«Хищение личности» и защита персональных данных

Основным источником высокочастотного электромагнитного излучения является дисплей. Картинку дисплея можно уловить и воспроизвести на экране другого дисплея на расстоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через соединительные провода. Однако основным виновником утраты электронной информации всегда является человек.

Защита данных должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ЭВМ (надежность, быстродействие).

Организация системы защиты информации включает:

- защиту границ охраняемой территории,

- защиту линий связи между  ЭВМ в одном помещении,

- защиту линий связи в различных  помещениях, защиту линий связи, выходящих за пределы охраняемой  зоны (территории).

Защита информации включает ряд определенных групп мер:

- меры организационно-правового  характера: режим и охрана помещений, эффективное делопроизводство по  электронным документам – внемашинная  защита информации, под бор персонала,

- меры инженерно-технического характера: место расположения ЭВМ, экранирование  помещений, линий связи, создание помех и др.,

- меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание  информации при несанкционированном  доступе, кодирование информации, вводимой  в ЭВМ,

- меры аппаратной защиты: отключение ЭВМ при ошибочных действиях пользователя или попытке несанкционированного доступа.

Помещения, в которых происходит обработка информации на ЭВМ, должны иметь аппаратуру противодействия техническим средствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты.

Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов:

- управления доступом;

- регистрации и учета;

- криптографической;

- обеспечения целостности.

Правильная организация доступа - управление доступом к конфиденциальной информации является важнейшей составной частью системы защиты электронной информации. Реализация системы доступа как к традиционным, так и электронным документам основывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей (сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые обращались к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне фирмы.

Организуя доступ сотрудников фирмы к конфиденциальным массивам электронных документов и базам данных, необходимо по мнить о его многоступенчатом характере. Можно выделить следующие главные составные части доступа этого вида:

- доступ к персональному компьютеру, сер веру или рабочей станции;

- доступ к машинным носителя информации, хранящимся вне ЭВМ;

- непосредственный доступ к  базам данных и файлам.

Доступ к персональному компьютеру, сер веру или рабочей станции, которые используются для обработки конфиденциальной ин формации, предусматривает:

- определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

- регламентацию первым руководителем  временного режима нахождения  этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

- организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

- организацию контролируемого (в  необходимых случаях пропускного) режима входа в указанные помещения  и выхода из них;

- организацию действий охраны  и персонала в экстремальных  ситуациях или при авариях техники и оборудования помещений;

- организацию выноса из указанных  помещений материальных ценностей, машинных и бумажных носителей  информации; контроль вносимых в  помещение и выносимых персоналом  личных вещей.

Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемо го документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.

Перед началом обработки информации на ЭВМ сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея дол жен быть немедленно погашен.

В конце рабочего дня исполнители обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу КД. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов.

Лицам, имеющим доступ к работе на ЭВМ, запрещается:

- разглашать сведения о характере  автоматизированной обработки конфиденциальной  информации и содержании используемой для этого документации,

- знакомиться с изображениями  дисплея рядом работающих сотрудников  или пользоваться их магнитными  носителями без разрешения руководителя  подразделения,

- разглашать сведения о личных  паролях, используемых при идентификации и защите массивов информации,

- оставлять магнитные носители  конфиденциальной информации без  контроля, принимать или передавать  их без росписи в учет ной  форме, оставлять ЭВМ с загруженной  памятью бесконтрольно,

- пользоваться неучтенными магнитными  носителями, создавать неучтенные копии документов.

После изготовления бумажного варианта документа его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями.

Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или уничтожения содержащейся в них информации, а также в соответствии с техническими условиями завода-изготовителя. Носители хранятся в вертикальном положении в специальных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответствовать учетным номерам носителей. Недопустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений.

Магнитные носители, содержащие конфиденциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных формах.

С целью контроля и поддержания режима при обработке информации на ЭВМ необходимо:

- периодически проводить проверки  наличия электронных документов  и состава баз данных,

- проверять порядок ведения  учета, хранения и обращения с  магнитными носителями и электронными  документами,

- систематически проводить воспитательную  работу с персоналом, осуществляющим  обработку конфиденциальной информации  на ЭВМ,

- реально поддерживать персональную  ответственность руководителей  и сотрудников за соблюдение  требований работы с конфиденциальной информацией на ЭВМ,

- осуществлять действия по максимальному  ограничению круга сотрудников, допускаемых к обрабатываемой  на ЭВМ конфиденциальной информации  и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации.

А как легче всего пробраться в сеть? Через сотрудника. Когда сотрудники загружают из Интернета несанкционированную программу, отвечают на электронное письмо с запросом на выдачу пароля для входа в сеть или просто без должного внимания относятся к такой информации, все это может представлять значительный риск для вашей компании и них самих.

 Возьмем, к примеру, недавний  случай в Королевской налоговой  и таможенной службе Великобритании. Пропали 25 миллионов записей, причем  не в результате умышленной  атаки, а просто по ошибке: младший сотрудник отослал курьером незащищенный диск, содержащий имена, адреса и банковские реквизиты миллионов британских семей. Этот диск и последующая замена были потеряны при транспортировке, что вызвало шумиху в средствах массовой информации и вынудило более одного миллиона человек сменить пароли от банковских счетов и PIN-коды.

 

4. Ответственность за нарушение правил работы с персональными данными

 Статья 90 ТК РФ предусматривает  ответственность за нарушение  норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

4.1 Уголовная ответственность

Статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

Личную или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.

Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

а) незаконном собирании сведений о частной жизни;

б) незаконном их распространении;

в) незаконном их распространении в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Закон не связывает ответственность за незаконное распространение сведений о частной жизни лица с конкретным способом распространения. Под распространением имеется в виду любая незаконная передача указанных сведений третьим лицам. Незаконным распространением является разглашение личной или семейной тайны лицом, обязанным ее хранить в силу своей профессии. В некоторых случаях разглашение сведений о частной жизни по УК образует одновременно состав другого преступления например, разглашение тайны усыновления (ст. 155), В таких случаях содеянное квалифицируется по совокупности со ст. 137 УК.

Обязательным элементом объективной стороны преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской деятельности;

б) физическим (телесным), например заболевание от пережитого;

в) моральным, например распад семьи, подрыв репутации.

Установление наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

Нарушение неприкосновенности частной жизни считается оконченным преступлением только с момента причинения соответствующего вреда (материальный состав).

Субъективная сторона данного преступления характеризуется прямым умыслом. Обязательным элементом субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.