- •Южно-уральский государственный университет
- •Курс лекций
- •Информационная безопасность.
- •Челябинск
- •5.3 Система информационной безопасности предприятия. 16
- •Введение
- •5. Система информационной безопасности предприятия.
- •5.1 Основные определения. Информация1 и ее свойства.
- •5.2 Стандарты обеспечения информационной безопасности.
- •5.2.1 Роль стандартов информационной безопасности.
- •5.2.2 Документирование деятельности по обеспечению иб предприятия.11
- •Документы второго уровня
- •Документы третьего уровня
- •Документы четвертого уровня
- •5.3 Система информационной безопасности предприятия.
- •5.3.1 Основные положения.
- •5.3.2 Защита коммерческой тайны на предприятии.
- •5.3.3 Защита персональных данных на предприятии.
- •Глава 14 (ст. 85 - 90). Защита персональных данных работника.
- •5.3.4 Электронный документооборот. Электронная подпись.
- •Преследуемые цели39
- •Сущность цифровой подписи.
- •Удостоверяющий центр
- •Формирование и проверка эп
- •Секретные и открытые ключи
- •Средства эп
- •Криптографические хэш-функции
- •Комплексная защита сообщений
- •5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией.
- •5.4 Создание системы информационной безопасности предприятия.
- •5.4.1 Основные цели, методы и принципы.
- •5.4.2 Методическое направление работ по созданию ксзи
- •5.4.3 Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности.
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •5.4.4 Техническое направление работ по созданию ксзи
- •5.4.5 Выводы. Как построить защищенную информационную систему?
- •5.5 Современные технологии защиты данных.43
- •5.5.1 Технология криптографической защиты информации.
- •5.5.2 Технологии аутентификации.
- •Приложение
- •Положение о коммерческой тайне
5.3.3 Защита персональных данных на предприятии.
Отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таковых, если обработка персональных данных без использования средств автоматизации соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулирует Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
История (краткая)вопроса.
По поручению Президента РФ 7 ноября 2001 года Министерством иностранных дел от имени РФ была подписана Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 года (ETS №108). Ратификация Конвенции повлекла за собой обязательство для России иметь адекватное ей законодательство, для чего необходимо было принять специальный Закон о персональных данных (далее - ПД).
Кроме международных требований необходимо также реализовать положения Конституции РФ (ст. 24, 29), закрепляющие права и свободы граждан.
Основным правовым актом, регулирующим отношения в сфере защиты ПД, стал Федеральный закон № 152-ФЗ «О персональных данных». Данный Закон был принят 27.07.2006 года, вступил в силу в соответствии с ч. 1 ст. 25 этого документа по истечении 180 дней после дня официального опубликования («Российская газета» от 29.07.2006 года №165). В первоначальной редакции Закона устанавливалось, что информационные системы ПД, созданные до дня вступления в силу Закона, должны быть приведены в соответствие с требованиями Закона не позднее 1 января 2010 года. Большинство операторов ПД не смогли выполнить эти требования в срок. Федеральным законом от 27.12.2009 года № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» указанный срок был продлен до 1 января 2011 года. В течение 2010 год в статьи Закона был внесен ряд изменений и дополнений. Таким образом, операторы ПД должны привести информационные системы ПД, созданные до 1 января 2011 года, в соответствие со всеми требованиями Закона не позднее 1 июля 2011 года.
Основные положения законодательства о персональных данных.
Целью законодательства о персональных данных является:
создание общих унифицированных требований к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) ПД физических лиц (субъектов ПД) во всех сферах, где используются персональные данные;
определение критериев законности действий, связанных с обработкой персональных данных;
определение пределов ограничения прав субъектов ПД в связи с обеспечением общественных интересов, безопасности государства и общественной безопасности;
установления требования к информации, предоставляемой субъекту ПД во время их сбора, до момента их обработки или передачи третьим лицам, что служит одним из правовых механизмов обеспечения прав субъекта персональных данных.
Защита ПД работника в РФ базируется на соответствующих положениях Конституции, федеральных законах и международно-правовых документах, предусматривающих защиту сведений о личности и личной жизни граждан от необоснованного ознакомления с ними или распространения этих сведений без согласия лица, к которому эти сведения относятся.
Институт защиты ПД работника тесно связан с частной сферой жизни человека. Конституция РФ использует термин «частная жизнь» (ст.23), а Трудовой Кодекс РФ - ПД работника. «Частная жизнь» является более широким понятием и включает в себя «персональные данные»28. Их взаимное пересечение - несомненно, но есть и некоторые отличия. Так, информация о частной жизни не требует фиксации на материальном носителе, тогда как для ПД работника это обязательно. Данные о частной жизни невозможно обезличить (они станут бессмысленными, как бессмысленна личная тайна вне привязки к конкретной личности), тогда как ПД можно обезличить в силу прямого указания закона. Закон позволяет создать общедоступные источники ПД (справочники, адресные книги и др.), тогда как информация о частной жизни, став общедоступной, теряет свойства неприкосновенной и выходит за рамки неприкосновенности частной жизни. К тому же субъектами охраны ПД являются не только лица - ее носители, но и их наследники, а также операторы (держатели ПД, в том числе работодатели). Субъектом частной жизни, как и сведений о ней, является само физическое лицо, а право на ее неприкосновенность является конституционным правом данного лица.
Это позволяет сделать вывод о том, что в трудовом праве специфической защите подлежат именно персональные данные. Защита личной жизни имеет универсальный общеправовой характер.
Трудовой кодекс (ТК) РФ от 30.12.2001 № 197-ФЗ. --------------