ПОИБ МРч2 2010 ПВ
.pdf9)привлекать к административной ответственности лиц, виновных
внарушении закона.
Уполномоченный орган по защите прав субъектов ПДн обязан:
1)организовывать в соответствии с требованиями законов защиту прав субъектов ПДн;
2)рассматривать жалобы и обращения граждан или юридических лиц и принимать по ним в пределах своих полномочий решения.
3)вести реестр операторов;
4)осуществлять меры, направленные на совершенствование защиты прав субъектов ПДн;
5)принимать меры по приостановлению или прекращению обработки ПДн по представлению федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и в области ПДТР и ТЗИ;
6)информировать государственные органы, а также субъектов ПДн по их обращениям или запросам о положении дел в области защиты прав субъектов ПДн;
7)выполнять иные предусмотренные законодательством Российской Федерации обязанности;
8)а также ежегодно направлять отчет о своей деятельности Президенту, в Правительство РФ и Федеральное Собрание. Указанный отчет подлежит опубликованию в средствах массовой информации.
Обеспечение безопасности персональных данных при их обра-
ботке. Субъекты обеспечения безопасности. Субъектами правоот-
ношений связанных с защитой ПД и обеспечением их безопасности при обработке в ИСПДн являются:
1)Правительство РФ - устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
2)уполномоченный орган по защите прав субъектов персо-
нальных данных (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) – ведёт контроль и надзор за выполнением Федерального закона О персональных данных (ст.23), ведёт реестры операторов;
3)федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (ФСБ России)- осуществляет контроль и надзор за выполнением требований по обеспечению безо-
41
пасности персональных данных и представляет в уполномоченный орган ходатайство о приостановлении или прекращении обработки персональных данных операторами, нарушающими законодательство РФ в этой области;
4) федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и техниче-
ской защиты информации (ФСТЭК России)- осуществляет контроль и надзор за выполнением требований по обеспечению безопасности персональных данных, и представляет в уполномоченный орган ходатайство о приостановлении или прекращении обработки персональных данных операторами, нарушающими законодательство РФ в этой области;
5) операторы - обязаны принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий).
Нормативные документы правительства.
1.Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Пост.
Прав-ва РФ от 15.09 2008 г. N 687)
2. Положение об обеспечении безопасности ПД при их обработке в информационных системах ПД (утв. Пост.Правительства РФ от
17.11. 2007 г. N 781)
Безопасность ПДн при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности ПДн при их обработке в ИС осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических
42
полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК и ФСБ в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
Нормативно – методические документы органов исполнительной власти.
1. Порядок проведения классификации информационных систем персональных данных (утв. Приказом ФСТЭК, ФСБ РФ и Мин-ва инф-х техн. и связи РФ от 13.02. 2008 г. N 55/86/20). Содержание документа рассматривается в следующем вопросе.
2.Положение о методах и способах защиты информации в ИСПДн (Утверждено Приказом Федеральной службы по техническому
иэкспортному контролю от 5 февраля 2010 г. N 58).
Вположении, рассмотрены:
-методы и способы защиты информации, обрабатываемой техническими средствами информационной системы ,от НСД ( в том числе, случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий)
-методы и способы защиты информации от утечки по тех-
ническим каналам (защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от НСД к ПДн, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий)..
ВПоложении не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
3.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персо-
нальных данных (утверждена Заместителем директора ФСТЭК России14 февраля 2008 г.)
Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.
43
Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных ИСПДн:
-государственных или муниципальных ИСПДн; -ИСПДн, создаваемых и (или) эксплуатируемых предприятия-
ми, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением;
ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.
4. Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн (утверждена Заместителем директора ФСТЭК России15 февраля 2008 г.)
содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которое ведет к ущербу жизненно важных интересов личности, общества и государства.
5.Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн (Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622):
-являются обязательными для оператора, осуществляющего обработку персональных данных, а также лица, которому на основании договора оператор поручает обработку персональных данных и (или) лица, которому на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности защиты ПДн при их обработке в ИС с использованием криптосредств.
- распространяются на криптосредства, предназначенные для обеспечения безопасности ПДн при их обработке в ИСПДн, все технические средства которых находятся в пределах Российской Федерации, а также в системах, технические средства которых частично или целиком находятся за пределами Российской Федерации.
44
-не отменяют требования иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.
6.Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (№ 149/54-144, 2008 г. ФСБ России).
Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств.
Методическими рекомендациями необходимо руководствоваться
вслучае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России. В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях:
-при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть 5 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»);
-при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п. 3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).
Классификация ИСПДн. Классификация ИСПДн основанная на положениях нормативно-методического документа: Порядок проведения классификации информационных систем персональных данных (утв. Приказом ФСТЭК, ФСБ РФ и Мин-ва инф-х техн. и связи РФ от 13.02. 2008 г. N 55/86/20) приводится в таблицах 12.1-12.4.
Классификация ИС проводится операторами организующими и (или) осуществляющими обработку ПДн, а также определяющими цели и содержание обработки ПДн с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности ПДн.
45
Таблица 12.1 – Категорирование персональных данных обрабатываемых в информационных системах
Категория |
Характеристика ПДн |
Категория 4 обезличенные и (или) общедоступные ПДн.
Категория 3 ПДн, позволяющие идентифицировать субъекта ПДн
Категория 2 ПДн, позволяющие идентифицировать субъекта ПДн получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1
Категория 1 ПДн, касающиеся расовой, нац. принадлежности, полит. взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
Таблица 12.2- Разделение ИСПДн по заданным оператором характеристикам безопасности
Тип ИС |
Характеристики безопасности |
|
|
Типовые ИС |
информационные системы, в которых требуется обеспечение толь- |
|
ко конфиденциальности ПДн |
Специальные |
ИС, в кот-х вне зависимости от необходимости обеспечения кон- |
ИС |
фиденциальности ПД требуется обеспечить хотя бы одну из характери- |
|
стик безопасности, отличную от конфиденциальности (защ-ть от уничт. |
|
изменен., блокиров, иных н/c д-й). |
|
- ИС обраб ПД касающиеся здоровья |
|
- ИС на основ. ПД из которых принимаются решения, порождаю- |
|
щие юридические последствия |
Таблица 12.3 – Классификация типовых ИС по негативным последствиям нарушения безопасности
Классы |
Типовые ИС, для которых нарушение заданной характеристики безо- |
|
пасности ПД, обраб-х в них, может привести к: |
|
|
Класс 1 (К1) |
значительным негативным последствиям для субъектов ПД |
Класс 2 (К2) |
негативным последствиям |
Класс 3 (К3) |
незначительным негативным последствиям |
Класс 4 (К4) |
не приводит к негативным последствиям |
|
|
46
Таблица 12.4 – Определение класса типовой ИСПДн
Х нпд |
В ИС ПД одновременно обрабатываются д-е субъектов ПДн |
||
|
|
|
|
|
3 |
2 |
1 |
|
менее чем 1000 |
1000-100 000 или |
>100 000 |
|
или |
ПД субъектов работ-х в |
или |
Х пд |
ПД в пределах кон- |
отрасли эк-ки РФ, в ОГВ, |
ПД в пределах |
|
кретной организа- |
прож. в пред. му- |
субъекта РФ или РФ |
|
ции. |
ниц.образования |
в целом |
|
|
|
|
Категория 4 |
К4 |
К4 |
К4 |
Категория 3 |
К3 |
К3 |
К2 |
Категория 2 |
К3 |
К2 |
К1 |
Категория 1 |
К1 |
К1 |
К1 |
Ответственность за нарушение законодательства о персональных данных.
Административная ответственность. Административная ответственность предусмотрена Кодексом РФ об административных правонарушениях за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и за нарушение правил защиты информации.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1000 рублей; на юридических лиц - от
5000 до 10000 рублей (ст.13.11 КОАП РФ).
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа:
на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации или без таковой;
на должностных лиц - от 1000 до 2000 рублей; на юридических лиц - от 10000 до 20000 рублей с конфиска-
цией несертифицированных средств защиты информации или без таковой (ст.13.12, часть 2 КОАП РФ).
47
Уголовная ответственность. Уголовная ответственность предусмотрена за разглашение тайн, включающих персональные данные:
разглашение личной и семейной тайны (ст.137 УК РФ);
тайны усыновления (ст.155 УК РФ);
Меры уголовноправовой ответственности за совершение деяний предусмотренных этими статьями рассматриваются в институте правовой защиты профессиональной тайны.
Гражданско – правовая защита субъекта персональных данных.
Субъект персональных данных имеет право требовать через иск в суд от нарушителя:
признания права;
восстановления положения, существовавшего до нарушения
права;
признания его действий незаконными;
пресечения действий, нарушающих право или создающих угрозу его нарушения;
признания недействительным акта государственного органа или органа местного самоуправления;
возмещения убытков;
компенсации морального вреда (физических или нравственных страданий);
опубликования ответа потерпевшего;
опровержения по суду порочащих честь, достоинство или деловую репутацию потерпевшего сведений (в том числе в средствах массовой информации), если распространивший такие сведения не докажет, что они соответствуют действительности.
48
СЕМИНАР №13
ОСНОВЫ ЗАЩИТЫ АВТОРСКИХ ПРАВ
Вопросы семинара
1.Объекты и субъекты авторского права. Характеристика объектов авторского права. Субъекты авторского права.
2.Авторское право и сфера его действия. Сфера действия. Личные права. Имущественные права. Ограничения прав.
3.Условия охраны и авторские права на программы для ЭВМ
иБД. Программы для ЭВМ и БД как объекты авторского права. Свободное воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для ЭВМ. Программы для ЭВМ и базы данных, созданные по заказу, при выполнении работ по договору. Базы данных как объект смежного права с авторским.
4.Авторский договор. Виды авторских договоров. Содержание договора.
5.Защита авторских и смежных прав. Гражданско – правовая форма защиты авторских прав. Административная и уголовная ответственность за нарушения авторских прав.
Доклады:
1.Международные нормы охраны авторского права.
2. Базы данных как объект смежного права с авторским.
Литература
1.Организационно – правовое обеспечение информационной безопасности: учеб. пособие для студ. высш. учеб. заведений / М.: Издательский центр «Академия», 2008.-256с. (стр.93-104).
2.Правовое обеспечение информационной безопасности: Учеб.пособие для студ.высш.учеб.заведений / Под ред.С.Я.Казанцева.- М.:Издательский центр «Академия», 2005.-240с. (стр.99-131).
3. Загинайлов Ю.Н. Правовое обеспечение информационной безопасности. В 2-х частях. Часть II. Институты правовой защиты информации ограниченного доступа и интеллектуальной собственности. Защита компьютерной информации и информационных систем: Учебное пособие / Алт.гос.техн.ун-т им.И.И. Ползунова.- Баранаул: Изд-во АлтГТУ.-2009-229с. [электр. с диск.]
49
Дополнительная литература
4. Белов В.В., Виталиев Г.В., Денисов Г.М. Интеллектуальная собственность. Законодательство и практика его применения.: Учебное пособие. - М.: Юристъ, 1999 г.
Источники
1.Гражданский кодекс РФ (ст.128,138,150,1060,1061,1225-1302)
2.Кодекс Российской Федерации об административных правонарушениях 2001 г. (Статья 7.12 ч.1)
3.Уголовный кодекс РФ ( ст. 146);
Электронные ресурсы
1.Официальный сайт ФСТЭК (Федеральной службы по техническому и экспортному контролю) [Электронный ресурс] : - Режим дос-
тупа : http://fstec.ru.
2.Центральная библиотека образовательных ресурсов [Электрон-
ный ресурс] : - Режим доступа : http://www.edulib.ru .
3.Официальный сайт федерального института промышленной собственности (Роспатент) [Электронный ресурс] : - Режим доступа : http://fips.ru.
4.Правовая справочная система «Гарант». [Электронный ресурс] :
- Режим доступа : 1. - http://www.garant.ru, 2- Ауд.94 ПК.(Платформа
F1 Гарант).
Методические рекомендации по подготовке к занятиям
Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений анализа нормативных правовых документов по вопросам защиты авторских прав, формирование навыков профессионального мышления.
Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов, дискуссия. Доклады представляются при рассмотрении вопросов семинара.
При подготовке к семинару особое внимание обратить на:
1.Характеристику объектов авторского права.
2.Личные и исключительные права.
3.Виды авторских договоров и их содержание.
4.Правовую ответственность за нарушение авторских прав.
50