Федеральный закон о персональных данных 152 ФЗ

Целью закона являются обеспечение защиты прав и работ человека и гражданина при обработки его персональных данных, в том числе защиты прав и свободы частной жизни, личной и семейную тайну.

Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемых государственными органами (федеральные органы гос.власти и другие гос.органы), муниципальными органами (органы местного самоуправления и т.д.), юридическими лицами, физическими лицами, как с использованием средств автоматизации, так и без их использования.

Действие закона не распространяется на:

1. Обработку персональных данных физическими лицами для личных или семейных нужд, если не нарушаются права субъекта персональных данных

2. При использовании в соответствии с законодательством об архивном деле

3. Обработки по включению в единый государственный реестр индивидуальных предпринимателей

4. Обработка персональных данных, связанных с государственной тайной

Определение:

1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу субъекта персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейной, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2. Оператор –участник, осуществляющий или организующий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных

3. Обработка персональных данных – действие с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, уничтожение персональных данных.

Целостность, актуальность персональных данных не рассматриваются в ФЗ.

Принципы обработки персональных данных:

1. Законности целей и способов обработки персональных данных и добросовестности

2. Соответствие целям обработки данным целям заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора

3. Соответствие объема и характера обрабатываемых данных, способы обработки персональных данных целям обработки

4. Достоверности персональных данных, из достаточности, недопустимости обработки данных избыточных по отношению к целям

5. Недопустимость объединения созданных для несовместимых между собой целей, БД, ИС, персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требует цели обработки и они подлежат уничтожению по достижению цели обработки или в случае утраты необходимости в их достижении.

Закон декларирует право субъекта персональных данных на доступ к своим персональным данным:

1. Получение сведений об операторе

2. О наличии у него своих персональных данных

3. В праве требовать уточнения, блокирования, уничтожения

4. Защита своих прав

Субъект имеет право:

1. Подтверждение факта обработки персональных данных и цель обработки

2. Получение информации о лицах, имеющих доступ

3. Перечень обрабатываемых персональных данных и источник их получения

4. Сроки обработки персональных данных

5. Сведения о юридических последствиях обработки персональных данных

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решения порождающих юридические последствия. Решения порождающие последствия в таких системах может быть принято исключительно на основании письменного согласия субъекта персональных данных. Оператор обязан разъяснить субъекту порядок, связанный с принятием такого решения.

Субъект персональных данных имеет право обжаловать действия или бездействие оператора.

Законом предусмотрены меры по обеспечению безопасности персональных данных:

1. Оператор обязан защищать данные от неправомерного или случайного доступа, уничтожение, изменение, блокирования, копирование, распространение и другое

2. Государством установлены требования по обеспечению безопасности обработки ПД в ИС. Требование к материальным носителям и технологиям хранения вне информационных систем

3. Государство назначает орган для контроля и надзора

4. Использование и хранение биометрических персональных данных вне ИС только на носителях информации, обеспечивающих защиту данных.

Классификация атак (!!! ВАЖНЫЕ 3 ПРИНЦИПА ПО ЦЕЛИ ВОЗДЕЙСТВИЯ ЗНАТЬ!!)

1. По характеру воздействия

a. Пассивные – Воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Пассивное воздействие практически невозможно обнаружить

b. Активные

По цели воздействия

a. Нарушение конфиденциальности

b. Нарушение целостности информации

c. Нарушение доступность системы

3. По условию начала осуществления воздействия

a. По запросу от атакуемого объекта

b. Атака по наступлению ожидаемого события на атакуемом объекте

c. Безусловная атака

4. По наличию обратной связи с атакуемым объектом

a. С обратной связью

b. Без обратной связи

5. По расположению атакующего по отношению к атакуемому

a. Внутрисегментное

b. Межсегментное

6. По количеству атакующих

a. Нераспределенная

b. Распределенная

7. По уровню эталонной модели ISO/OSI на которое осуществляется воздействие

a. Физический

b. Канальный

c. Сетевой

d. Транспортный

e. Сеансовый

f. Представительский

g. Прикладной

Классификация средств обеспечение секретности информации по уровням модели ISO/OSI

1. Физический уровень – на этом уровне возможно шифрование бит. Здесь невозможно обеспечить целостность и аутентификацию

2. Канальный – средства секретности обеспечивается на уровне точка-точка. Область действия ограничена одной сетевой средой

3. Сетевой – защита обеспечивается между конечными системами сети, независимо от используемых коммутаторов и средств промежуточной таблицы. Доступна конфиденциальность для соединений, целостность, аутентификация и управление доступом.

4. Транспортный – дополнительно к сетевому уровню защита может быть обеспечена в промежуточных системах, используя механизмы сетевого уровня

5. Сеансовый – нет средств секретности

6. Представительный уровень – на этом уровне осуществляется преобразование между сетевым представлением и обычным и наоборот. Поэтому на этом уровне является наиболее эффективнее использование шифрования.

7. Прикладной уровень – все секретные средства могут быть представлены на прикладном уровне

Стандарт ISO 74.98 - 2 описывает классификацию средств секретности по уровням модели OSI. Большинство требований секретности не могут быть удовлетворены на нижних уровнях. Часть средств секретности возможна только на прикладном уровне. В ИС используется комбинация средств секретности.