Справочно-информационная система по защите персональных данных

Лекция 1 - (Введение)

Защита персональных данных

Защита персональных данных включает в себя следующие аспекты:

  1. Правовой;
  2. Организационный;
  3. Технический;

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации, реализующая информационную технологию выполнения установленных функций.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность.

Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (цифровая фотография, отпечатки пальцев, изображение радужной оболочки глаз и другие биометрические персональные данные).

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Ведение реестра операторов – деятельность службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку пер. данных.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему производству.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы перс. данных

Вспомогательные тех. средства и системы – тех. средства и системы, не предназначенные для передачи, обработки и хранения перс. данных, устанавливаемые совместно с  техническими средствами.

Доступ в операционную среду компьютера – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, кодирования, перемещения), исполняемых файлов прикладных команд.

Доступ к информации – возможность получения информации и ее использования.

Доступность информации – состояние информации, характеризуемое способностью  АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Закладочное устройство – элемент средства съема информации, скрытно внедряемые в места возможного съема информации.

Защищаемая информация – информация, являющиеся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация, обрабатываемая в информационной системе.

Информационная система персональных данных – совокупность содержащихся в базах данных перс. данных и обеспечивающих…

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления,  распространения информации и способы осуществления таких процессов методов.

Использование персональных данных – действия с персональными данными, совершаемые оператором в целях принятия решений или совершения иных..

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явления, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иными получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъектов персональных данных или наличия иного законного основания.

Межсетевой экран – локальное или функционально-распределенное программное средство, реализующее контроль за информацией, поступающей в информационную систему персональных данных.

Нарушитель безопасности  персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушения безопасности персональных данных при их обработке техническими средствами в информационных системах.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными…

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и правил доступа к информации или действий с ней….

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котом информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПДН, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, удаление, уничтожение ПДН.

Общедоступные персональные данные – перс. данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДН, а также определяющие цели обработки ПДН, состав ПДН, подлежащих обработке, действия, совершаемые с ПДН.

Персональные данные – любая информация, относящаяся е прямо или косвенно определенному или определяемому физического лицу.

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепями питания.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектом доступа.

Программная закладка -  скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.

Программное воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональный данных – действие, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Реестр – перечень, список операторов, осуществляющих обработку персональных данных.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Субъект доступа – лицо или процесс, действие которого регламентируются правилами разграничения доступа.

Специальные категории ПД – ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта ПД. (152 ФЗ РФ)

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Технические средства ИС ПД – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки…

Технические каналы утечки информации – совокупность носителя информации, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. (152 ФЗ 12 ст.)

Угрозы безопасности ПД – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПД, а также иных несанкционированных действий при их обработке в ИС ПД.

Уничтожение ПД – действия, в результате которых невозможно восстановить содержание ПД в ИС ПД или в результате которых уничтожаются материальные носители ПД.

Уязвимость – некая слабость, которую, можно использовать для нарушения системы или содержащейся в ней информации.

Утечка информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно.

Актуальность проблемы защиты информации

Акты международного законодательства в сфере регулирования защиты ПД:

  1. Конвенция Совета Европы от 28 января 1981 «О защите личности в связи с автоматической обработкой персональных данных»
  2. Директива 95/46/ЕС Европейского парламента и Совета  Европейского Союза от 24 октября 1995 «О защите прав частных лиц применительно»

ВВЕРХ