиденциальную  информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.

Усложнение методов и средств  организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ к ресурсам, программам и данным, недостаточный уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п.¹

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

Поэтому цель данной работы: наиболее детально рассмотреть вопросы информационной безопасности, изучить способы и средства нарушения конфиденциальности информации, а также методы ее защиты.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 1 Общие  понятия информационной безопасности

1.1. Анализ угроз информационной безопасности

 

 

Эффективность любой информационной системы в значительной мере определяется состоянием защищенности (безопасностью) перерабатываемой в ней информации.

Безопасность информации – состояние  защищенности информации при ее получении, обработке, хранении, передаче и использовании от различного вида угроз.²

Для успешного противодействия угрозам и атакам информационных систем, а также выбора способов и средств защиты, политики безопасности и анализа рисков от возможного несанкционированного доступа необходимо классифицировать существующие угрозы информационной безопасности. Каждый признак классификации должен отражать одно из обобщенных требований к системе защиты, а сами угрозы позволяют детализировать эти требования. Современные компьютерные системы и сети являются сложными системами, подверженными, кроме того, влиянию чрезвычайно большого числа факторов и поэтому формализовать задачу описания полного множества угроз не представляется возможным. Как следствие, для защищенной компьютерной системы определяется не полный перечень угроз, а перечень классов угроз, которым должен противостоять комплекс средств защиты.

Классификация угроз может быть проведена по ряду базовых признаков:

 

1. Угрозы утечки информации по техническим каналам
1.  
   Угрозы утечки акустической (речевой) информации
2.  
   Угрозы утечки видовой информации
1.  
   Угрозы утечки информации по каналам побочных электромагнитных излучений

 
5. Угрозы несанкционированного доступа  к информации в информационной  системе персональных данных

1. По природе возникновения: объективные природные явления, не зависящие от человека; субъективные действия, вызванные деятельностью человека.
2. По степени преднамеренности: ошибки конечного пользователя или персонала; преднамеренного действия, для получения несанкционированного доступа к информации.
3. По степени зависимости от активности  Информационных систем: проявляющиеся независимо от активности информационных систем (вскрытие шифров, хищение носителей информации); проявляющиеся в процессе обработки данных (внедрение вирусов, сбор «мусора» в памяти, сохранение и анализ работы клавиатуры и устройств отображения).
4. По степени воздействия на информационные системы: пассивные угрозы (сбор данных путем выведывания или подсматривания за работой пользователей); активные угрозы ; внедрение программных или аппаратных закладок и вирусов для модификации информации или дезорганизации работы информационной  системы).
5. По способу доступа к ресурсам информационных систем: получение паролей и прав доступа, используя халатность владельцев и персонала, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования и др.; обход средств защиты, путем загрузки посторонней операционной защиты со сменного носителя; использование недокументированных возможностей операционной системы.
6. По текущему месту расположения информации в информационной системе: внешние запоминающие устройства; оперативная память; сети связи; монитор или другое отображающее устройство (возможность скрытой съемки работы принтеров, графопостроителей, световых панелей и т.д.).³

Необходимо отметить, что абсолютно  надежных систем защиты не существует. Кроме того, любая система защиты увеличивает время доступа к  информации, поэтому построение защищенных информационных систем не ставит целью  надежно защититься от всех классов угроз. Уровень системы защиты – это компромисс между понесенными убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения, удорожания информационной системы и увеличения времени доступа к ресурсам от введения систем защиты, с другой стороны.

1.2. Юридические основы информационной безопасности

 

Широкое распространение компьютерных систем и сетей, внедрение их в  государственных учреждениях и  важность задачи сохранения конфиденциальности государственной и частной информации заставили многие страны принять соответствующие законы, регламентирующие защиту компьютерных систем и сетей.

Наиболее общим законом Российской Федерации является Конституция. Главы 23, 29, 41 и 42 в той или иной мере затрагивают  вопросы информационной безопасности. Статья 23 Конституции, например, гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений; статья 29 -  право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Главы 41 и 42 гарантируют право на знание фактов и обстоятельств, создающих угрозу жизни и здоровью людей, право на знание достоверной информации о состоянии окружающей среды.

Действующий Уголовный кодекс Российской Федерации предусматривает наказания за преступления, связанные с нарушением конфиденциальности информации. Глава 28 «Преступления в сфере компьютерной информации» содержит статьи 272-274, посвященные преступлениям, связанным, соответственно, с неправомерным доступом к компьютерной информации, созданием, использованием и распространением вредоносных программ, нарушением правил эксплуатации ЭВМ, систем и сетей на их основе.⁴

8 июля 2006 года государственной  Думой Российской Федерации  принят Федеральный Закон № 152-ФЗ О персональных данных. Данным законом регулируются отношения, которые связанны с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Цель закона - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В Законе в статьях 5 и 6 прописаны  принципы и условия обработки персональных данных. Данным законом и другими законами предусмотрены случаи обязательного предоставления субъектом своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. В Главе 3 данного Закона представлены Права субъекта персональных данных.

Интересы государства в плане  обеспечения конфиденциальности информации наиболее полно представлены в Законе «О государственной тайне». В нем государственная тайна определена как защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Здесь же дается описание средств  защиты информации, к которым, согласно данному Закону, относятся технические, криптографические, программные и  другие средства, предназначенные для  защиты сведений, составляющих государственную тайну.⁵

За последние годы, прошедшие с момента принятия Федерального закона №152 «О персональных данных», было выпущено и опубликовано множество подзаконных актов – Постановлений Правительства РФ, приказов государственных регуляторов, нормативно-методических документов ФСТЭК, ФСБ и Россвязькомнадзора. Уточнялись требования, функции и наименования регулирующих и контролирующих органов, образцы документов. Изменения и дополнения продолжаются и до сих пор. Автором представлены практически все документы, которые, по его мнению, в той или иной степени касаются обработки персональных данных и обеспечения их безопасности.

• Российское Законодательство по  защите персональных данных представлено огромным количеством Законов и Постановлений. Например:
• Федеральный закон Российской Федерации 30 декабря 2001 г. № 197-ФЗ;
• Федеральный закон от 19 декабря 2005 г. N 160-ФЗ;
• Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ - О персональных данных;
• Федеральный закон Российской Федерации от 3 декабря 2008 г. N 242-ФЗ - О государственной геномной регистрации в Российской Федерации;
• Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 - Положение об обеспечении безопасности персональных данных при их обработке в информационных системах.
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 - Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
• Постановление от 6 июля 2008 г. № 512 - Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных;
• Постановление Правительства Российской Федерации 2 июня 2008 г. № 419 - О Федеральной службе по надзору в сфере связи и массовых коммуникаций;
• Указ Президента Российской Федерации от 30 мая 2005 г. N 609 - Об утверждении Положения о персональных данных государственного служащего Российской Федерации и ведении его личного дела;
• Приказ от 13 февраля 2008 года N 55/86/20 - Об утверждении порядка проведения классификации информационных систем персональных данных;
• Приказ Россвязькомнадзора №08 от 17.07.2008 - Об утверждении образца формы уведомления об обработке персональных данных;
• Методические материалы ФСТЭК - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• Методические материалы ФСТЭК - Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• Методические материалы ФСТЭК - Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• Методические материалы ФСТЭК - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• Методические материалы ФСБ – Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. От 21 февраля 2008 года;
• Методические материалы ФСБ -  Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. От 21 февраля 2008 года.⁶