Дипломная работа на тему защита персональных данных в. Проблемы правовой и организационной защиты персональных данных (монография) Научная исследовательская работа по защите персональных данных
В современном мире технологии, связанные с хранение и обработкой персональных данных, стали незаменимой частью жизни общества. Они используются в банковской сфере, медицине, детсадах, школах, ВУЗах и на различных предприятиях. Помимо всего прочего за последние пять лет социальные сети получили огромное влияние и хранят в себе неисчислимое количество личной информации. Следовательно, все чаще встаёт вопрос о сохранности персональных данных, ведь все эти факторы плодотворно влияют на развитие киберприступности, а информация имеет еще больший вес.
На различных предприятиях, где весьма важно сохранить различные секретные данные, применяются многие методы борьбы с этим. В своем проекте я хочу ознакомиться с ними и узнать, можно ли применять какие-либо из них в школах для повышения безопасности учеников и учителей.
Результаты экспертной оценки
Экспертная карта межрайонного этапа 2017/2018 (Экспертов: 5)
Сумма баллов: 7,8
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Защита персональных данных
Введение
Почему необходимо защищать персональные данные?
Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника - в средство мщения, в руках инсайдера - товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.
С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.
Защита персональных данных - это требование бизнеса
Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах. Долго ли просуществует такая компания на рынке?..
Защита персональных данных - это требование законодательства
Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.
Законодательство
В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.
Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Каждый из этих актов и документов посвящен отдельным областям и тематикам законодательства и будет раскрываться в дальнейшем по ходу изложения материала. Целью российского законодательства в области ЗПД является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
шифровальный безопасность персональный данные
Персональные данные
В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Состав и содержание персональных данных определяют операторы ПДн1 в зависимости от целей их обработки. Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.
Отличие российского и международного законодательства США, Великобритания и Канада, так же как и Россия, разработали технические регламенты, которые транслируют положения законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных. В Великобритании в 1998 году был принят «Закон о защите персональных данных» - «Data Protection Act 1998». Его техническая реализация - проект стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012) должен получить статус официального документа в июне 2009. Параллельно с англичанами свою версию стандарта по безопасности ПДн выпустили в США. Проект документа по защите персональных данных для американских государственных структур - «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122) регламентирует выполнение Законов «The Privacy Act of 1974» и «Privacy Protection Act of 1980». Канада выпустила «Privacy Code» - набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).
Канадский, английский и американский стандарты, в отличие от документов российских регуляторов, дают более общие екомендации по обеспечению безопасности ПДн и не предписывают, как конкретно должны защищаться персональные данные. Более того, тот же американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.
Существуют случаи, когда цели, состав и содержание ПДн четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами ПДн и операторами нуждаются в строгой регламентации. При этом в некоторых случаях2 субъект персональных данных обязан предоставлять оператору сведения о себе.
Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные:
· фамилия, имя, отчество;
· дата и место рождения;
· вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет);
· пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);
· дата поездки.
Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся:
· фамилия, имя, отчество;
· дата рождения;
· гражданство;
· номер страхового свидетельства;
· знание иностранных языков;
· данные об образовании (номер, серия дипломов, год окончания);
· данные о приобретенных специальностях
· семейное положение;
· данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения);
· фактическое место проживания;
· контактная информация;
· данные о военной обязанности;
· данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).
К другим нормативным актам, регулирующим отношения в сфере деятельности человека и определяющим цели обработки, состав и содержание ПДн, относятся ФЗ-179 «Трудовой кодекс РФ», ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и т.п.
Какие сведения о сотрудниках государственных организаций собирать и как их обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Своя специфика существует и в различных отраслях экономики.
Определенные рамки обработки персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О кредитных историях», для авиационного транспорта - Воздушный кодекс, для торговых организаций (Интернет-магазинов и т.п.) - Постановление Правительства Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи товаров дистанционным способом», для туристического бизнеса - Постановление Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» и т.п.
Невозможно не упомянуть и ФЗ-143 «Об актах гражданского состояния», в котором государство четко определяет, какие сведения о личности должны собираться, храниться и обрабатываться на протяжении всей его жизни.
Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Общедоступные ПДн
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
· субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
· персональные данные являются общедоступными;
· персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
· обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
· обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:
1. В информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или Российской Федерации в целом.
2. В информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.
3. В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Биометрические персональные данные
Биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения - в системах видеонаблюдения и т.п.
Оператор персональных данных
Согласно Закону №152-ФЗ операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Под обработкой ПДн понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.
Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением.
В каких случаях оператор ПДн имеет право не уведомлять Роскомнадзор Оператор вправе осуществлять обработку следующих персональных данных без уведомления уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор):
· относящихся к субъектам ПДн, которых с оператором связывают трудовые отношения;
· полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
· относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
· являющихся общедоступными персональными данными;
· включающих в себя только фамилии, имена и отчества субъектов персональных данных;
· необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
· включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем (далее ИС), а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
· обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн.
При этом бытует ошибочное мнение о том, что в случае, если нет необходимости регистрироваться как оператор ПДн в Роскомнадзоре (а законом такие случаи предусмотрены), то компания не является оператором ПДн и на нее не распространяются обязанности, предусмотренные законодательством. Более того, таким образом компании пытаются оправдать свое бездействие в области обеспечения безопасности ПДн. Если компания не предпринимает никаких усилий по защите персональных данных, это однозначно расценивается как «невыполнение требований российского законодательства».
Обязанности оператора ПДн
Российское законодательство возлагает на операторов ПДн определенные обязанности, основными из которых являются:
1. Обеспечение безопасности обработки персональных данных, что означает обязанность «принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
2. Уведомительный характер обработки персональных данных. В соответствии со статьей 22 Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
3. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
4. При получении персональных данных (в том числе от третьих лиц) оператор ПДн до начала обработки обязан получить у субъекта этих ПДн письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными).
5. Оператор обязан предоставить субъекту ПДн по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных. Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Более того, оператор ПДн обязан предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПДн являются общедоступными.
6. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ3.
Невыполнение требований законодательства?.. Какие последствия?..
Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).
В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
Обработка персональных данных
В российском законодательстве определяются основные принципы обработки персональных данных4 . К ним, в частности, относятся:
· Оператор персональных данных определяет цели их обработки в соответствии со своими полномочиями.
· Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки.
· Недопустимо объединять созданные для разных целей персональные данные (например, в одну базу данных).
· Персональные данные подлежат уничтожению по достижении целей (утраты необходимости в) их обработки.
Большое значение в Законе уделено условиям обработки персональных данных5. Так, обработка персональных данных может осуществляться оператором только с письменного согласия субъектов ПДн.
В каких случаях не требуется согласие субъекта ПДн на обработку сведений о нем?
Согласие субъекта ПДн не требуется в следующих случаях:
· обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
· оператор и субъект ПДн связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
· бработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
· обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
· обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;
· осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный. Об этих видах обработки ПДн речь пойдет в следующих разделах статьи.
Жизненный цикл персональных данных
Обработка персональных данных требует создание специального режима, в котором четко определены технология их обработки, порядок и условия существования ПДн на каждом этапе их жизненного цикла. Это предусматривает разработку и внедрение процедур их сбора, приема, учета, регистрации, хранения, использования, уничтожения и т.п. Большое значение при этом имеет срок хранения ПДн, а также наличие системы контроля обработки ПДн на всех этапах их жизненного цикла.
Срок обработки ПДн
Определение сроков обработки ПДн крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».
Анализ технологических процессов обработки ПДн
В своих проектах по защите ПДн специалисты компании «Инфосистемы Джет» большое внимание уделяют учету технологических процессов обработки персональных данных (жизненный цикл ПДн) и получению информации о существующих процедурах обработки ПДн. С этой целью ими проводятся следующие работы:
· анализ документов, определяющих технологические процессы обработки ПДн;
· проведение интервью с сотрудниками заказчика, реализующими процедуры обработки ПДн;
· определение владельца технологического процесса обработки ПДн (соотнесение технологического процесса со структурным подразделением заказчика и используемой ИСПДн);
· определение процедур сбора, приема, учета и регистрации ПДн в информационных системах персональных данных, хранения, обработки, выпуска, копирования и передачи ПДн, их уничтожения и контроля за этими процедурами.
Сроки обработки также определяются на основании других нормативно-правовых актов. Так, требованиями трудового, гражданского, пенсионного законодательства, отраслевых нормативных актов устанавливаются определенные сроки обработки персональных данных. Например, для карточек Т-2 - это 75 лет6 (Постановление Госкомстата № 1), а для сведений о предоставленных абоненту услугах связи - 3 года (Постановление Правительства № 538).
Неавтоматизированная обработка ПДн
Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Согласно данному Постановлению, обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия осуществляются при непосредственном участии человека.
Вопрос разделения неавтоматизированной и автоматизированной обработки у многих организаций вызывает затруднения.
Постановления РФ:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Исходя из этого, некоторые организации полагают, что всю обработку ПДн можно отнести к неавтоматизированной, поскольку во всех случаях имеется факт «обработки ПДн при непосредственном участии человека». И это является ошибкой. В данном случае неправильно рассматривать эту обработку только как неавтоматизированная. К примеру, если пользователь внес данные в персональный компьютер только для того, чтобы их распечатать, и не сохранял данные на компьютере, то эту обработку можно считать неавтоматизированной. Если пользователь сохранил эти данные в виде файла и хранит их на компьютере, то нужно рассматривать эту обработку ПДн в том числе и как автоматизированную.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой из них должен использоваться отдельный материальный носитель.
Постановление определяет, какая информация должна быть включена в типовые формы документов, включающих персональные данные, условия ведения журналов (реестров, книг), содержащих ПДн (например, необходимых для однократного пропуска субъекта ПДн на территорию оператора), описывает важнейшие этапы жизненного цикла персональных данных, зафиксированных на материальном носителе.
Автоматизированная обработка персональных данных
Для того, чтобы определить, что является «автоматизированной обработкой ПДн», необходимо ввести понятие «автоматизированного файла ПДн», которое означает любой комплекс данных о субъектах ПДн, подвергающийся автоматизированной обработке («Конвенция о защите физических лиц при автоматизированной обработке персональных данных», СЕД №108, от 28 января 1981 г.).
«Автоматизированная обработка ПДн» подразумевает действия с «автоматизированными файлами ПДн», которая включает следующие операции, осуществляемые полностью или частично с помощью средств автоматизации: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.
Обеспечение безопасности персональных данных
В соответствии со статьей 19 Федерального Закона «О персональных данных» оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Обеспечение безопасности ПДн, обрабатываемых в информационных системах персональных данных
В данном разделе рассказывается о требованиях к обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн), которые содержатся в Постановлении Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.
В каких случаях обеспечение безопасности ПДн не требуется?..
Обеспечение безопасности (в данном случае конфиденциальности) в соответствии с российским законодательством не требуется лишь для обезличенных и общедоступных персональных данных.
Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПДн.
Персональные данные могут быть общедоступными только с письменного согласия субъекта ПДн. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.
Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:
· проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
· своевременно обнаруживать факты НСД к персональным данным;
· не допускать воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
· незамедлительно восстанавливать ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
· осуществлять постоянный контроль за обеспечением уровня защищенности ПДн.
Кто должен обеспечивать безопасность ПДн?..
Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПДн при их обработке в ИСПДн.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.
Что такое ИСПДн?
Информационные системы персональных данных представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:
· информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
· технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации);
· программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);
· средства защиты информации;
· вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приема программ радиовещания и телевидения, электрочасофикации7, средства электронной оргтехники).
Сроки и условия приведения ИСПДн в соответствие с законодательством
Российским законодательством определены сроки и условия приведения ИСПДн в соответствие требованиям по обеспечению безопасности ПДн.
Для информационных систем персональных данных, находившихся в эксплуатации до введения в действие Федерального закона от 27 июля 2006 г. № 152ФЗ «О персональных данных», должна быть обеспечена их доработка, обеспечивающая безопасность ПДн в соответствии с требованиями Законодательства, в срок до 1 января 2010 г.
Для функционирующих ИСПДн доработка (модернизация) систем защиты персональных данных (далее СЗПДн) должна проводиться в случае, если:
· изменился состав или структура самой информационной системы или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПДн, топологии ИСПДн);
· изменился состав угроз безопасности ПДн в информационной системе;
· изменился класс ИСПДн.
Для вновь создаваемых или модернизируемых информационных систем деятельность по обеспечению безопасности ПДн является неотъемлемой частью работ по их созданию или модернизации. Производителей приложений, в которых предусмотрена обработка сведений о физических лицах, обязаны реализовывать в своих
разработках требования по безопасности ПДн, предусмотренные российским законодательством.
Компания «Инфосистемы Джет», являясь системным интегратором, осуществляет в своих проектах разработку и внедрение различных вычислительных комплексов и бизнес-приложений. Подобные работы проводятся с учетом требований российского законодательства по обеспечению информационной безопасности, в том числе по защите персональных данных.
Какие ИСПДн существуют?
Персональные данные обрабатываются в массе приложений. Как показал опыт компании «Инфосистемы Джет» по выполнению проектов по ЗПД, их количество может варьироваться от 3 до 5 в малых и средних компаниях, от 30 до 50 - в крупных компаниях. К информационным системам персональных данных могут быть отнесены:
· CRM-системы (данные о клиентах - физических лицах и представителях клиентов - юридических лиц);
· биллинговые системы (данные о клиентах, осуществляющих оплату услуг);
· автоматизированные банковские системы (данные о сотрудниках банка, о клиентах, партнерах и т.п.);
· автоматизированные медицинские системы (данные о пациентах и т.п.);
· Call-центры (данные о клиентах и сотрудниках в зависимости от предназначения call-центра);
· кадровые системы (данные о сотрудниках организации);
· бухгалтерские системы (данные о сотрудниках и клиентах организации);
· системы документооборота (данные о сотрудниках организации, клиентах, партнерах);
· почтовые системы (данные о сотрудниках организации, клиентах, партнерах, заполненные карточки в адресных книгах почтовых систем и т.п.);
· автоматизированные системы бюро пропусков (данные о посетителях).
С точки зрения принадлежности информационные системы могут быть следующих видов: ИСПДн государственных и муниципальных органов, юридических и физических лиц, организующих или осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).
Классификация ИСПДн
Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20, а также на основании нормативно-методических документов регуляторов ФСТЭК и ФСБ.
Классификация информационных систем проводится на этапе создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
Проведение классификации информационных систем включает в себя следующие этапы:
· сбор и анализ исходных данных по информационной системе;
· присвоение ей соответствующего класса;
· его документальное оформление (составление и утверждение руководством организации Актов классификации на конкретные ИСПДн).
При проведении классификации информационной системы учитываются следующие исходные данные:
Таб. 1. Определение класса типовой информационной системы
· объем обрабатываемых персональных данных (количество субъектов ПДн, персональные данные которых обрабатываются в информационной системе - 1, 2, 3)9;
· заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
· структура информационной системы;
· наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
· режим обработки персональных данных;
· режим разграничения прав доступа пользователей информационной системы;
· местонахождение технических средств информационной системы.
Классификация ИСПДн
Практика показала, что существуют определен ные сложности в проведении классификации ИСПДн силами операторов, поскольку для выполнения данной задачи не всегда хватает компетенции собственных специалистов.
Обладая опытом проведения проектов по защите персональных данных, компания «Инфосистемы Джет» сформировала свой подход к проведению данного вида работ. При этом отличительной особенностью является «правильная» классификация ИСПДн, при которой удается в значительной степени минимизировать расходы наших заказчиков на создание системы защиты персональных данных.
В частности, это становится возможным за счет минимизации мест хранения и обработки ПДн, разделения/сегментирования ИС, снижения требований к части сегментов, сокращения числа сотрудников, имеющих доступ к персональным данным, обезличивания части персональных данных, выведения части данных из ИСПДн.
В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее:
· Абстрагирование ПДн - сделать их менее точными, например, путем группирования общих характеристик;
· Скрытие ПДн - удалить всю или часть записи ПДн;
· Замена ПДн - переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;
· Замена данных средним значением - заменить выбранные данные средним значением для группы ПДн;
· Разделение ПДн на части - использование таблиц перекрестных ссылок;
· Маскирование ПДн - замена одних символов в ПДн другими.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, ИСПДн подразделяются на типовые и специальные:
· типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;
· специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик их безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
По структуре информационные системы подразделяются:
· на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств (автоматизированные рабочие места);
· на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
· на комплексы автоматизированных рабочих мест и локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям.
По режиму обработки персональных данных в информационной системе ИСПДн подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах РФ, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
Классификация типовых ИСПДн
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
· класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
· класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
· класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
· класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Класс типовой информационной системы определяется в соответствии с таблицей №1 .
Классификация специальных ИСПДн
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
· информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;
· информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
Составление моделей угроз для специальных ИСПДн
Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года:
· типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;
· типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.
На основе базовой модели угроз и в соответствии с нормативным документом ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным 14 февраля 2008 г., разрабатываются частные модели угроз в отношении конкретных ИСПДн. В ходе такой разработки составляется перечень актуальных угроз в отношении конкретных информационных систем.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности ПДн при их обработке в ИСПДн» и «Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденных ФСТЭК, формулируются конкретные организационно- технические требования по защите информационных систем от утечки данных по техническим каналам, от несанкционированного доступа. Также осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Что подлежит защите в ИСПДн?
Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.
Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
...Подобные документы
Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа , добавлен 01.07.2011
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа , добавлен 23.03.2018
Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа , добавлен 10.06.2011
Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа , добавлен 17.12.2015
Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа , добавлен 07.10.2016
Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа , добавлен 17.11.2012
Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.
курсовая работа , добавлен 30.09.2013
Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация , добавлен 15.11.2016
Классификация информации по уровню доступа к ней: открытая и ограниченного доступа. Понятие о защите информационных систем, использование шифровальных средств. Компетенция уполномоченных федеральных органов власти в области защиты персональных данных.
реферат , добавлен 13.10.2014
Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
Глава 1. Конституционно-правовое регулирование персональных данных
1. Конституционная защита персональных данных.
2. Юридическая ответственность за нарушение норм о персональных данных.
3. Систематизация законодательства о персональных данных.
Глава 2. Обеспечение информационных процессов в сфере персональных данных
1. Регулирование порядка автоматизированного сбора и обработки персональных данных.
2. Технико-правовое обеспечение накопления и хранения персональных данных.
3. Распространение персональных данных.
Введение диссертации (часть автореферата) на тему «Защита персональных данных»
Актуальность темы исследования. Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей «персональные данные».
Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации»1, а также Федеis ральный закон «Об участии в международном информационном обмене» . Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.
Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном анализе и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера.
Оценка возможностей законодательства по оказанию позитивного воздействия на состояние системы обеспечения защиты персональных данных до настоящего времени юридической наукой практически не исследовалась, хотя, по мнению автора, здесь открываются довольно широкие возможности.
1 СЗ РФ, 20.02.95, №8, ст.609.
2 СЗ РФ, 08.07.1996, №28, ст.3347.
Исходя из вышеизложенного, исследование в данном направлении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.
Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема защиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных работ, посвященных информационной безопасности, защите информации лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации.
В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.
Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В.А. Копыловым, В.Н. Лопатиным, В.А. Пожилых, М.М. Рассо-ловым, А.А. Фатьяновым, М.А. Федотовым, О.А. Федотовой, С.Г. Чубуко-вой, А.А. Шиверским, В.Д. Элькиным и др.
Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л. Балыбердина, М.А. Вуса, В.А. Герасименко, А.А. Грушо, С.В. Дворянкина, П.Д. Зегжды, Е.В. Касперского, В.Д. Курушина, А.А. Малюка, В.А. Минаева, В.Е. Потанина, В.Н. Саблина, С.В. Скрыля, А.П. Фисуна и ряда других ученых.
Вместе с тем, проблемы совершенствования защиты персональных данных предметом отдельного монографического исследования до сего времени не становились.
Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения, складывающиеся в процессе правового регулирования обеспечения защиты персональных данных.
Предметом исследования выступает совокупность правовых норм, регулирующих отношения в информационной сфере и, в частности, совокупность норм законодательства по обеспечению конфиденциальности персональных данных.
Цель и задачи исследования. Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.
В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи:
1) рассмотреть актуальные проблемы конституционно-правового регулирования персональных данных на современном этапе;
2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить рекомендации по их реализации и совершенствованию с учетом имеющегося международного опыта;
3) исследовать проблемы систематизации законодательства о персональных данных, учитывая как действующие законы, так и существующие проекты и предложения;
4) изучить технический опыт и нормативно-правовые акты, по регулированию порядка автоматизированного сбора и обработки персональных данных;
5) исследовать проблемы технико-правового обеспечения накопления и хранения персональных данных;
6) раскрыть с позиции имеющихся современных возможностей процесс распространения персональных данных для разработки рекомендаций и совершенствования норм по их защите.
Методологическая и источниковедческая основы исследования. Методологическую основу исследования составляет диалектический метод познания, исторический, системный, комплексный, целевой подходы к изучаемой проблеме, а также специальные методы познания: формальнологический, формально-юридический, сравнительно-правовой, а также методы абстрагирования, аналогии и моделирования.
В ходе работы автором диссертации проанализированы следующие источники: Конституция Российской Федерации, международные правовые акты, административное, гражданское, уголовное законодательство, подзаконные акты федерального уровня, а также иной юридический и технический материал.
Положения, выносимые на защиту:
1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктриналь-ного понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».
2. Разработанный автором исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и гражданина, не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.
3. Обоснование положения о том, что нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
4. Вывод о том, что защита конфиденциальной информации персо- . нального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления: «Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ», а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций.
6. Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
7. Рекомендации по урегулированию порядка распространения персональных данных, учитывая происходящий в обществе процесс информатизации. В этой связи особое внимание уделено возрастающей популярности глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персональных данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной важной для общества и государства области общественных отношений.
Теоретическая и практическая значимость результатов исследования. В соответствии с поставленными целью и задачами все выводы и положения, являющиеся результатом проведенного исследования, подчинены идее использования их при разработке нового и совершенствовании действующего законодательства и построения эффективной системы обеспечения защиты персональных данных.
Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые могут быть использованы при отработке понятийного аппарата нормативно-правовых актов в сфере защиты персональных данных.
Автором предлагается изложить в новой редакции два действующих состава КоАП РФ и УК РФ, дополнить составом главу 28 УК РФ, а также внести некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ и иные федеральные законы, что в комплексе позволит определенным образом повысить уровень обеспечения защиты персональных данных с помощью юридических санкций. Помимо этого предложены нормативно-правовые акты в целях систематизации законодательства о сведениях персонального характера.
Теоретические и практические выводы диссертационного исследования, его содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.
Эмпирическую базу исследования составили анализ изучения результатов анкетирования 120 сотрудников правоохранительных органов из двадцати субъектов России, из которых три республики, три края, тринадцать областей и один город федерального значения (г. Москва), а также результаты изучения 50 материалов гражданских дел, затрагивающих сферу частной жизни.
Апробация работы и внедрение результатов исследования. Основные положения диссертации докладывались и обсуждались на кафедре конституционного и административного права Воронежского института МВД России, на практических занятиях с адъюнктами очной формы обучения, на IV Всероссийской научно-практической конференции «Охрана, безопасность и связь» (г. Воронеж, 2003 г.), на Всероссийской научно-практической конференции курсантов, адъюнктов и слушателей «Современные проблемы борьбы с преступностью» (г. Воронеж, 2004 г.).
Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 п.л. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.
Структура диссертации. Диссертация состоит из введения, двух глав (включающих 6 параграфов), заключения, списка использованной литературы и приложения.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Конституционно-правовое регулирование личной и семейной тайны в Российской Федерации 2010 год, кандидат юридических наук Пашаев, Станислав Юрьевич
2010 год, кандидат юридических наук Волков, Олег Юрьевич
Институциональное развитие правового обеспечения информационной безопасности в российском информационном праве 2012 год, кандидат юридических наук Андреев, Павел Геннадьевич
Правовые основы оборота информации с ограниченным доступом (конфиденциальной информации) в Российской Федерации 2008 год, кандидат юридических наук Семашко, Александр Викторович
Организационно-правовая защита персональных данных в служебных и трудовых отношениях 2006 год, кандидат юридических наук Маркевич, Анна Сергеевна
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Просветова, Ольга Борисовна
Обобщая ранее изложенное, отметим основные выводы по диссертации.
1. В настоящее время в России нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
2. Защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.
3. В совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства, однако, уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня.
Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения.
Следует констатировать, что имеющиеся недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.
В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере защиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.
4. Имеющиеся в нормативно-правовых актах определения информационных процессов свидетельствуют, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, т.е. понятия информационных процессов не соотносятся друг с другом.
В контексте рассматриваемого положения приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах (особенно если используются автоматизированные системы). И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации» к категории конфиденциальной информации.
Следуя изложенному, в представленном исследовании предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Данное определение, по мнению автора, должно быть включено как в действующие федеральные законы, так и в проекты законов, призванных регулировать сферу персональных данных.
5. В государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
6. Исходя из того, что распространение конфиденциальной информации персонального характера представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.
В этой связи автор предлагает раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Для полного, всестороннего и объективного понимания проблемы урегулированности распространения персональных данных, предлагается рассматривать ее с позиции определения способов распространения. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В связи с этим особую озабоченность вызывает возрастающая популярность глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
7. Учитывая пробелы правового регулирования Интернета, они должны быть устранены в новом информационном законодательстве. Наряду с законом, регулирующим государственную политику в Сети, следует принять рамочный закон об Интернете. В нем, как считает автор, необходимо: 1) отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий; 2) закрепить наиболее важные принципы «сетевых отношений»; 3) отразить специфику субъектного состава сетевых отношений; 4) установить правила информационного обмена в сети Интернет; 5) сформулировать ответственность участников сетевых отношений за нарушение закрепленных норм, а также предусмотреть способы доказывания и особенности рассмотрения «сетевых споров»; установить пределы ответственности каждого участника сетевых отношений.
В завершении хотелось бы отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества.
Список литературы диссертационного исследования кандидат юридических наук Просветова, Ольга Борисовна, 2005 год
1. Конституция Российской Федерации М.: «Проспект», 2000. - 48с.
2. Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.
3. Европейская конвенция о защите прав человека и основных свобод // Собрание законодательства РФ, 2001, 8 января, №2, ст. 163.
4. Конвенция о правах ребенка // Издание Организации Объединенных Наций Нью-Йорк, 1992.
5. Международный пакт о гражданских и политических правах // Ведомости Верховного Совета СССР, 1976, № 17(1831), ст. 291.
6. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 17.12.1999) // Собрание законодательства РФ, 29.01.1996, №5, ст. 410.
7. Кодекс об административных правонарушениях. Кодексы Российской Федерации: Выпуск 2. М.: МНФРА - М, 2002. - 283с.
9. Семейный кодекс Российской Федерации. М.: Ассоциация авторов и издателей «ТАНДЕМ». Издательство «ЭКМОС», 2002. 96 с.
10. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ // СЗ РФ от 7 января 2002 г. № 1 (часть I) ст. 3.
11. Уголовный кодекс РФ от 13 июня 1996 г. № 63-Ф3 // СЗ РФ от 17 июня 1996 г. № 25 ст. 2954.
12. Уголовно-процессуальный кодекс Российской Федерации // Российская газета, 2001,22 декабря.
13. Доктрина информационной безопасности Российской Федерации» от 9 сентября 2000 г. утв. Президентом РФ № ПР 1895. // Российская газета, №187, от 28 сентября 2000 г.
14. Федеральный закон от 20.02.95 г. №24-ФЗ «Об информации, информатизации и защите информации» // СЗ РФ 20.02.95, №8, ст.609.
15. Федеральный закон РФ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» // СЗ РФ. 1995. № 17. Ст. 1455.
16. Федеральный закон РФ от 12.08.95г. №144-ФЗ (ред. 30.12.99.) «Об оперативно-розыскной деятельности» // СЗ РФ 14.08.95, №33, ст.3349.
17. Федеральный закон от 3.04.95 г. №40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации» // Российская газета. 1995, 12 апреля.
19. Федеральный закон от 9 августа 1995 г. №129 ФЗ «О почтовой связи» // СЗ РФ. 1995, №33, ст.3334.
20. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» // СЗ РФ, 08.07.1996, №28, ст.3347.
21. Федеральный закон от 26.09.97 г. № 125-ФЗ «О свободе совести и о религиозных объединениях» // СЗ РФ, 1997, № 39, ст. 4465.
22. Федеральный закон РФ от 25.07.98 г. №128-ФЗ «О государственной дактилоскопической регистрации в РФ» // Российская газета, 1998, №145.
23. Федеральный закон от 30.03.99 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» // СЗ РФ, 1999, № 14, ст. 1650.
24. Федеральный закон от 18.06.01 г. № 77-ФЗ «О предупреждении распространения туберкулеза в Российской Федерации» // СЗ РФ, 2001, № 26, ст. 2581.
25. Федеральный закон от 25.04.02 г. № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств» // СЗ РФ от 6 мая 2002 г., № 18, ст. 1720.
26. Федеральный закон от 10.01.03 г. № 20-ФЗ «О Государственной автоматизированной системе Российской Федерации «Выборы» // СЗ РФ от 13 января 2003 г. № 2 ст. 172.
27. ЗО.Закон Российской Федерации «О милиции» от 18.04.91 г. №1026-1 // Ведомости Съезда народных депутатов и Верховного Совета РСФСР, 18.04.91. №16, ст.503.
28. Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» // Российская газета, 1993, 21 сентября.34.3акон Воронежской области от 13 января 1998 г. № 28-Н-ОЗ «Об информатизации Воронежской области».
29. Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» // СЗ РФ 1997, №10, ст. 1127.
30. Постановление Правительства РФ от 14.03.97 г. № 298 «Об утверждении образцов и описания бланков основных документов, удостоверяющих личность гражданина Российской Федерации за пределами Российской Федерации» // СЗ РФ от 24 марта 1997 г. № 12, ст. 1435.
31. Постановление Администрации Воронежской области от 6 сентября 1999 г. № 886 «О внедрении системы защиты информационных ресурсов Воронежской области».
32. Комментарий к Закону РФ «О средствах массовой информации» М.: Га-лерия, 2001.
33. Комментарий к Закону Российской Федерации «О милиции» / Ю.П. Соловей, В.В. Черников. Издание второе, переработанное и дополненное. М.: «Проспект», 2001.
34. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В. М. Лебедев. М., 2001.
35. Комментарий к «Закону о СМИ». Под ред. В.Н. Монахова. М., 2001.
36. Комментарий к Налоговому кодексу Российской Федерации для торговых организаций / М.Ю. Ракитина, O.JI. Арутюнова, С.В. Шарова М.: Изда-тельско-консультационная компания «Статус-Кво 97», 2003.
37. Комментарий к Трудовому кодексу Российской Федерации (под ред. К.Н. Гусова) М.: ООО «ТК Велби», ООО «Издательство Проспект», 2003.
38. Комментарий к Гражданскому кодексу Российской Федерации, части второй / Под ред. проф. Т.Е.Абовой и А.Ю.Кабалкина; Ин-т государства и права РАН. М.: Юрайт-Издат; Право и закон, 2003. - 976 с.
39. Научно-практический комментарий к Конституции Российской Федерации / Отв. ред. В.В. Лазарев // Электронная версия для справочной правовой системы «Гарант» по состоянию на 1 октября 2004 г.1. МОНОГРАФИИ И СТАТЬИ
40. Агапов А.Б. Проблемы правовой регламентации информационных отношений в Российской Федерации // Государство и право, 1993, №4. С. 125130.
41. Аносов В.Д., Стрельцов А.А. О доктрине информационной безопасности РФ (проект) // Информационной общество, 1997, № 2, 3.
42. Архипов А.В. Информационная защита объекта- задача многогранная. // Конфидент. №1-2.1999. С.30-31.
43. Бачило И.Л. Правовое регулирование процессов информатизации // Государство и право 1994, №12. С.72-80.
44. Бойко Б.Б. Комплексный подход к обеспечению информационной безопасности. // Межрегиональная конференция «Информационная безопасность регионов России», Санкт-Петербург, 13-15 октября 1999г.: конференции. Части 1и 2. СПб., 1999.- С.38-39.
45. Волков С., Булычев В. Защита деловой репутации от порочащих сведений // Российская юстиция, 2003, №8. С. 51.
46. Волчинская Е.К. О направлениях развития законодательства в сфере обращения информации / Аналитическая записка, 1998, август. С.24-32.
47. Гиляров Е.М., Янина Е.В. Информация как объект правового регулирования //Безопасность информационных технологий. 2001, №3. С.5-10.
48. Гостев И. М. Защита персональных данных и сведений о частной жизни граждан. // Конфидент. № 3. 1999. С. 13.
49. Гросс Г. Украли очень личное // Computerworld, 2003, №35.
50. Жуков И.А., Леонов Т.Е. Комплексная защита информации в сетях передачи данных органов внутренних дел / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. М., 1998. С. 112-119.
51. Калятин В.О. Персональные данные в Интернете // Журнал российского права, 2002, №5. С. 12.
52. Кирин В.И. Зарубежный опыт законодательной практики использования технических средств / Компьютерные технологии и управление органами внутренних дел. Труды Академии управления. М., 2000. С.181-187.
53. Климова Ю. Как пресечь распространение компромата в виртуальном мире // Российская юстиция, 2001, № 12. С. 48-50.
54. Копылов А.В. Защита информации в помещениях и технических каналах горрайорганов внутренних дел / Организационно-технические, математические и правовые аспекты информации деятельности органов внутренних дел. Труды Академии управления. М., 2001. С.49-57.
55. Костенко М.Ю. Налоговая тайна и другие виды конфиденциальной информации // Ваш налоговый адвокат, 2001, №2.
56. Крылов В. В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. № 3.
57. Маршани М.Б. Имеет ли право врач разглашать наши тайны // Безопасность информационных технологий. 2001, №3. С.52-54.
58. Погуляева Е. Не болтай! // «эж-ЮРИСТ», 2003, № 43.
59. Полупанов В. Чем лечат это секрет // Аргументы и факты, 2002, №7. С.24.
60. Сабынин В.Н. Организация работ по обеспечению безопасности информации в фирме// Информост. 2001, №18. С.56-58.
61. Степанов О.А. Сущность юридического режима регулирования информационно-электронных отношений в Российской Федерации / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. - М., 1998. С.50-59.
62. Степанюк Л. Какие гарантии защиты персональных данных работников установлены ТК РФ? // Финансовая газета. Региональный выпуск, 2003, №37.
63. Тибенко К.А. Некоторые аспекты правового обеспечения информационной безопасности // Безопасность информационных технологий. 2001, №3. С.63-69.
64. Фатьянов А.А. Тайна и право (основные системы ограничения на доступ к информации в российском праве): Монография. - М.: МИФИ, 1999. 288 с.
65. Французова Л. Личные данные работников // Кадровое дело, 2003, № 4.
66. Ходорыч А. Расколотая база // Коммерсант деньги. 2001, №7. С. 13-20.
67. Ходорыч А. «На каждый роток не накинешь платок» // Коммерсант деньги. 2001, №7. С.21.
68. Чекулаев Р.А. Обеспечение информационной безопасности как новая функция частных охранных и сыскных структур // Безопасность информационных технологий. 2001, №3. С.76-79.
69. Шляхтина С. Интернет в цифрах и фактах (http://www/compress.ru/Article.asp.id=4205).
70. УЧЕБНИКИ, УЧЕБНЫЕ ПОСОБИЯ, ЛЕКЦИИ, ДИССЕРТАЦИИ,1. АВТОРЕФЕРАТЫ
71. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. М., 1999.
72. Бачило И.Л., Лопатин В.Н. Федотов М.А. Информационное право: Учебник / Под ред. акад. РАН Б.Н. Топорнина. СПб.: Издательский центр Пресс, 2001.789 с.
73. Бородин С.В. Постатейный Комментарий к Уголовному кодексу РФ 1996г. / Под ред. А.В. Наумова М.: «Гардарика», Фонд «Правовая культура», 1996.
74. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. Н.Г. Шурухнова. М.: Книжный мир, 2001. 88 с.
75. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М.: МИФИ, 1995. 96 с.
76. Герасименко В.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997. 537с.
77. Гомьен Д., Харрис Д., Зваак JI. Европейская конвенция о правах человека и Европейская социальная хартия: право и практика». М., 1998.
78. Грачев Г.В. Информационно-психологическая безопасность личности: состояние, возможности психологической защиты. М.: Изд. РАГС, 1998. 125с.
79. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. Серия «Информатизация России на пороге 21 века».- М.: СИНТЕГ, 1999. 232 с.
80. Домарев В.В. Защита информации и безопасность компьютерных систем. Киев: Издат-во: ДиаСофт. 1999. 480с.
81. Карелина М.М. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В.М. Лебедев. М.: Юрайт-М, 2001.
82. Ковалев В.И. Комментарий к Трудовому кодексу Российской Федерации о материальной ответственности работников М.: За право военнослужащих, 2003.
83. Компьютерные террористы: Новейшие технологии на службе преступного мира. / Автор-составитель Т.И. Ревяко. Мн.: Литература, 1997. -640с.
84. Кондратьева C.J1. Юридическая ответственность: соотношение норм материального и процессуального права. Дисс. . канд. юрид. наук. М., 1998. 187 с.
85. Копылов В.А. Информационное право: Учебное пособие. М.: Юристъ, 1997. 472 с.
86. Костюк В.Д. Нематериальные блага. Защита чести, достоинства и деловой репутации. М., 2002.
87. Котов Б.А. Юридический справочник руководителя. Тайна. - М.: «Издательство ПРИОР», 1999. 128с.
88. Крапивин О.М., Власов В.И. Работодатель: права и обязанности / Под общ. ред. профессора С.И. Шкуро. М.: Норма, 2004. 400 с.
89. Лопатин В.Н. Информационная безопасность в системе государственного управления (теоретическме и организационно-правовые проблемы). Дисс. . канд. юрид. наук. СПб., 1997. 193с.
90. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности Российской Федерации (проект). - М.: Издание Государственной Думы, 1998. 159с.
91. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / Санкт-Петербургский университет МВД России. - СПб., 2000. 428 с.
92. Лопатин В.Н. Правовые основы информационной безопасности: Курс лекций, М.: МИФИ, 2000. 355 с.
93. Люшер Ф. Конституционная защита прав и свобод личности. М., 1993.
94. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информацию в автоматизированных системах. М.: Горячая линия-Телеком, 2001. - 148с.
95. Матвеева А.А. Преступления в сфере компьютерной информации. / Курс уголовного права. Том 4. Особенная часть / Под ред. доктора юридических наук, профессора Г.Н. Борзенкова и доктора юридических наук, профессора B.C. Комиссарова. М., 2002. 543 с.
96. Мелик-Гайказян И.В. Информационные процессы и реальность. М., 1997.
97. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика. 1997. 368с.
98. Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции: Учебное пособие. М.: МИФИ, 1995. 112 с.
99. Наумов В.Б. Право в Интернете: Очерки теории и практики. М.: Книжный дом «Университет», 2002. 135 с.
100. Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка: 80 000 слов и фразеологических выражений / Российская академия наук. Институт русского языка им. В.В. Виноградова. 4-е издание, дополненное. М.: Азбуковник, 1999. 944 с.
101. Организация и современные методы защиты информации (под общей редакцией Диева С.А., Шаваева А.Г.)- М., Концерн «Банковский Деловой Центр». 1998. 472с.
102. Осипенко A.JI. Борьба с преступностью в глобальных компьютерных сетях: Международный опыт: Монография. М., 2004. 432 с.
103. Основы информационной безопасности: Учебник / В.А. Минаев, С.В. Скрыль, А.П. Фисун, В.Е. Потанин, С.В. Дворянкин. Воронеж: Воронежский институт МВД России, 2000. - 464с.
104. Пожилых В.А. Организационно-правовые особенности защиты информации в автоматизированных информационных системах органов внутренних дел. Автореф. дисс. . канд. юрид. наук. Воронеж, 2003. 21 с.
105. Право и информационная безопасность // Под общ. ред. доктора юрид. наук, профессора Е. Н. Щендригина. В 2-х кн. Кн.1. Орел: ОрЮи МВД РФ, 2000. 143.
106. Преступления в сфере компьютерной информации: Квалификация и доказывание: Учебное пособие / Под ред. Ю. В. Гаврилина. М., 2003.
107. Расследование неправомерного доступа к компьютерной информации / Под ред. Н. Г. Шурухнова. М., 1999.
108. Рассолов М.М. Информационное право: Учебное пособие. М.: Юристъ, 1999. 400с.
109. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М., 2003.
110. Симкин JI.C. Программы для ЭВМ: правовая охрана (правовые средства против компьютерного пиратства). - М.: издательство «Городец», 1998. 208с.
111. Смолькова И. В. Тайна: понятие, виды, правовая защита: Юридический терминологический словарь - комментарий. М., 1998. 79с.
112. Снытников А.А., Туманов JI.B. Обеспечение и защита права на информацию. М.: Городец - издат, 2001. 344с.
113. Стельмах Н.Н. Практическое пособие по налогообложению доходов индивидуальных предпринимателей. -М.: «Статус-Кво 97», 2002.
114. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. -М.: ИНФРА-М, 2001. 304с.
115. Фатьянов А. А. Правовое обеспечение безопасности информации. Дисс. док. юрид. наук. -М., 1999. 503 с.
116. Фатьянов А.А. Правовое обеспечение безопасности информации в РФ. Учебное пособие. -М., 2001. 412 с.
117. Фисун А.П., Касилов А.Н. Мешков А.Г. Информатика и информационная безопасность: Учебное пособие. // Под общей редакцией к.т.н., доцента Фисуна А.П. Орел: ОГУ, 1999. 282с.
118. Федотова О.А. Административная ответственность в сфере обеспечения информационной безопасности. Дисс. . канд. юрид. наук. - М., 2003. 195 с.
119. Черешкин Д.С., Антопольский А.Б. Кононов А.А., Смолян Г.Л., Цы-гичко В.Н. Защита информационных ресурсов в условиях развития мировых открытых сетей. М., 1997. 75с.
120. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики) Учебное пособие / Под ред. доктора юридических наук, профессора М.М. Рассолова. М., 2004. 252 с.
121. Шиверский А.А. Защита информации: проблемы теории и практики. -М.: Юристъ, 1996. 112с.
122. Шевердяев С. Информационные отношения и система информационного законодательства. М., 1999.
123. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. М.: Финансы и статистика. 1985. 224с.
124. Энтин М.Л. Международные гарантии прав человека. Опыт Совета Европы. М., 1997.
125. Эределевский A.M. Моральный вред и компенсация за страдания. М. БЕК. 1997.
126. Grande С. Plan to fight moves on long-term eOmail records//Financial Times. 2001.29 June.
127. Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 21-22.
128. Regulation of Investigatory Powers Act 2000.
129. See Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 8, 24.
130. Tareg al Baho v. Marc Fermigier, Hans Hermann, and Francoise Vireux, Tribunal Correctionnel de Paris, 2000.
131. The Washington Post Company: http://www.newsbvtes.eom/news/01/166216.html; BBC: http://news.bbc.co.uk/hi/english/world/europe/newsid 1325000/1325186.stm.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.
Дипломная работа На тему: «Защита персональных данных в информационной системе организации МКУ «Молодежный центр» МО Кореновский район
Тема данной работы чрезвычайно актуальна в наше время, а все потому, что в нашем XXI веке появляется все больше инноваций и способностей владения компьютером. Возможностей взлома систем появляется все больше и чаще. Как известно, создание информационных систем (ИС) повышает производительность труда любой организации (предприятия), с любой формой собственности. Пользователи данной системы могут быстро получать данные, необходимые для выполнения их служебных обязанностей.
Но несмотря на многие плюсы от производства компьютеров, существует и множество минусов. Самой распространенной проблемой на сегодняшний день является то, что злоумышленники с легкостью могут получить доступ к вашим персональным данным. Обладая доступом к различным базам данных (БД), злоумышленники могут использовать их для вымогания денег, других ценных сведений, материальных ценностей и прочего.
Защита персональных данных является актуальной темой в нашей стране, поскольку законодательная база существует не так уж и много. Но не все специалисты, которые работают на предприятии, знают, как защитить систему своего компьютера, поэтому на специалистов по информационной безопасности ложиться не только ответственность за безопасность информационной системы, но и система обучения персонала. Целью работы, в настоящее время, является защита персональных данных, которая стоит на первом месте. Чаще всего злоумышленников интересуют сведения, хранящиеся в БД государственных структур, таких как МВД, ФСБ и прочих, а также подконтрольных им организациям, таким как учреждения здравоохранения, образования. Всё чаще в СМИ появляются статьи, на тему популярных SMSмошенничеств. А ведь получив доступ к БД какой-нибудь медицинской организации, злоумышленник может шантажировать больного, либо его родственников, либо испортить ему репутацию.
Поэтому, задачей данной дипломной работы, является разработка комплексной системы безопасности персональных данных в Отделе по делам молодежи города Кореновска, задачей которой является не только разработать, но и внедрить систему защиты персональных данных, а так же подробно составить пути решения для защиты информационных систем персональных данных и рассчитать затраченные средства на установку и защиту персональных данных от злоумышленников.
Предметом исследования моей работы стала защита персональных данных в МКУ «Молодёжный центр» Методом исследования стало Разработка и внедрение мер по защите персональных данных в МКУ «Молодежный центр»
Учреждение МКУ «Молодёжный центр» занимается разработкой, организацией молодежных проектов, создает условия и формы поддержки молодёжных идей и инициатив, а так же помощь ветеранам Великой Отечественной Войны и малоимущим. Сотрудничает с образовательными учреждениями Кореновского района и т. д.
В ходе изучения данной организации было установлено, что незащищенность персональных данных в данной организации проблема довольна большая, а так же на всех персональных компьютерах не установлены антивирусные программы, криптографические методы защиты информации, базы данных находятся в свободном доступе для всех сотрудников комитета без уровней доступа.
Было решено установить программу создания VPN, которая представляет собой объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных
В ходе работы была произведена покупка межсетевого экрана cisco asa, антивирусника web+Kaspersky, программы devicelock которая предназначена для защиты и устранения утечки информации, xspider-программа позволяет сканировать и искать уязвимости.
Так как задачей работы являлось не только создать, но и внедрить защищенную систему персональных данных, то в ходе работы была разработана защищенная локальная сеть организации МКУ «Молодежный центр» МО Кореновский район, по которой в защищенных каналах циркулирует информация относящаяся к персональным данным, так же предложены программные и аппаратные средства защиты. В частности была предложена базовая политика безопасности для защиты от несанкционированного доступа к критически важным ресурсам. В ходе внедрения, вся информация остается защищенной и доступ к ней имеет только каждый специалист Молодежного центра, под личным паролем и контролем, а так же начальник отдела, так как он имеет доступ просматривать данные со своего компьютера, при этом не пользуясь компьютером специалистов, что стало намного безопаснее и удобнее.
Автореферат диссертации по теме "Защита персональных данных"
ВОРОНЕЖСКИЙ ИНСТИТУТ МВД РОССИИ
На правах рукописи
ПРОСВЕТОВ А ОЛЬГА БОРИСОВНА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Специальность: 05.13.19 - Методы и системы защиты
информации, информационная безопасность (юридические науки)
Воронеж 2005
Диссертация выполнена на кафедре конституционного и админттра-тивного права Воронежского института МВД России
Научный руководитель;
кандидат юридических наук, доцент Занина Татьяна Митрофановна
Официальные оппоненты:
доктор юридических наук, профессор - Лелеков Виктор Андреевич
кандидат юридических наук, доцент - Головко Владимир Владимирович
Ведущая организация - Белгородский юридический институт МВД России
Защита диссертации состоится « 26 » 04 2005г, в 15ч. ООмин., в аудитории №329 на заседании диссертационного совета К! 203 004 01 при Воронежском институте МВД России по адресу: 394065, Воронеж, просп. Патриотов, 53.
С диссертацией можно ознакомится в библиотеке Воронежского института МВД России.
Ученый секретарь диссертационного совета
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы диссертационного исследования Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению зашиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Феде-
ральный закон «Об информации, информатизации и защите информации»", а также Федеральный закон «Об участии в международном информационном обмене»2. Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.
Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном аналше и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера
Исходя из вышеизложенного, исследование в данном направтении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.
Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема зашиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных ра5от, посвященных информационной безопасности, защите информации тишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации
В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных
2 СЗ РФ, 08.07.1996, №28, ст 3347.
данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.
Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В А. Копыловым, В.Н. Лопатиным, В А Пожилых, М.М. Рассоловым, А.А Фатьяновым, M А Федотовым, O.A. Федотовой, С.Г. Чубуковой, А.А Шиверским, В.Д Элькиным и др.
Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л Балыбердина, M А. Вуса, В А Герасименко, А А. Грушо, C.B. Дворянкина, П.Д. Зегжды, Е.В Касперского, В.Д. Курушина, А А Малю-ка, В.А Минаева, В.Е. Потанина, В.Н. Саблина, C.B. Скрыля, А.П. Фисуна и ряда других ученых.
Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения склад1 тающиеся в процессе правового регулирования обеспечения защиты персональных данных.
Цель и задачи исследования Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.
В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи.
1) рассмотреть актуальные проблемы конституционно-правовою регулирования персональных данных на современном этапе;
2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить ре-
комендации по их реализации и совершенствованию с учетом имеющегося международного опыта;
1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктри-нального понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».
2. Разработанный автором исчерпывающий перечень ка!егорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и фажданина.
не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.
4. Вывод о том, что защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобра-зующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления-«Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ» а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций
6 Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и
функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах зашиты прав граждан
Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персоналтныч данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной иаж-ной для общества и государства области общественных отношений.
Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые мо1ут быть использованы ирг отработке понятийного аппарат нормативно-правовых актов в сфере зашиты персональных данных.
Теоретические и практические выводы диссертационного исследования, ее содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.
Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 пл. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.
Во введении обосновывается актуальность темы, определяются объект и предмет, а также цели и задачи исследования, раскрываются его методология и методика, характеризуются эмпирическая база, обоснованность и достоверность исследования, его научная новизна, теоретическая и практическая значимость, сформулированы основные положения, выносимые на защиту, приводятся данные об апробации результатов исследования.
Первая глава - «Конституционно-правовое регулирование персональных данных» - посвящена исходным теоретическим положениям о персональных данных, которые установлены Конституцией РФ, международными правовыми актами и нормативно-правовыми актами РФ, регулирующими изучаемую сферу отношений.
Конституция Российской Федерации, принятая на всеобщем референдуме 12 декабря 1993 года стала основным шагом для создания дгмо кратического правового государства в нашей стране, где особой защитой должны пользоваться права и свободы человека и гражданина Закрепленные в основном законе России положения свидетельствуют о решительном отказе от тоталитарного подхода к проблеме «человек - государство», при котором государство берется за решение наиболее важных вопросов жизнеобеспечения, а человек превращается в винтик большой государственной машины.
Новая российская государственность радикально меняет отношения личности и государства. Не человек создан для государства, а государство для человека - таков теперь главный принцип их отношений. Приоритет человека перед государством позволяет осознавать место человека в гражданском обществе. Это место не определяется государством, оно неотъемлемо принадлежит человеку и реализуется в меру его способностей и инициативы. Так, содержание главы 2 Конституции РФ подчинено кпавному принципу права и свободы человека и гражданина являются высшей ценность государства. Отсюда следует, что все ветви власти, все звенья государственного механизма служат основной цели" обеспечению прав и свобод человека и гражданина, защите его правового статуса
Первооснову правового статуса человека и гражданина составляют личные (гражданские) права и свободы. Большинство из них носят абсолютный характер, т.е. являются не только неотъемлемыми, но и не подлежащими ограничению (право на жизнь, на национальную принадлежность, свобода совести и вероисповедания и тд.) Часть таких прав и свобод (на-
пример, право на защиту персональных данных) могут быть ограничены государством, в силу чего их правовая защита приобретает особую актуальность и значимость.
Всеобщая декларация прав человека (ст. 12) провозгласила, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от таких посягательств»1. Данное право также закреплено в ст. 17 Международного пакта о гражданских и политических правах4, в ст. 16 Конвенции о правах ребенка5, в ст. 8 Европейской конвенции о защите прав человека и основных свобод"".
Положения указанных выше международных правовых актов нашли свое конкретизированное отражение в нормах статей 23 и 24 Конституции РФ, где закреплено право на неприкосновенность частной жизни. В свою очередь «частная жизнь», «личная, семейная тайны», «честь» являются важнейшими благами человека, персонифицирующими личность. Все это позволяет говорить о синтезирующем понятии «персональные данные», которое приводится в отдельных правовых актах, но до настоящего времени подробно не исследовалось.
По мнению автора, несмотря на уже имеющееся законодательное определение персональных данных, на основе проведенного исследования дефиницию «персональные данные» необходимо изложить в следующей редакции - это сведения о фактах событиях и обстоите тьствах жизни конкретного физического лица или его семьи, а также птвочяющие отождествить их с конкретным индивидом и отражающие особенности последнего по отношению к другим людям (обществу)
В исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным) включить следующие данные: фамилия, имя, отчество (если иное не вытекает из закона или национального обычая) человека; дата и место рождения, иные данные свидетельства о рождении, пол; гражданство; национальность; отношение к воинской обязанности; адрес места жительства (регистрации); адрес места пребывания; семейное положение (наличие или отсутствие дс-
3 Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.
4 Ведомости Верховного Совета СССР, 1976, № 17(1831), ст 291.
5 Издание Организации Объединенных Наций - Нью-Йорк, 1992
тей (также усыновленных или внебрачных), данные о ранее заключенных и расторгнутых браках, алиментных отношениях); состав семьи; профессиональная деятельность родителей; имущественное положение родителей и самого гражданина; сведения о доходах; информация о жилище (размер и вид собственности занимаемого жилья): номер контактного телефона (домашнего, рабочего, мобильного); номер электронной почты: профессиональная деятельность гражданина (должность); место работы; данные паспорта или иного документа, удостоверяющего личность (серия и номер, орган, выдавший документ, дата выдачи документа); данные дипломов об окончании учебных заведений, получении ученых степеней, званий и др; дактилоскопическая информация и сведения о генотипе; медицинская информация о личности; информация об особенностях половой жизни гражданина и его половой ориентации; сведения о политических взглядах и религиозных убеждениях; информация о местах посещения и отдыха гражданина или его семьи; содержание личных разговоров; сведения о наличии неснятой судимости или случаях привлечения к юридической ответственности; государственный номер находящихся в собственности транспортных средств, водительский стаж; личный код; информация для предоставления льгот по оплате жилищно-коммунальных услуг; идентификационный номер налогоплательщика (при его наличии); сведения об индивидуальном предпринимателе: ИНН; свидетельство о предпринимательской деятельности; виды деятельности; наличие лицензии; номера открытых в банках счетов; место осуществления деятельности и телефоны; иные (в частности, описание личности, которое предусматривает- 1 Рост; 2 Цвет глаз; 3. Особые приметы).
Учитывая всю сложность работы с персональными данными, автором сформулированы следующие требования- персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства; персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме, за исключением случаев, прямо установленных в законе; персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации; персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться; персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подле-
жать уничтожению по достижении этой цели или по минованию надобности; персональные данные охраняются в режиме конфиденциальной информации, исключающем их случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к данным, их изменение, блокирование или передачу, для лиц, занимающих высшие государственные должности, и кандидатов на эти должности, может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.
За нарушение установленных требований и норм о персональных данных должна наступать юридическая ответственность эквивалентная совершенному правонарушению. Стоит отметить, что в этом направлении уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня, однако, в совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства.
Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие системности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения
Стоит сказать, что совокупность правовых институтов, регулирующих отношения в сфере оборота конфиденциальной информации, в настоящий период времени находятся в стадии формирования. Не в полной мере устоялось и доктринальное понимание многих аспектов данных отношений Тем не менее, можно предположить, что через непродолжительный промежуток времени, по мере развития законодательства, потребуется разработка целой системы составов правонарушений, специализированных на защите именно этих отношений. В особенности, как полагает автор, это будет касаться персональных данных.
Вместе с тем, уже имеющийся в КоАП РФ состав правонарушения «Нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», являющийся своего рода предвестником для появления новой системы, по мнению автора, не в полной мере отражает реальное положение вещей в данной сфере. В связи с этим автором предложена собственная редакция ст 13.11 КоАП РФ.
Следует констатировать, что имеющиеся существенные недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих вышеуказанные отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.
По мнению автора, проблема установления юридической ответственности за нарушение норм о персональных данных не является единственной в данной сфере, одним из основных недостатков является то, что нормы, касающиеся регулирования отношений, связанных с конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких нормативно-правовых актах.
В Федеральном законе «Об информации, информатизации и защите информации» дано определение термина «персональные данные» и заложены основные принципы правового регулирования деятельности, связанной с персональными данными. В частности, статьей! I этого Закона такие данные отнесены к конфиденциальной информации, вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных Но эти нормы носят общий характер и до сих пор не конкретизированы
Вопросы правового регулирования работы с персональными данными затронуты в Основах законодательства Российской Федерации «Об Архивном фонде Российской Федерации и архивах» (ст.20). Федеральном законе «Об оперативно-розыскной деятельности» (ст.ст.З, 5, 9, 10, 12, 21), законах Российской Федерации «О государственной тайне» (ст.5), «О средствах массовой информации» (ст.ст.41, 43, 46, 51, 57), «О милиции», законодательстве о выборах и др. Однако все эти нормативно-правовые ак-
ты не находятся во взаимосвязи между собой при регулировании вопросов защиты конфиденциальной информации персонального характера.
Защита конфиденциальной информации персонального характера с помощью кодифицированных источников находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять Федеральные законы «О неприкосновенности частной жизни», «Об информации персонального характера», «О личном (персональном} коде», «О государственном регистре населения». Помимо принятия указанных законов, парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
Резюмируя сказанное, отметим, что Федеральный закон «Об информации персонального характера» должен дать правовую основу для развития нормативной правовой базы, обеспечивающей формирование, использование и защиту массивов персональных данных в стране, где приоритетами будут считаться:
а) защита персональных данных лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных органов и служб, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным;
б) обеспечение сохранности, целостности и достоверности данных на основе:
Установления режима конфиденциальности соответствующих персональных данных;
Регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными;
в) обеспечение в условиях развития рыночных отношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности, на основе прямого маркетинга.
Вторая глава - «Обеспечение информационных процессов в сфере персональных данных» - посвящена современным технико-правовым средствам осуществления информационных процессов в обеспечении оборота персональных данных.
Проблема защиты права личности на конфиденциальность информации персонального характера с развитием передовых технологий рассматривается в индустриально развитых государствах как одна из наиболее трудноразрешимых, так как здесь законодатель сталкивается с задачей установления оптимального соотношения между интересами личности и общества.
Регулирование данных интересов осуществляется в рамках информационных процессов, которые определяются нормативно-правовыми актами государства. На сегодняшний день в нормативно-правовых актах Российской Федерации даже простое перечисление существующих информационных процессов дается законодательством неоднозначно.
Так, согласно ч. 4 ст. 29 Конституции РФ каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. В соответствии со ст. 2 Федерального закона «Об информации...»" информационные процессы определены, как процессы сбора, обработки, накопления, хранения, поиска и распространения информации. В Федеральном законе от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» под информационными процессами понимаются процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации*.
Сопоставление и анализ приведенных определений свидетельствует, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, те. в нормативно-правовых актах поиятия информационных процессов не соотносятся друг с другом Следовательно, необходимо их упорядочивание.
В контексте рассматриваемого вопроса приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах, особенно если используются автоматизированные системы. И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации»4 к категории конфиденциальной информации.
7 СЗ РФ от 20 февраля 1995 г., № 8, ст.609. " СЗ РФ от 8 июля 1996 г. № 28, ст. 3347. 9 СЗ РФ от 20 февраля 1995 г., № 8, ст.609.
По мнению автора, в понятие «автоматическая обработка персональных данных» должны быть включены следующие операции, если они noi-ностью или частично осуществляются с применением автоматизированных средств: накопление данных, выделение их по отдельным блокам содержащейся информации, проведение логических или/и арифметических операций с такими данными, их анализ, изменение, стирание, восстановление, подготовка для использования или распространения. Как представляет, данное определение должно быть включено в действующие федеральные законы «Об информации, информатизации и защите информации», «О Государственной автоматизированной системе Российской Федерации «Выборы»"0, а также в проекты федеральных законов «О неприкосновенности частной жизни», «Об информации персонального характера», «О личном (персональном) коде», «О государственном регистре населения».
Особо значимой является проблема регулирования порядка автоматической обработки персональных данных применительно к развивающимся глобальным компьютерным сетям, где наибольший интерес, несомненно, представляет сеть Интернет, на данный момент прочно занимающая положение главной мировой информационной инфраструктуры.
В этой связи автор предлагает на сайте поместить заметное и понятное по смыслу описание порядка использования информации владельцем сайга, а также обеспечить программным способом невозможность доступа посетителя к содержанию сайта без нажатия кнопки, подтверждающей согласие посетителя на сбор и использование информации. Сайт, собирающий информацию, не только должен получить согласие лица на сбор информации о нем, но и создать определенные условия ее хранения. Как минимум, должна обеспечиваться сохранность полученной информации и ее конфиденциальность, а субъект информации должен иметь возможность проверить соблюдение оговоренных правил.
Для того, чтобы облегчить посетителям оценку сайта с точки зрения сохранения конфиденциальной информации, предлагаем ввести специальные сертификаты, которые может получить только сайт, соблюдающий на практике определенные правила обращения с получаемой конфиденциальной информацией персонального характера (на сайте в этом случае размещается особый логотип такого сертификата).
Но даже соблюдение отправителем и адресатом сообщения всех установленных правил обращения с персональными данными еще не обеспе-
чивает сохранения их конфиденциальности. В связи с этим выбор Интернета в качестве средства передачи конфиденциальной информации является достаточно ответственным. К сожалению, одним из аспектов рассматриваемой проблемы является то, что современное законодательство пока не предусматривает эффективных средств обеспечения сохранности такой информации лицами, которым она становится доступной в процессе передачи.
Другим аспектом выступает не сформированность в государстве современной инфраструктуры обшей информатизации и, в частности, сферы персональных данных, способной удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Как представляется, для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
Другим важным аспектом является установление режима общедоступной информации персонального характера, хранящейся в автоматизированных базах данных. Режим конфиденциальности персональных данных может быть снят в случаях обезличивания персональных данных или по желанию субъекта для его персональных данных, в том числе может быть установлен режим общедоступной информации - в биобиблиографических справочниках, телефонных книгах, адресных книгах, частных объявлениях и тд. В этих случаях в общедоступные базы данных могут включаться следующие установочные персональные данные: фамилия, имя, отчество, год и место рождения, адрес местожительства и работы, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников. В последнем случае, держатель должен проинформировать субъекта о содержании его персональных данных, об источниках получения и цели использования. Персональные данные конкретного субъекта безотлагательно должны исключаться держателем персональных данных из общедоступной базы данных на основании распоряжения этого субъекта или решения полномочною государственного органа, в случаях, указанных в законе.
Кроме задач технического решения по накоплению, хранению и управлению информационными ресурсами, содержащими персональные данные, большое значение должно придаваться вопросам применения и обновления действующих в этой области нормативных актов. Наиболее социально острой проблемой в области правового регулирования информатизации является защита прав личности в условиях накопления и хранения персональных данных с использованием ЭВМ.
Обращение к международному опыту в рассматриваемом контексте свидетельствует, что для зарубежного законодательства очевидна одна тенденция: составы собственно компьютерных преступлений (Действия против только охраняемой компьютерной информации) либо просто отсутствуют, либо существуют наряду с традиционными составами (мошенничество, выдача государственной тайны, собирание и распространение персональных данных). Последние либо предусматривают самостоятельный состав, который выступает как специальный по отношению к общему (тому же мошенничеству), либо находятся в той же статье в качестве квалифицированного состава.
В этом отношении применение соответствующих положений УК РФ 1996 г. является более сложным. Практика применения существующих составов весьма невелика, что позволяет утверждать о практических сложностях квалификации деяний и об отсутствии дополнительных норм в УК РФ, которые корреспондировали бы как со статьями КоАП РФ, так и иными нормами федерального законодательства.
Еще одним важным аспектом в обеспечении информационных процессов в сфере персональных данных является регулирование процесса распространения конфиденциальной информации персонального характера. Распространение представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, в связи с чем решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.
Следует учитывать то, что на сегодняшний день в законе или иных нормативно-правовых актах не раскрыто правовое содержание понятия «распространение сведений», под которым автор предлагает понимать опубликование сведений в печати, трансляцию по радио и телевидеопрограммам, демонстрацию в кинохроникапьных программах и других средствах массовой информации, изложение в судебных характеристиках, публичных выступлениях, заявлениях, адресованных должностным лицам.
или сооби/ение в иной, в том числе устной форме нескольким или хотя бы одному лицу.
Для полного, всестороннего и объективного понимания проблемы ее необходимо рассматривать с позиции определения способов распространения персональных данных. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В этой связи особую озабоченность вызывает возрастающая популярность глобальной сети Интернет. Учитывая пробелы правового регулирования Сети, они должны быть устранены в новом информационном законодательстве.
В заключении диссертации излагаются основные теоретические выводы и практические предложения, вытекающие из результатов исследования.
2. Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.
3 Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере за-
щиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.
4. Имеющиеся в нормативно-правовых актах определения составляющие понятие «информационных процессов» свидетельствуют, что в законодательстве отсутствует системность в понятийном аппарате, в связи с чем автором предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Также предлагается раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Учитывая пробелы правового регулирования Интернета, автор предлагает в новом информационном законодательстве отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий и др.
Таким образом, проведенное диссертационное исследование позволило отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества
В приложении к диссертации представлены анкета, изучения мнения сотрудников правоохранительных органов, в ф>нкциональные обязанности которых входит работа с персональными данными, а также результаты аналитического исследования.
Основные положения диссертационного исследования нашли свое отражение в четырех научных статьях и учебном пособии общим объемом 5,8 п.л.
1. Просветова ОБ, Рымарева НВ Информационная безопасность и современные информационные технологии // IV Всероссийская научно-практическая конференция «Охрана, безопасность и связь»: Сборник материалов. Часть 2. - Воронеж: Воронежский институт МВД России, 2003. - 0,23 п.л. (в соавторстве).
2 Просветова О.Б. Конституционное регулирование правовых средств защиты персональных данных // Всероссийская научно-
практическая конференция «Современные проблемы борьбы с преступностью»: Сборник материалов. - Воронеж: ВИ МВД РФ, 2004. (Информационная безопасность в деятельности органов внутренних дел) - 0, 23 п.л.
3. Занина ТМ., Просветова О.Б. Административная ответственность в сфере защиты конфиденциальной информации персонального характера// Вестник Воронежского института МВД России. - Т. 4 (19). - Воронеж: Воронежский институт МВД России, 2004. - 0,2 п.л.. (в соавторстве).
4. Просветова О Б Правовое регулирование персональных данных// Вестник Воронежского института МВД России. - Т. 4 (19). -Воронеж: Воронежский институт МВД России, 2004. - 0,2. п.л.
5. Просветова О Б, Федотов И.С Персональные данные: Учебное * пособие. - Воронеж: Воронежский институт МВД России, 2004. -
Просветова Ольга Борисовна Корректор
Усл. печ. л. 1,21 Подписано в печать 21,03.2005г. Уч. -изд. л. 1,07
Тираж 100 экз._Заказ № 5"?
Типография Воронежского института МВД России 394065, Воронеж, просп. Патриотов, 53.
РНБ Русский фонд
Введение.
Глава 1. Конституционно-правовое регулирование персональных данных
1. Конституционная защита персональных данных.
2. Юридическая ответственность за нарушение норм о персональных данных.
3. Систематизация законодательства о персональных данных.
Глава 2. Обеспечение информационных процессов в сфере персональных данных
1. Регулирование порядка автоматизированного сбора и обработки персональных данных.
2. Технико-правовое обеспечение накопления и хранения персональных данных.
3. Распространение персональных данных.
Введение 2005 год, диссертация по информатике, вычислительной технике и управлению, Просветова, Ольга Борисовна
Актуальность темы исследования. Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.
Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей «персональные данные».
Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.
Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.
Представляемое диссертационное исследование посвящено анализу правовых аспектов, обеспечивающих защиту конфиденциальной информации персонального характера. В связи с этим следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации»1, а также Федеis ральный закон «Об участии в международном информационном обмене» . Однако при этом процесс формирования комплексной правовой системы защиты персональных данных не может считаться завершенным, вследствие чего еще предстоит рассмотреть и принять значительное число проектов новых законов, а также дополнений и изменений в действующее законодательство.
Учитывая тот фактор, что в отечественной системе права отсутствует демократический опыт защиты отношений в сфере персональных данных с помощью правовых средств, а также в связи с существенной трансформацией задач и функций государства в сравнении с социалистическим периодом времени, возникла необходимость в научном анализе и осмыслении возможностей юридической науки по обеспечению защиты конфиденциальной информации персонального характера.
Оценка возможностей законодательства по оказанию позитивного воздействия на состояние системы обеспечения защиты персональных данных до настоящего времени юридической наукой практически не исследовалась, хотя, по мнению автора, здесь открываются довольно широкие возможности.
1 СЗ РФ, 20.02.95, №8, ст.609.
2 СЗ РФ, 08.07.1996, №28, ст.3347.
Исходя из вышеизложенного, исследование в данном направлении является весьма актуальным с научной точки зрения, а также может иметь практическое преломление в случае принятия сформулированных автором проектов и предложений при дальнейшем совершенствовании правовых норм.
Степень разработанности темы исследования. Изучение значительного количества источников юридической и технической литературы позволяет констатировать, что проблема защиты персональных данных является малоизученной, в связи с чем нуждается в отдельной проработке. Значительное количество научных работ, посвященных информационной безопасности, защите информации лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации.
В представляемом исследовании в определенной степени произошло соединение доктринальных подходов в изучении защиты персональных данных специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой. Автор диссертационного исследования опирался на достижения теории права и государства, а также на научные результаты, полученные представителями технических наук, занимающимися проблемами обеспечения информационной безопасности и защиты информации.
Теоретические проблемы информационного права, правового обеспечения информационной безопасности и защиты информации исследовались И.Л. Бачило, В.А. Копыловым, В.Н. Лопатиным, В.А. Пожилых, М.М. Рассо-ловым, А.А. Фатьяновым, М.А. Федотовым, О.А. Федотовой, С.Г. Чубуко-вой, А.А. Шиверским, В.Д. Элькиным и др.
Проблемы функционирования системы обеспечения информационной безопасности с точки зрения технических наук нашли отражение в трудах А.Л. Балыбердина, М.А. Вуса, В.А. Герасименко, А.А. Грушо, С.В. Дворянкина, П.Д. Зегжды, Е.В. Касперского, В.Д. Курушина, А.А. Малюка, В.А. Минаева, В.Е. Потанина, В.Н. Саблина, С.В. Скрыля, А.П. Фисуна и ряда других ученых.
Вместе с тем, проблемы совершенствования защиты персональных данных предметом отдельного монографического исследования до сего времени не становились.
Объект и предмет исследования. В качестве объекта исследования в рамках темы рассмотрены общественные отношения, складывающиеся в процессе правового регулирования обеспечения защиты персональных данных.
Предметом исследования выступает совокупность правовых норм, регулирующих отношения в информационной сфере и, в частности, совокупность норм законодательства по обеспечению конфиденциальности персональных данных.
Цель и задачи исследования. Целью диссертационного исследования является выработка научно обоснованных предложений по разработке и совершенствованию законодательства, обеспечивающего защиту конфиденциальности персональных данных.
В рамках достижения данной цели в диссертационном исследовании решаются следующие теоретические и научно-практические задачи:
1) рассмотреть актуальные проблемы конституционно-правового регулирования персональных данных на современном этапе;
2) проанализировать статьи, устанавливающие юридическую ответственность за нарушение норм о персональных данных, и предложить рекомендации по их реализации и совершенствованию с учетом имеющегося международного опыта;
3) исследовать проблемы систематизации законодательства о персональных данных, учитывая как действующие законы, так и существующие проекты и предложения;
4) изучить технический опыт и нормативно-правовые акты, по регулированию порядка автоматизированного сбора и обработки персональных данных;
5) исследовать проблемы технико-правового обеспечения накопления и хранения персональных данных;
6) раскрыть с позиции имеющихся современных возможностей процесс распространения персональных данных для разработки рекомендаций и совершенствования норм по их защите.
Методологическая и источниковедческая основы исследования. Методологическую основу исследования составляет диалектический метод познания, исторический, системный, комплексный, целевой подходы к изучаемой проблеме, а также специальные методы познания: формальнологический, формально-юридический, сравнительно-правовой, а также методы абстрагирования, аналогии и моделирования.
В ходе работы автором диссертации проанализированы следующие источники: Конституция Российской Федерации, международные правовые акты, административное, гражданское, уголовное законодательство, подзаконные акты федерального уровня, а также иной юридический и технический материал.
Положения, выносимые на защиту:
1. Исследованные и предложенные автором, имеющие научно-методологическое значение для развития и совершенствования доктриналь-ного понимания проблемы, определения категорий «персональные данные», «информационные процессы», «автоматическая обработка персональных данных», «распространение сведений».
2. Разработанный автором исчерпывающий перечень категорий сведений, относимых к конфиденциальной информации о гражданах (персональным данным). Формирование данного перечня является одним из ключевых моментов в создании правовой основы, обеспечивающей защиту персональных данных. Это следует из того, что отечественный правоприменитель, не сталкивавшийся ранее с категорией «персональные данные» и не обладая вековой традицией формирования и реализации законодательства через призму обеспечения прав и свобод человека и гражданина, не может обеспечить комплексную защиту персональных данных, исходя только лишь из абстрактных определений.
3. Обоснование положения о том, что нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
4. Вывод о том, что защита конфиденциальной информации персо- . нального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, предложенных автором исследования, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
5. Предложения по новой редакции статей 13.11 КоАП РФ, 137 УК РФ, о дополнении главы 28 УК РФ следующим составом преступления: «Нарушение установленного порядка оборота конфиденциальных сведений о гражданах (персональных данных) с применением ЭВМ», а также некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ. Указанные предложения могут быть положены в основу формирования системы защиты конфиденциальной информации персонального характера, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, посредством юридических санкций.
6. Заключение о том, что в государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
7. Рекомендации по урегулированию порядка распространения персональных данных, учитывая происходящий в обществе процесс информатизации. В этой связи особое внимание уделено возрастающей популярности глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
Научная новизна исследования. Диссертация является первой монографической работой, в которой с позиций соединенных доктринальных подходов в изучении персонифицированной информации специалистами в области технических наук с одной стороны, и специалистами в области юридических наук с другой исследованы проблемы защиты персональных данных. Автором анализируются теоретические положения в сфере конституционно-правового регулирования персональных данных, критически анализируется состояние норм, затрагивающих отношения в данной важной для общества и государства области общественных отношений.
Теоретическая и практическая значимость результатов исследования. В соответствии с поставленными целью и задачами все выводы и положения, являющиеся результатом проведенного исследования, подчинены идее использования их при разработке нового и совершенствовании действующего законодательства и построения эффективной системы обеспечения защиты персональных данных.
Автор предлагает свое видение в определении понятия персональные данные, исходя из которого следует разрабатывать комплекс мер по обеспечению защиты конфиденциальной информации персонального характера с использованием юридических норм. В данном исследовании выработаны предложения и рекомендации, которые могут быть использованы при отработке понятийного аппарата нормативно-правовых актов в сфере защиты персональных данных.
Автором предлагается изложить в новой редакции два действующих состава КоАП РФ и УК РФ, дополнить составом главу 28 УК РФ, а также внести некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ и иные федеральные законы, что в комплексе позволит определенным образом повысить уровень обеспечения защиты персональных данных с помощью юридических санкций. Помимо этого предложены нормативно-правовые акты в целях систематизации законодательства о сведениях персонального характера.
Теоретические и практические выводы диссертационного исследования, его содержательная часть могут быть использованы в системе высшего профессионального образования юридического профиля, повышения квалификации сотрудников правоохранительных органов и специалистов в области обеспечения защиты персональных данных.
Эмпирическую базу исследования составили анализ изучения результатов анкетирования 120 сотрудников правоохранительных органов из двадцати субъектов России, из которых три республики, три края, тринадцать областей и один город федерального значения (г. Москва), а также результаты изучения 50 материалов гражданских дел, затрагивающих сферу частной жизни.
Апробация работы и внедрение результатов исследования. Основные положения диссертации докладывались и обсуждались на кафедре конституционного и административного права Воронежского института МВД России, на практических занятиях с адъюнктами очной формы обучения, на IV Всероссийской научно-практической конференции «Охрана, безопасность и связь» (г. Воронеж, 2003 г.), на Всероссийской научно-практической конференции курсантов, адъюнктов и слушателей «Современные проблемы борьбы с преступностью» (г. Воронеж, 2004 г.).
Материалы диссертационного исследования опубликованы в четырех научных статьях и учебном пособии, общий объем публикаций составил 5,8 п.л. Разработанные на основе диссертационного исследования методические рекомендации внедрены в практическую деятельность УООП ГУВД Воронежской области, а также в учебный процесс Воронежского института МВД РФ.
Структура диссертации. Диссертация состоит из введения, двух глав (включающих 6 параграфов), заключения, списка использованной литературы и приложения.
Заключение диссертация на тему "Защита персональных данных"
Обобщая ранее изложенное, отметим основные выводы по диссертации.
1. В настоящее время в России нормы, касающиеся вопросов регулирования конфиденциальной информацией персонального характера, не систематизированы и содержатся только в нескольких федеральных законах. Однако их наличие не решает тех проблем, которые возникают на сегодняшний день в рассматриваемой сфере, так как нормы носят общий, декларативный характер, в связи с чем подлежат дальнейшему развитию и конкретизации.
2. Защита конфиденциальной информации персонального характера находится на достаточно низком уровне, что в общем и целом характеризует несостоятельность действующей системы нормативно-правовых актов, в связи с чем в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными, в силу чего необходимо принять ряд системаобразующих законов, при этом парламентариям необходимо рассмотреть положения, касающиеся дополнения, изменения или установления норм в действующем законодательстве.
Учитывая важность развития правовой основы в сфере работы с персональными данными, а также необходимость внесения коррективов в действующем законодательстве, автором предложено свое концептуальное видение данной проблемы, сформулирован ряд нормативно-правовых актов, восполняющих возникший пробел и позволяющих сформировать систему норм, обеспечивающих защиту отношений в рассматриваемой сфере посредством как регулирующих норм, норм-дефиниций, так и юридических санкций.
3. В совокупности юридическая ответственность за нарушение норм о персональных данных далека от своего совершенства, однако, уже достаточно много сделано в рамках Трудового кодекса, Гражданского кодекса, Кодекса об административных правонарушениях, Уголовного кодекса и других нормативно-правовых актов федерального уровня.
Основным недостатком существующей юридической ответственности за нарушение норм о персональных данных является отсутствие взаимосвязанности между различными сферами оборота персональных данных. Среди других недостатков следует выделить, во-первых, отсутствие комплексности в обеспечении юридической ответственности за нарушение норм о персональных данных, а целый ряд норм вообще представляет собой отдельные фрагменты указанной деятельности, системно между собой не связанные, во-вторых, в нормативно-правовых актах отсутствует системный подход в регулировании отношений, связанных с защитой персональных данных посредством юридических санкций; в-третьих, наличие существенных недостатков в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения.
Следует констатировать, что имеющиеся недостатки в юридико-техническом конструировании самих составов правонарушений, затрагивающих исследуемые отношения, в ряде случаев существенно снижают эффективность их применения. В иных случаях их содержание оказывается более узким либо вообще отличается от названия соответствующих статей.
В силу сказанного автором сформулирован ряд составов правонарушений, позволяющих устранить вышеуказанные недостатки в сфере защиты персональных данных. Среди исследованных составов можно выделить собственную редакцию статей 13.11 КоАП РФ, 137 УК РФ, новую статью, дополняющую главу 28 УК РФ, а также автором предложены некоторые изменения и дополнения в отдельные статьи ТК РФ, ГК РФ, УК РФ.
4. Имеющиеся в нормативно-правовых актах определения информационных процессов свидетельствуют, что в законодательстве (да и в научной литературе) отсутствует системность в понятийном аппарате, т.е. понятия информационных процессов не соотносятся друг с другом.
В контексте рассматриваемого положения приходится признать, что в отечественном законодательстве практически полностью отсутствует правовое регулирование процессов сбора и обработки персональных данных о гражданах (особенно если используются автоматизированные системы). И это при том, что такие данные, включаемые в состав федеральных информационных ресурсов и информационных ресурсов субъектов Российской Федерации, а также получаемые и собираемые негосударственными организациями, отнесены Федеральным законом «Об информации, информатизации и защите информации» к категории конфиденциальной информации.
Следуя изложенному, в представленном исследовании предложено определение «автоматическая обработка персональных данных», включающее исчерпывающий перечень возможных операций с персональными данными. Данное определение, по мнению автора, должно быть включено как в действующие федеральные законы, так и в проекты законов, призванных регулировать сферу персональных данных.
5. В государстве еще не сформировалась современная инфраструктура общей информатизации и, в частности, сферы персональных данных, способная удовлетворить потребности заинтересованных субъектов в информационно-вычислительном обслуживании на требуемом уровне, не организованы информационные ресурсы персональных данных в системы баз данных. В негосударственном секторе, хотя информационные технологии и широко используются в различных сферах, это пока ни как не отразилось на обеспечении правомерного накопления и хранения персональных данных с использованием информационных технологий. Для решения существующей проблемы государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан.
6. Исходя из того, что распространение конфиденциальной информации персонального характера представляет более существенную общественную опасность для конкретных граждан, нежели иные отношения, свойственные информационным процессам, решение вопроса об урегулировании порядка распространения персональных данных более чем актуально в настоящее время и требует внимательного и скорейшего рассмотрения.
В этой связи автор предлагает раскрыть на федеральном уровне правовое содержание понятия «распространение сведений». Для полного, всестороннего и объективного понимания проблемы урегулированности распространения персональных данных, предлагается рассматривать ее с позиции определения способов распространения. Среди таковых следует выделить непосредственное и опосредованное распространение. Нисколько ни умаляя важность регулирования первого способа распространения конфиденциальной информации персонального характера, все же наибольший интерес в настоящее время представляет второй, что, прежде всего, обусловлено происходящим в обществе процессом информатизации. При этом от того, насколько остро в обществе преломляются технолого-социальные особенности передачи информации, зависит направленность правового регулирования отношений в данной области. В связи с этим особую озабоченность вызывает возрастающая популярность глобальной сети Интернет, на данный момент прочно занимающей положение главной мировой информационной инфраструктуры.
7. Учитывая пробелы правового регулирования Интернета, они должны быть устранены в новом информационном законодательстве. Наряду с законом, регулирующим государственную политику в Сети, следует принять рамочный закон об Интернете. В нем, как считает автор, необходимо: 1) отработать понятийный аппарат с привлечением соответствующих экспертов в области технических знаний для выработки четких законодательных понятий; 2) закрепить наиболее важные принципы «сетевых отношений»; 3) отразить специфику субъектного состава сетевых отношений; 4) установить правила информационного обмена в сети Интернет; 5) сформулировать ответственность участников сетевых отношений за нарушение закрепленных норм, а также предусмотреть способы доказывания и особенности рассмотрения «сетевых споров»; установить пределы ответственности каждого участника сетевых отношений.
В завершении хотелось бы отметить, что проблема защиты отношений, связанных с конфиденциальной информацией персонального характера, является комплексной, затрагивающей многие сферы жизни общества, в том числе материальные и процессуальные отрасли права. Прогресс в справедливом регулировании этих отношений не может быть достигнут без общего эволюционного движения в сознании людей по закреплению приоритетов интересов личности, ее прав и свобод как высшей ценности для государства и общества.
Библиография Просветова, Ольга Борисовна, диссертация по теме Методы и системы защиты информации, информационная безопасность
1. Конституция Российской Федерации М.: «Проспект», 2000. - 48с.
2. Всеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 г. // Права человека. Сб. международных документов. - М. Изд. МГУ. 1986. С. 21-29.
3. Европейская конвенция о защите прав человека и основных свобод // Собрание законодательства РФ, 2001, 8 января, №2, ст. 163.
4. Конвенция о правах ребенка // Издание Организации Объединенных Наций Нью-Йорк, 1992.
5. Международный пакт о гражданских и политических правах // Ведомости Верховного Совета СССР, 1976, № 17(1831), ст. 291.
6. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 17.12.1999) // Собрание законодательства РФ, 29.01.1996, №5, ст. 410.
7. Кодекс об административных правонарушениях. Кодексы Российской Федерации: Выпуск 2. М.: МНФРА - М, 2002. - 283с.
9. Семейный кодекс Российской Федерации. М.: Ассоциация авторов и издателей «ТАНДЕМ». Издательство «ЭКМОС», 2002. 96 с.
10. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ // СЗ РФ от 7 января 2002 г. № 1 (часть I) ст. 3.
11. Уголовный кодекс РФ от 13 июня 1996 г. № 63-Ф3 // СЗ РФ от 17 июня 1996 г. № 25 ст. 2954.
12. Уголовно-процессуальный кодекс Российской Федерации // Российская газета, 2001,22 декабря.
13. Доктрина информационной безопасности Российской Федерации» от 9 сентября 2000 г. утв. Президентом РФ № ПР 1895. // Российская газета, №187, от 28 сентября 2000 г.
14. Федеральный закон от 20.02.95 г. №24-ФЗ «Об информации, информатизации и защите информации» // СЗ РФ 20.02.95, №8, ст.609.
15. Федеральный закон РФ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» // СЗ РФ. 1995. № 17. Ст. 1455.
16. Федеральный закон РФ от 12.08.95г. №144-ФЗ (ред. 30.12.99.) «Об оперативно-розыскной деятельности» // СЗ РФ 14.08.95, №33, ст.3349.
17. Федеральный закон от 3.04.95 г. №40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации» // Российская газета. 1995, 12 апреля.
19. Федеральный закон от 9 августа 1995 г. №129 ФЗ «О почтовой связи» // СЗ РФ. 1995, №33, ст.3334.
20. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» // СЗ РФ, 08.07.1996, №28, ст.3347.
21. Федеральный закон от 26.09.97 г. № 125-ФЗ «О свободе совести и о религиозных объединениях» // СЗ РФ, 1997, № 39, ст. 4465.
22. Федеральный закон РФ от 25.07.98 г. №128-ФЗ «О государственной дактилоскопической регистрации в РФ» // Российская газета, 1998, №145.
23. Федеральный закон от 30.03.99 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» // СЗ РФ, 1999, № 14, ст. 1650.
24. Федеральный закон от 18.06.01 г. № 77-ФЗ «О предупреждении распространения туберкулеза в Российской Федерации» // СЗ РФ, 2001, № 26, ст. 2581.
25. Федеральный закон от 25.04.02 г. № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств» // СЗ РФ от 6 мая 2002 г., № 18, ст. 1720.
26. Федеральный закон от 10.01.03 г. № 20-ФЗ «О Государственной автоматизированной системе Российской Федерации «Выборы» // СЗ РФ от 13 января 2003 г. № 2 ст. 172.
27. ЗО.Закон Российской Федерации «О милиции» от 18.04.91 г. №1026-1 // Ведомости Съезда народных депутатов и Верховного Совета РСФСР, 18.04.91. №16, ст.503.
28. Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» // Российская газета, 1993, 21 сентября.34.3акон Воронежской области от 13 января 1998 г. № 28-Н-ОЗ «Об информатизации Воронежской области».
29. Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» // СЗ РФ 1997, №10, ст. 1127.
30. Постановление Правительства РФ от 14.03.97 г. № 298 «Об утверждении образцов и описания бланков основных документов, удостоверяющих личность гражданина Российской Федерации за пределами Российской Федерации» // СЗ РФ от 24 марта 1997 г. № 12, ст. 1435.
31. Постановление Администрации Воронежской области от 6 сентября 1999 г. № 886 «О внедрении системы защиты информационных ресурсов Воронежской области».
32. Комментарий к Закону РФ «О средствах массовой информации» М.: Га-лерия, 2001.
33. Комментарий к Закону Российской Федерации «О милиции» / Ю.П. Соловей, В.В. Черников. Издание второе, переработанное и дополненное. М.: «Проспект», 2001.
34. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В. М. Лебедев. М., 2001.
35. Комментарий к «Закону о СМИ». Под ред. В.Н. Монахова. М., 2001.
36. Комментарий к Налоговому кодексу Российской Федерации для торговых организаций / М.Ю. Ракитина, O.JI. Арутюнова, С.В. Шарова М.: Изда-тельско-консультационная компания «Статус-Кво 97», 2003.
37. Комментарий к Трудовому кодексу Российской Федерации (под ред. К.Н. Гусова) М.: ООО «ТК Велби», ООО «Издательство Проспект», 2003.
38. Комментарий к Гражданскому кодексу Российской Федерации, части второй / Под ред. проф. Т.Е.Абовой и А.Ю.Кабалкина; Ин-т государства и права РАН. М.: Юрайт-Издат; Право и закон, 2003. - 976 с.
39. Научно-практический комментарий к Конституции Российской Федерации / Отв. ред. В.В. Лазарев // Электронная версия для справочной правовой системы «Гарант» по состоянию на 1 октября 2004 г.1. МОНОГРАФИИ И СТАТЬИ
40. Агапов А.Б. Проблемы правовой регламентации информационных отношений в Российской Федерации // Государство и право, 1993, №4. С. 125130.
41. Аносов В.Д., Стрельцов А.А. О доктрине информационной безопасности РФ (проект) // Информационной общество, 1997, № 2, 3.
42. Архипов А.В. Информационная защита объекта- задача многогранная. // Конфидент. №1-2.1999. С.30-31.
43. Бачило И.Л. Правовое регулирование процессов информатизации // Государство и право 1994, №12. С.72-80.
44. Бойко Б.Б. Комплексный подход к обеспечению информационной безопасности. // Межрегиональная конференция «Информационная безопасность регионов России», Санкт-Петербург, 13-15 октября 1999г.: конференции. Части 1и 2. СПб., 1999.- С.38-39.
45. Волков С., Булычев В. Защита деловой репутации от порочащих сведений // Российская юстиция, 2003, №8. С. 51.
46. Волчинская Е.К. О направлениях развития законодательства в сфере обращения информации / Аналитическая записка, 1998, август. С.24-32.
47. Гиляров Е.М., Янина Е.В. Информация как объект правового регулирования //Безопасность информационных технологий. 2001, №3. С.5-10.
48. Гостев И. М. Защита персональных данных и сведений о частной жизни граждан. // Конфидент. № 3. 1999. С. 13.
49. Гросс Г. Украли очень личное // Computerworld, 2003, №35.
50. Жуков И.А., Леонов Т.Е. Комплексная защита информации в сетях передачи данных органов внутренних дел / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. М., 1998. С. 112-119.
51. Калятин В.О. Персональные данные в Интернете // Журнал российского права, 2002, №5. С. 12.
52. Кирин В.И. Зарубежный опыт законодательной практики использования технических средств / Компьютерные технологии и управление органами внутренних дел. Труды Академии управления. М., 2000. С.181-187.
53. Климова Ю. Как пресечь распространение компромата в виртуальном мире // Российская юстиция, 2001, № 12. С. 48-50.
54. Копылов А.В. Защита информации в помещениях и технических каналах горрайорганов внутренних дел / Организационно-технические, математические и правовые аспекты информации деятельности органов внутренних дел. Труды Академии управления. М., 2001. С.49-57.
55. Костенко М.Ю. Налоговая тайна и другие виды конфиденциальной информации // Ваш налоговый адвокат, 2001, №2.
56. Крылов В. В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. № 3.
57. Маршани М.Б. Имеет ли право врач разглашать наши тайны // Безопасность информационных технологий. 2001, №3. С.52-54.
58. Погуляева Е. Не болтай! // «эж-ЮРИСТ», 2003, № 43.
59. Полупанов В. Чем лечат это секрет // Аргументы и факты, 2002, №7. С.24.
60. Сабынин В.Н. Организация работ по обеспечению безопасности информации в фирме// Информост. 2001, №18. С.56-58.
61. Степанов О.А. Сущность юридического режима регулирования информационно-электронных отношений в Российской Федерации / Информационно-техническое обеспечение деятельности органов внутренних дел. Труды Академии управления. - М., 1998. С.50-59.
62. Степанюк Л. Какие гарантии защиты персональных данных работников установлены ТК РФ? // Финансовая газета. Региональный выпуск, 2003, №37.
63. Тибенко К.А. Некоторые аспекты правового обеспечения информационной безопасности // Безопасность информационных технологий. 2001, №3. С.63-69.
64. Фатьянов А.А. Тайна и право (основные системы ограничения на доступ к информации в российском праве): Монография. - М.: МИФИ, 1999. 288 с.
65. Французова Л. Личные данные работников // Кадровое дело, 2003, № 4.
66. Ходорыч А. Расколотая база // Коммерсант деньги. 2001, №7. С. 13-20.
67. Ходорыч А. «На каждый роток не накинешь платок» // Коммерсант деньги. 2001, №7. С.21.
68. Чекулаев Р.А. Обеспечение информационной безопасности как новая функция частных охранных и сыскных структур // Безопасность информационных технологий. 2001, №3. С.76-79.
69. Шляхтина С. Интернет в цифрах и фактах (http://www/compress.ru/Article.asp.id=4205).
70. УЧЕБНИКИ, УЧЕБНЫЕ ПОСОБИЯ, ЛЕКЦИИ, ДИССЕРТАЦИИ,1. АВТОРЕФЕРАТЫ
71. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. М., 1999.
72. Бачило И.Л., Лопатин В.Н. Федотов М.А. Информационное право: Учебник / Под ред. акад. РАН Б.Н. Топорнина. СПб.: Издательский центр Пресс, 2001.789 с.
73. Бородин С.В. Постатейный Комментарий к Уголовному кодексу РФ 1996г. / Под ред. А.В. Наумова М.: «Гардарика», Фонд «Правовая культура», 1996.
74. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. Н.Г. Шурухнова. М.: Книжный мир, 2001. 88 с.
75. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М.: МИФИ, 1995. 96 с.
76. Герасименко В.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997. 537с.
77. Гомьен Д., Харрис Д., Зваак JI. Европейская конвенция о правах человека и Европейская социальная хартия: право и практика». М., 1998.
78. Грачев Г.В. Информационно-психологическая безопасность личности: состояние, возможности психологической защиты. М.: Изд. РАГС, 1998. 125с.
79. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. Серия «Информатизация России на пороге 21 века».- М.: СИНТЕГ, 1999. 232 с.
80. Домарев В.В. Защита информации и безопасность компьютерных систем. Киев: Издат-во: ДиаСофт. 1999. 480с.
81. Карелина М.М. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В.М. Лебедев. М.: Юрайт-М, 2001.
82. Ковалев В.И. Комментарий к Трудовому кодексу Российской Федерации о материальной ответственности работников М.: За право военнослужащих, 2003.
83. Компьютерные террористы: Новейшие технологии на службе преступного мира. / Автор-составитель Т.И. Ревяко. Мн.: Литература, 1997. -640с.
84. Кондратьева C.J1. Юридическая ответственность: соотношение норм материального и процессуального права. Дисс. . канд. юрид. наук. М., 1998. 187 с.
85. Копылов В.А. Информационное право: Учебное пособие. М.: Юристъ, 1997. 472 с.
86. Костюк В.Д. Нематериальные блага. Защита чести, достоинства и деловой репутации. М., 2002.
87. Котов Б.А. Юридический справочник руководителя. Тайна. - М.: «Издательство ПРИОР», 1999. 128с.
88. Крапивин О.М., Власов В.И. Работодатель: права и обязанности / Под общ. ред. профессора С.И. Шкуро. М.: Норма, 2004. 400 с.
89. Лопатин В.Н. Информационная безопасность в системе государственного управления (теоретическме и организационно-правовые проблемы). Дисс. . канд. юрид. наук. СПб., 1997. 193с.
90. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности Российской Федерации (проект). - М.: Издание Государственной Думы, 1998. 159с.
91. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / Санкт-Петербургский университет МВД России. - СПб., 2000. 428 с.
92. Лопатин В.Н. Правовые основы информационной безопасности: Курс лекций, М.: МИФИ, 2000. 355 с.
93. Люшер Ф. Конституционная защита прав и свобод личности. М., 1993.
94. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информацию в автоматизированных системах. М.: Горячая линия-Телеком, 2001. - 148с.
95. Матвеева А.А. Преступления в сфере компьютерной информации. / Курс уголовного права. Том 4. Особенная часть / Под ред. доктора юридических наук, профессора Г.Н. Борзенкова и доктора юридических наук, профессора B.C. Комиссарова. М., 2002. 543 с.
96. Мелик-Гайказян И.В. Информационные процессы и реальность. М., 1997.
97. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика. 1997. 368с.
98. Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции: Учебное пособие. М.: МИФИ, 1995. 112 с.
99. Наумов В.Б. Право в Интернете: Очерки теории и практики. М.: Книжный дом «Университет», 2002. 135 с.
100. Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка: 80 000 слов и фразеологических выражений / Российская академия наук. Институт русского языка им. В.В. Виноградова. 4-е издание, дополненное. М.: Азбуковник, 1999. 944 с.
101. Организация и современные методы защиты информации (под общей редакцией Диева С.А., Шаваева А.Г.)- М., Концерн «Банковский Деловой Центр». 1998. 472с.
102. Осипенко A.JI. Борьба с преступностью в глобальных компьютерных сетях: Международный опыт: Монография. М., 2004. 432 с.
103. Основы информационной безопасности: Учебник / В.А. Минаев, С.В. Скрыль, А.П. Фисун, В.Е. Потанин, С.В. Дворянкин. Воронеж: Воронежский институт МВД России, 2000. - 464с.
104. Пожилых В.А. Организационно-правовые особенности защиты информации в автоматизированных информационных системах органов внутренних дел. Автореф. дисс. . канд. юрид. наук. Воронеж, 2003. 21 с.
105. Право и информационная безопасность // Под общ. ред. доктора юрид. наук, профессора Е. Н. Щендригина. В 2-х кн. Кн.1. Орел: ОрЮи МВД РФ, 2000. 143.
106. Преступления в сфере компьютерной информации: Квалификация и доказывание: Учебное пособие / Под ред. Ю. В. Гаврилина. М., 2003.
107. Расследование неправомерного доступа к компьютерной информации / Под ред. Н. Г. Шурухнова. М., 1999.
108. Рассолов М.М. Информационное право: Учебное пособие. М.: Юристъ, 1999. 400с.
109. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М., 2003.
110. Симкин JI.C. Программы для ЭВМ: правовая охрана (правовые средства против компьютерного пиратства). - М.: издательство «Городец», 1998. 208с.
111. Смолькова И. В. Тайна: понятие, виды, правовая защита: Юридический терминологический словарь - комментарий. М., 1998. 79с.
112. Снытников А.А., Туманов JI.B. Обеспечение и защита права на информацию. М.: Городец - издат, 2001. 344с.
113. Стельмах Н.Н. Практическое пособие по налогообложению доходов индивидуальных предпринимателей. -М.: «Статус-Кво 97», 2002.
114. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. -М.: ИНФРА-М, 2001. 304с.
115. Фатьянов А. А. Правовое обеспечение безопасности информации. Дисс. док. юрид. наук. -М., 1999. 503 с.
116. Фатьянов А.А. Правовое обеспечение безопасности информации в РФ. Учебное пособие. -М., 2001. 412 с.
117. Фисун А.П., Касилов А.Н. Мешков А.Г. Информатика и информационная безопасность: Учебное пособие. // Под общей редакцией к.т.н., доцента Фисуна А.П. Орел: ОГУ, 1999. 282с.
118. Федотова О.А. Административная ответственность в сфере обеспечения информационной безопасности. Дисс. . канд. юрид. наук. - М., 2003. 195 с.
119. Черешкин Д.С., Антопольский А.Б. Кононов А.А., Смолян Г.Л., Цы-гичко В.Н. Защита информационных ресурсов в условиях развития мировых открытых сетей. М., 1997. 75с.
120. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики) Учебное пособие / Под ред. доктора юридических наук, профессора М.М. Рассолова. М., 2004. 252 с.
121. Шиверский А.А. Защита информации: проблемы теории и практики. -М.: Юристъ, 1996. 112с.
122. Шевердяев С. Информационные отношения и система информационного законодательства. М., 1999.
123. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. М.: Финансы и статистика. 1985. 224с.
124. Энтин М.Л. Международные гарантии прав человека. Опыт Совета Европы. М., 1997.
125. Эределевский A.M. Моральный вред и компенсация за страдания. М. БЕК. 1997.
126. Grande С. Plan to fight moves on long-term eOmail records//Financial Times. 2001.29 June.
127. Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 21-22.
128. Regulation of Investigatory Powers Act 2000.
129. See Case-law concerning Article 10 of the European Convention on Human Rights. Directorate General of Human Rights. Strasbourg. 2000. P. 8, 24.
130. Tareg al Baho v. Marc Fermigier, Hans Hermann, and Francoise Vireux, Tribunal Correctionnel de Paris, 2000.
131. The Washington Post Company: http://www.newsbvtes.eom/news/01/166216.html; BBC: http://news.bbc.co.uk/hi/english/world/europe/newsid 1325000/1325186.stm.
.jpg "Из цифры в ноты: лучший портативный ЦАП Большое в малом")