Особливості захисту персональних даних

Інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу.

Основними даними про особу (персональними даними) є: прізвище, ім’я, по батькові, адреса, номер телефону, національність, освіта, професія, сімейний та соціальний стан, релігійність, стан здоров'я, дата і місце народження і т.ін.

Джерелами документованої інформації про особу є видані на її ім'я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень.

Забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом.

Кожна особа має право на ознайомлення з інформацією, зібраною про неї.

Персональні дані охороняються Законом. (Закон України «Про захист персональних даних»).

Суб’єктами відносин, пов’язаних з персональними даними, є: фізичні особи; юридичні особи; органи державної влади та органи місцевого самоврядування, організації, установи і підприємства усіх форм власності; уповноважений з питань захисту персональних даних; спеціально уповноважений центральний орган виконавчої влади з питань захисту персональних даних.

Суб’єктами відносин, пов’язаних з персональними даними, можуть бути інші держави та міжнародні організації.

Об’єктами захисту є персональні дані, які обробляються за допомогою систем автоматизованої обробки чи за допомогою систем що­до оброблення картотек персональних даних.

Персональні дані за режимом доступу є інформацією з обмеженим доступом.

Персональні дані фізичної особи, яка претендує чи займає вибірну посаду (в представницьких органах) або посаду державного службовця першої категорії не відносяться до інформації з обмеженим доступом.

Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством (Закон України «Про захист інформації в ІТС»).

Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.

Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи (Закон України «Про захист інформації в ІТС»).

Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.

Вимоги до забезпечення захисту інформації в системі (Постанова № 373 Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах)

Під час обробки конфіденційної і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

Доступ до конфіденційної інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.

Оператори обробки персональних даних повинні обробляти інформацію відповідно до існуючого законодавства (захист персональних даних (інформація про фізичну особу). При обробці персональних даних (ПД) також повинні враховуватися конституційні права та свободи людини у тому числі право на недоторканість приватного життя, особисте та сімейне життя.

 

Деталізація профілів захищеності. Беручи до уваги вищенаведені тези, комплекс технічних засобів інформації, яка обробляється та передається в системі обробки ПД повинен реалізовувати наступний профіль захищеності відповідно до нормативних документів НД ТЗІ 2.5-005-99 та НД ТЗІ 2.5-004-99:

Для автоматизованої системи класу «1»

АС-1 { КА-1, КО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }

 

АС-1 розподілена (однокористувацький АРМ підключений до ЗТМ)

{ КА-1, КО-1, КВ-1, ЦА-1, ЦВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }

 

Для автоматизованої системи класу «2»

АС-2 { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }

 

Для автоматизованої системи класу «3»

АС-3 {КА-2, КО-1, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДС-1, НР-2, НИ-2, НК-1, НО-2, НЦ-1, НТ-1, НВ-1}

 

Реалізація профілів захищеності може бути забезпечена системами ЗІ, які продемонстровані на рис. 10.1.

Рис.10.1 Система забезпечення захисту персональних даних

Оператори обробки персональних даних повинні обробляти інформацію відповідно до існуючого законодавства (захист персональних даних (інформація про фізичну особу). При обробці ПД також повинні враховуватися конституційні права та свободи людини у тому числі право на недоторканість приватного життя, особисте та сімейне життя.

Етапи захисту персональних даних:

1) Визначити всі ситуації, коли необхідно виконувати збір, зберігання, передачу чи обробку.

2) Виділити процеси (або бізнес процеси), пов’язані з такими ситуаціями. Доцільно вибрати обмежене число процесів і проаналізувати їх. У рамках такого обстеження формується перелік підрозділів та співробітників компанії, що приймають участь у обробці персональних даних у рамках функціональних обов’язків.

3) Віднести персональні дані до певної категорії та класифікувати інформаційну систему.

4) Вибір та обґрунтування по зниженню категорій персональних даних, що обробляються інформаційною системою. Після чого формується актуальна модель загроз для відповідного типу інформаційної системи.

5) Розробити технічне завдання на створення відповідної системи захисту.

6) Провести уточнення класів інформаційної системи та підготувати рекомендації щодо використання технічних засобів захисту персональних даних.

Література

1. Закон України «Про інформацію»

2. Закон України «Про захист інформації в інформаційно-телекомунікаційній мережі»

3. Закон України «Про державну таємницю»

4.Постанова Кабінету Міністрів № 373 Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах

5. НД ТЗІ 2.5-004-99

6. НД ТЗІ 2.5-005-99

Контрольні запитання.

1. Яка інформація згідно із Законом може належати до службової?

2. За яких умов надається організаціям дозвіл на провадження діяльності, пов'язаної з державною таємницею?

3. Кім визначається порядок криптографічного та технічного захисту інформації в державі?

4. Які особливості захисту державної таємниці?

5. Які особливості захисту службової інформації?

6. Який державний орган визначає особливості захисту інформації в системах, які забезпечують банківську діяльність?

7. Які особливості захисту персональних даних?

8. Які права та свободи людини повинні враховуватися при обробці персональних даних?

9. Які існують етапи захисту персональних даних?