Содержание к диссертации
Введение
Глава 1 Понятие персональных данных и их обработка в информационных системах 12
1.1 Классификация информационных ресурсов, содержащих персональные данные 12
1.2 Обзор основных моделей безопасности 17
1.3 Существующие технические решения в области обработки персональных данных 27
Выводы по главе ...47
Глава 2. Разработка обобщённой модели обработки информации персонального характера в системах управления базами данных 49
2.1 Определение поля угроз и средств их реализации для информации, содержащей персональные данные 49
2.2 Расширение классических моделей безопасности для обработки персональных данных 55
2.3 Организационно-правовые основы обработки персональных данных 68
Выводы по главе 97
Глава 3. Разработка и анализ эффективности информационной системы обработки персональных данных отделения пенсионного фонда 99
3.1 Требования к разрабатываемому программному обеспечению 99
3.2 Классификация разработанной информационной системы в стандартах информационной безопасности 108
3.3 Описание программных модулей и результатов стендовых испытаний информационной системы 111
3.4 Модель оценки ущерба персональным данным 122
Выводы по главе 147
Заключение 149
Приложение 1 реляционная модель субд пенсионного фонда 151
- Существующие технические решения в области обработки персональных данных
- Расширение классических моделей безопасности для обработки персональных данных
- Классификация разработанной информационной системы в стандартах информационной безопасности
- Описание программных модулей и результатов стендовых испытаний информационной системы
Введение к работе
Конец XX века перевёл понятие «информационное общество» со страниц монографий [1],[2] и учебников в повседневную реальность. Экономический потенциал общества и, следовательно, его благосостояние определяется уже не только и не столько богатством природных, материальных ресурсов и традиционной промышленной базой, сколько наличием развитой системы информационной индустрии. Вместе с тем наблюдается бурный рост хранилищ такого специфического вида информации, как персональные данные о гражданах. Информация накапливается как в структурированных источниках, таких как системы управления базами и банками данных, реестры, картотеки, так и в неструктурированных массивах гипертекстовых страниц Web-серверов сети Интернет, лог-файлах провайдеров и т.д.
Наряду с другими видами конфиденциальной информации, такими как государственная, коммерческая и служебная тайна персональные данные о гражданах становятся одним из объектов требующих специфических механизмов обработки.
В Доктрине информационной безопасности Российской Федерации [3] одной из существенных угроз национальным интересам страны в информационной сфере названа угроза «противодействуя], в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений».
Россия, как и другие страны «Большой восьмерки» в Окинавской Хартии Глобального информационного общества, одной из задач ставит «развитие эффективного и значимого механизма защиты личной жизни потребителя, а так же защиты личной жизни при обработке личных данных, обеспечивая при этом свободный поток информации» [4].
В тоже время, в современной научной литературе не существует законченных рекомендаций по созданию и функционированию эффективных
моделей для систем обработки персональных данных в распределённых сетях и базах данных, отсутствуют чёткие правовые и готовые технические решения данной проблемы.
С другой стороны, в нашей стране в настоящее время идёт процесс активного внедрения информационных безбумажных технологий в деятельность организаций, традиционно располагающих значительными массивами чувствительных персональных данных. В качестве примеров можно привести систему здравоохранения, социального страхования, пенсионного обеспечения, налоговую службу. Например, в работе [5], ставиться и успешно решается задача проектирования информационно-управленческих систем для лечебно-профилактических учреждений Министерства здравоохранения РФ, где одним из элементов информационного наполнения баз данных являются персональные данные пациентов клиники.
Отсутствие понимания качественного отличия информационных ресурсов, содержащих персональные данные от других видов конфиденциальной информации, приводит к применению методов и систем обработки ориентированных в большей мере на обращение со сведениями содержащими государственную и коммерческую тайну.
В отличие от других видов информации персональные данные граждан тесно связаны с контекстом использования т.е. с обязанностью держателей массивов персональных данных обеспечить их обработку в соответствии с неким заранее заданным и согласованным с субъектом обработки конечным множеством задач. Данное ограничение определяет возникновение специфического поля угроз включающего в себя угрозы доступа и обработки не для заявленных целей, угрозы агрегирования персональных данных, угрозы доступа к ним по истечении сроков хранения и накопления персональных данных.
Соответственно, требуется разработка адекватных методов описания и реализации модели безопасности, ориентированной на защиту от такого рода угроз.
Поскольку держатели массивов персональных данных в качестве инструментальных средств хранения и обработки используют различные реализации реляционных баз данных, представляется крайне важным определить методы, учитывающие особенности обработки персональной информации именно в базах данных.
Пенсионный фонд Российской Федерации с переходом к системе персонифицированного учета становится одним из крупнейших государственных держателей массивов персональной информации. В региональных Отделениях фонда имеются структурные подразделения, ответственные за соблюдение режима защиты конфиденциальной информации, в том числе и данных о застрахованных лицах. Фонд активно использует в своей деятельности современные информационные технологии. В процессе формирования находится распределённая информационная система персонифицированного учёта, включающая данные на всех граждан страны когда либо занятых в трудовой деятельности. Данные факторы определили выбор регионального Отделения ПФР по Оренбургской области как площадки для практического внедрения результатов исследования.
Фундаментальной основой представляемого исследования послужили:
В области анализа моделей обработки информации и проектирования баз данных - работы А. А. Грушо, Е.Е Тимониной, A. R. Simon, Т. Коннолли, и т.д.
Принципы стандартизации правил обращения персональной информации в медицинских учреждениях, предложенные в работе R. Anderson.
В области программно-технических средств защиты информации в сложных системах методологической основой послужили труды В.А.
6 Герасименко, А.А. Малюка, П.Д. Зегжды, В. В. Мельникова S. Fischer-Hubner.
В использовании концепции открытых информационных систем труды Ю.В. Гуляева, А. Я. Олейникова и других учёных.
В области теории экспертного оценивания работы А.Н. Орлова, Н.Н. Китаєва, Ю. В. Сидельникова, Л.Г. Евланова, В.А. Кутузова и других учёных.
В правовой сфере - работы российских ученых В.А. Копылова, А.А. Фатьянова, И.Л. Бачило, Д.С. Черешкина, а так же современное зарубежное законодательство и анализ формирования правового института «прайвеси» в работе В.П. Иванского.
Целью работы является построение и анализ эффективности автоматизированной информационной системы, реализующей заданную политику обработки персональной информации, и оценка возможного ущерба при реализации угроз персональным данным.
Объект исследования: процессы обработки персональных данных граждан в информационных системах.
Предмет исследования: модели, реализующие заданную политику обработки персональных данных в информационной системе. Методики оценки рисков при реализации угроз информационной системе. Организационно- правовые аспекты обращения персональных данных граждан.
Были определены следующие задачи работы:
Анализ и классификация информационных ресурсов, содержащих персональные данные, программно-технических средств и методов обработки персональных данных в информационных системах.
Определение и систематизация поля угроз персональным данным.
Разработка модели, описывающей политику обработки персональных данных в информационной системе.
Разработка методики определения ущерба при реализации угроз персональным данным и оценка экономической эффективности внедрения предлагаемой системы.
Проектирование информационной системы с поддержкой политики обработки персональных данных и оценка показателей эффективности функционирования модуля поддержки политики обработки персональных данных.
Методы исследования. Для решения поставленных в работе задач использовались методы математической логики, теории множеств, теории формальных систем, теории конечных автоматов, теории экспертного оценивания, непараметрической статистики.
Научная новизна работы состоит в следующем:
Информационные процессы обработки персональных данных рассматривается в комплексе в качестве задача, включающая в себя правовые и технические аспекты.
Даётся классификация и рассматриваются существующие технические решения в области обработки персональных данных для держателей и субъектов данных.
Разработана классификация и систематизация угроз специфичных для персональных данных.
Предложена модель обработки персональных данных в информационной системе.
Даётся анализ эффективности политики обработки персональных данных и прогнозируется возможный ущерб при реализации угроз информационной системе.
Практическая значимость работы определяется возможностью использования предложенных методов для построения систем хранения и обработки персональных данных вне зависимости от ведомственной
принадлежности и направленности. К конкретным достигнутым результатам относятся:
Разработка и применение предложенных рекомендаций по организационной защите конечными держателями баз персональных данных.
Разработка программной реализации СУБД, обеспечивающей реализацию политики обработки персональных данных в среде Delphi 6.0/InterBase 6.5 для регионального Отделения Пенсионного фонда Российской Федерации.
Экспериментальная оценка эффективности программной реализации информационной системы в сетевой среде.
Предложена методика расчёта ущерба при реализации угроз персональным данным в информационных системах и получены количественные оценки эффективности внедрения разработанной системы.
Разработаны рекомендации по развитию правового регулирования обращения персональных данных в Российской Федерации.
Апробация работы. Теоретические и практические результаты работы обсуждались на всероссийской научно-практической конференции «Проблемы правового и организационно-технического обеспечения информационной безопасности России» г. Екатеринбург, 2001; на международной конференции «Градоформирующие технологии XXI века» (секция «Информационные технологии»); на межвузовских конференциях в г. Оренбурге в 2000-2002 гг.
Публикации. По теме диссертации опубликовано восемь печатных работ.
Объём и структура работы. Диссертация состоит из введения, трёх глав, заключения, приложений и библиографического списка литературы.
В первой главе анализируются формальные критерии позволяющие отнести определённую информацию к категории персональных данных. Показано, что такими критериями можно считать:
Идентифицируемость - возможность однозначного прямого или косвенного сопоставления некоторых данных определённому индивидууму;
Чувствительность - как степень индифферентности субъекта к распространению о себе информации определённого рода.
По признаку чувствительности выделены две группы информации персонального характера:
обычные (неделикатные) персонифицированные данные, к раскрытию и распространению которых субъект данных относится индифферентно;
чувствительные (деликатные) персонифицированные данные, циркуляцию которых субъект данных стремится ограничить. Именно эта категория информации получила название "персональные данные" и была квалифицирована как информация, несанкционированный доступ или ненадлежащее использование которой приводят к посягательствам на права частной жизни субъекта данных. Проводится классификация информации, содержащей персональные данные по различным основаниям. По признаку предметной области, к которой относятся персональные данные, выделен класс социальных данных, собираемых фондами социального страхования, и в частности, Пенсионным Фондом.
В разделе 1.2 проводится анализ существующих моделей безопасности информационных систем с точки зрения их применимости к описанию политики обработки персональной информации. Показано, что ни один из существующих в настоящее время видов моделей не удовлетворяет дополнительным требованиям, предъявляемым к системам обработки персональной информации, чем и была вызвана разработка формальной
модели, учитывающей требования норм права для информации персонального характера.
Существующие технические решения в области обработки персональных данных
Уровень корпоративной информационной системы. На данном уровне обеспечивается создание безопасной среды обработки персональных данных в рамках замкнутой корпоративной среды, например, медицинского учреждения, финансовой организации,
страховой компании, компании электронной коммерции и т.д. Такого рода система может быть выполнена в виде законченного решения, полностью обеспечивающего задачи обработки и анализа закрытой персональной информации. Альтернативным вариантом может быть применение middle-ware решений, которые интегрируются в существующие информационные системы с целью обеспечения соблюдения принципов защиты приватности. Как третий вариант можно рассматривать использование консультационных систем для анализа механизмов обработки персональной информации с целью модернизации существующего программного обеспечения под выполнение задач связанных, с обработкой персональных данных.
Решение первой группы предлагает компания Axiom (www.axiom.com). Программные продукты компании ориентированы на сферу электронного бизнеса, медицину, сектор финансовых услуг. Для медицинских учреждений система управления информацией о пациентах AbiliTec Customer Data Integration предлагает систему обобщения информации о пациентах, которая может в себя включать множество баз данных. Это позволяет отслеживать информацию о любом пациенте в реальном масштабе времени даже в случае, если пациент известен под различными именами. Программный модуль Solvitur позволяет осуществлять анализ и управление профилями пациентов. Хранилищем информации выступает InfoBase - база, специально предназначенная для безопасного хранения медицинской информации.
К системам посредникам можно отнести PrivacyRight TrustFilter . Ядро системы выполнено на основе Java-технологий и работает как посредник на уровне приложений. Программный комплекс состоит из двух компонентов.
Permissions Engine определяет политику доступа и обработки персональной информации, служит для разрешения выполнения конкретных запросов к информационным объектам, причем правила обработки могут гибко меняться, подстраиваясь под особенности законодательства разных стран. Для работы Permissions Engine не требуется изменения прикладного программного обеспечения.
Audit Server обеспечивает для системного администратора управление разрешениями на доступ. Данный компонент так же ведёт протоколирование действий, выполняемых подсистемой TrustFilter и тех запросов, которые были выполнены или отклонены. Авторизованным пользователям может быть представлен отчёт в виде агрегированной или детальной информации. Аудиту также подвержены изменения в политике обработки персональной информации и запросы аутентификации пользователей.
Данная система обеспечивает для субъектов персональных данных возможности: отслеживать политику сбора персональных данных; выбирать и настраивать политику использования; использовать внешний аудит для проверки соответствия заявленных правил реальной практике. Система PrivacyRight TrustFilter адаптирована для использования в сфере финансов, электронной коммерции, медицинского обслуживания. Для каждой из областей применения настроены предустановленные политики обработки персональной информации и сделаны некоторые изменения в базовом программном комплексе. Например, для финансового сектора политика обработки базируется на отраслевом кодексе США Code of Fair Information Practices. Предусмотрена интеграция с известными корпоративными системами, такими, как IMS, CICS, MQSeries, SAP R/3. Обеспечена полная запись действий любого пользователя системы. Добавлены возможность криптографической защиты информации и система управления рисками утраты информации. Для медицинских организаций используются американские стандарты Health Insurance Portability and Accountability Act (HIPAA) и Good Clinical Practice (GCP). Поддерживается обмен информацией по протоколам ANSI ASCxl2, ANSI HL7, XML. Основной акцент сделан на возможности обобщения информации о пациенте и на обеспечении конфиденциальности персональной информации. Для систем электронной коммерции модулем Permissions Engine for Е-Business пользователям обеспечивается интерактивный выбор политики использования персональной информации. Audit Server for E-Business контролирует передачу персональной информации третьей стороне и правила доступа к такого рода информации. Третья группа программ служит для анализа процессов сбора, хранения и обработки персональной информации в сложных корпоративных Internet -intranet системах. Современные Web-порталы могут насчитывать сотни тысяч гипертекстовых страниц, многие десятки интерактивных форм для сбора персональных данных. С точки зрения WatchFire Corporation (www.watchfire. com) основные угрозы для персональных данных, собираемых о пользователя, состоят в следующем: неавторизованный доступ к персональным данным для третьей стороны; утечка персональных данных с незащищенных страниц интерактивных форм; несанкционированный сбор информации о пользователе из лог-файлов, через cookies и web beacons. Система WebCPO позволяет значительно уменьшить риск утраты персональных данных за счёт помощи в оптимизации процессов сбора данных , их использования и возможной передаче третьей стороне. Web СРО автоматизирует процессы контроля, анализа создания отчётов, а так же выдаёт предупреждения а случае нарушения режима приватности. Система позволяет получать следующие виды отчётов: Архитектуре web-сайта - его совокупный объём, количество внешних и внутренних гипертекстовых ссылок, которые могут привести к утечке персональной информации. Сбор информации на web-сайте - перечисляет страницы, содержащие формы для сбора персональной информации. Указывает, связана ли страница, содержащая форму с политикой использования. Определяет уровень защиты страницы и потенциальную возможность утечки данных. Наличие и анализ связей с третьей стороной — показывает все ссылки на внешние сайты, как на потенциальные каналы утечек приватной информации. Средства поиска и анализа политик использования персональной информации. Отчеты формируют списки страниц содержащих графические метки цифровых удостоверений систем добровольной сертификации WebTrust, BBBOnline, TRUSTe, и соглашений об использовании персональной информации.
Мощным средством, объединяющим в себе возможности консультационных систем и систем посредников, можно считать разработку компании Zero-Knowledge Systems (www.zerokiiowledge.com). Программный продукт Enterprise Privacy Manager позиционируется как комплексное решение обеспечения безопасности персональной информации для предприятия. В него включаются несколько независимых модулей.
На первоначальном этапе политика обработки персональной информации переводится с естественного языка в наглядную схему, которая в дальнейшем описывается на языке Enterprise Privacy Markup Language (EPML) (подмножество спецификации XML). Описание на EPML используется в дальнейшем для взаимодействия с другими корпоративными приложениями.
Расширение классических моделей безопасности для обработки персональных данных
Во-вторых, поскольку система платная, при необходимости через банк можно установить реальное физическое лицо и полностью проследить его активность в сети Интернет. Тем более, если соучредителями таких сервисов выступают спецслужбы [35].
В-третьих, как было показано в работе Д. Мартина (D. Martin), А. Шульмана (A. Shulman) [36], существует множество атак, связанных с уязвимостью системы «санации» кода JavaScript, и возможностью «деанонимизации» пользователя, что уже используют спецслужбы США [37].
К средствам диагностики и блокирования можно отнести все последние версии персональных межсетевых экранов. Нужно сказать, что межсетевой экран, как в своё время и web-браузер, становится стандартным средством операционной системы [38]. Практически все современные персональные межсетевые экраны помимо традиционных функций фильтрации IP-трафика оснащены встроенной функцией блокирования cookies, Java -аплетов и других потенциально опасных элементов web-страниц. Например, продукт McAfee Internet Security 4.0 совмещает в себе функции антивирусной защиты, межсетевого экрана, средства обнаружения атак, блокирования cookies и рекламных баннеров, средства защиты файлов паролей и т.тд.
К средствам анализа безопасности пользователя при посещении web-ресурсов можно отнести программу BugNosis. Она позволяет в реальном времени отслеживать Web Bug (Web Beacons), встроенные в HTML страницы, определяя сопоставленные им cookies и сайты, на которых ведётся сбор статистики. Для определения субъектов сбора персональной информации в следующих версиях программы планируется поддержка стандарта РЗР.
Средства анонимного хранения информации в распределённой сети представлены проектом FreeNet. Данная система основанная на peero-peer технологиях [39], но с одним существенным отличием: в любой момент времени нет точной информации, где именно хранится определённый файл, поскольку вся информация постоянно перемещается между узлами, включенными в сеть.
Freenet является распределенной сетью, работающей на уровне приложения протокола TCP/IP, объединяющей компьютеры пользователей системы Freenet со всего мира в единый огромный виртуальный накопитель информации, который открыт для любого пользователя системы для сохранения и публикации любой информации. Freenet обладает: Высокой степенью надёжности. Все элементы системы полностью децентрализованы и анонимны, что делает практически невозможным взлом системы с целью уничтожения информации или захват управления системой. Приватностью. Технология Freenet в высшей степени затрудняет попытки кого бы то ни было проследить за тем, какого рода информацию хранит, просматривает или публикует пользователь. Безопасностью. Информация, хранимая в системе Freenet, криптогра фически защищена от подделок и фальсификации. Эффективностью. Freenet в зависимости от спроса на определённый ресурс, динамически реплицирует и перемещает информацию по сети, для обеспечения эффективного обслуживания и оптимизации пропускной способности информационных каналов. Важно что, Freenet обычно может найти документ за время log(n), где п является размером сети. 1. Показано, что отличительными признаками персональных данных можно считать свойства идентифицируемости и чувствительности. Первый признак однозначно соотносит определённую информацию с соответствующим субъектом, второй признак выявляет насколько индифферентно относится субъект к распространению о себе информации определённого рода. Таким образом, можно выделить несколько категорий персональных данных, требующих большей или меньшей степени защиты: обычная информация, чувствительная информация, высокочувствительная информация. 2. Основными обработчиками, накаливающими и обрабатывающими персональные данные, на сегодняшний день в России являются: государственные органы; финансовый сектор; системы электронной коммерции. По мере развития информационных систем наибольшее значение приобретает охрана персональных данных в структурированных источниках информации, таких как базы и банки данных. Проблема носит комплексный характер и может быть решена только в случае использования всей совокупности правовых, организационных и технических средств и методов. 3. Проанализированы и классифицированы все существующие на сегодняшний день модели защиты информации. Показано, что наиболее близким классом моделей, которые можно использовать для защиты персональной информации являются ролевые модели. 4. Проанализированы стандарты, ориентированные на защиту персональной информации в сети Интернет. Выявлены достоинства и недостатки применения стандарта РЗЗ для систем электронной коммерции. 5. Предложена исчерпывающая классификация всего спектра программно-технических решений в области защиты персональных данных. Показано что существует 2 класса решений: для корпоративного сектора и конечного пользователя. Причём решения ориентированные на обеспечение безопасности персональной информации в базах данных отсутствуют.
Классификация разработанной информационной системы в стандартах информационной безопасности
Следующие инварианты задают состояния ядра системы защиты базы данных, ориентированные на выполнение вышеизложенных принципов обработки персональной информации. Выполнение условий описанных в инвариантах, должно обеспечиваться в каждом состоянии системы. 1 .Текущая задача, выполняемая субъектом, должна быть авторизована для данного субъекта:V S;: S : CT(Sj) є AT(Sj). Если авторизованная задача определена для роли пользователя, то данное правило определяется для АДРольф)). 2. Текущая процедура преобразования должна быть авторизована для текущей выполняемой задачи (требование разрешённых процедур обработки, соответствующих целям сбора): V S;: S : CTP(Sj) є АТР( CT(Sj)). 3. Субъект обработки персональных данных может получить текущий доступ к объекту, содержащему персональные данные, если доступ для выполнения процедуры преобразования для данного класса необходим для выполнения текущей задачи (требование необходимости обработки): V SiiS, OJ:OP: (SbOj, х)єСА (CT(S;), Class(Oj ), CTP(Sj), x) є NA. 4. Субъект обработки персональных данных может получить текущий доступ к объекту, содержащему персональные данные, если доступ для данного объекта не истёк срок доступа (ограничение по времени обработки): V Sf.S, Oj-.OP: (Sj,Oj, х) є СА = (CT(Sj), Class(Oj ), TimeObj (Oj) , x) є NA. 5. Субъект может иметь текущий доступ к объектам, содержащим персональные данные, если цели выполнения текущей задачи совпадают с целями, для которых были получены персональные данные (требование соответствие целей сбора целям использования): V SiiS, OJ:OP: (SbOj, х) є СА = Т-Цель (СТ (Si)) є О-Цель (Class(Oj))v (Т-Цель( CT(Si)),Oj ) є С Должны быть так же заданы ограничения для процедур создания и удаления полей и записей, содержащих персональные данные. Эти ограничения вводятся в зависимости от последовательности совершаемых операций. В последующих выражениях символом обозначается новое состояние переменной. 1. Субъект может создавать поле или запись содержащие персональные данные, если это необходимо для выполнения его текущей задачи. (CT(subj), o-classk, CTP(subj), create) NA л Oj OP = Oj g OP v class (Oj) Ф o-classk 2. Субъект может удалить поле или запись содержащие персональные данные, если это необходимо для выполнения его текущей задачи. (CT(subj), Class(Oj), CTP(subj), delete) «e NA л Oj є OP = Oj є OP 3. Субъект может создавать поле или запись содержащие персональные данные, только если цели выполнения текущей задачи совпадают с целями для класса объектов o-class (принцип соответствия целей сбора целям использования персональных данных). Т-Цель (СТ (S;)) О-Цель (o-classk) л Oj OP = Oj е OP v class (Oj) Ф o-classk 4. Субъект может удалять поля или записи, содержащие персональные данные, только если цели текущей задачи совпадают с целями для данного класса объектов, или если существует ограничение для данного субъекта: Т-Цель (СТ (Si)) О-Цель (Class(Oj)) л (Т-Цель ( CT(Si)),Oj ) С л Oj є 0Р= Oj є OP ДЛЯ соблюдения принципов защиты персональных данных важным моментом является соответствие целей текущей обработки информации тем целям, для которых были получены обрабатываемые объекты. Однако возможна ситуация, когда существуют потоки информации, нарушающие данный основополагающий принцип. Например, субъект, выполняющий задачу Ть может считать объект О і и записать чувствительные данные в объект 02. Следствием этого может быть то, что другой субъект, выполняющий задание Т2 (с Т-Цель (AD)) может затем прочитать данные объекта 01, которые находятся в объекте 02, что может не соответствовать первоначальному набору целей. Предотвратить подобный переток информации можно при соблюдении следующего условия: В любом состоянии, если субъект Sj имеет одновременный доступ к чтению объекта Ol и к записи или добавлению в объект 02, то тогда О-Цель (class (О,)) з О-Цель (class (02)). Для соблюдения данного условия могут использоваться механизмы контроля за потоком информации через контроль доступа в базе данных и через программное удостоверение процедур трансформации. Данное условие может быть описано следующим О-Цель (class (Oj)) с Вхд-Цель (Si). Функции преобразования состояния, которые описывают все изменения переменных состояния, и определяют действия «разрешение на доступ к объекту», «создание объекта», «удаление объекта», «изменение текущей задачи», «выполнение процедуры преобразования», «завершение процедуры преобразования». Также требуются привилегированные функции для определения или изменения доступа к информационным объектам, таким, как задачи, цели обработки, авторизованные задачи для субъекта, авторизованные процедуры преобразования для задачи, класса объектов и его целей. Данные привилегированные задачи могут выполняться лишь администратором базы данных.
Однако, с целью разделения полномочий предлагается совместный доступ с администратором по защите персональных данных, в чьи обязанности входит обеспечение соблюдение интересов субъектов персональных данных. В роли такого администратора может выступать должностное лицо, отвечающее за сохранность персональных данных в конкретной организации. Например, в Германии в соответствии с законом о защите данных каждая организация, занимающаяся обработкой персональных данных, обязана иметь в штате сотрудника, отвечающего за защиту. Аналогичная норма содержится в Директиве ЕС. В обязанности «офицера по обеспечению приватности» могло бы входить определение общей политики использования персональных данных в организации, правил доступа и перечня процедур автоматизированной обработки и преобразования чувствительной информации. Администратор баз данных на основе определённой политики и разрешённых процедур преобразования данных задаёт конкретные разрешения на доступ для определённых пользователей.
Описание программных модулей и результатов стендовых испытаний информационной системы
Интеграция Российской Федерации в мировое и европейское экономическое пространство приводит к активизации усилий, направленных на приведение в соответствие нормативной базы в области защиты персональных к стандартам, принятым в Европе и во всём мире. Отсутствие на настоящее времени в России правовой основы защиты сдерживает процесс развития международной электронной торговли, препятствует полноценному вхождению страны в мировое информационное пространство. Практически все ученые, занимающиеся проблемами информационного права и правовыми аспектами информационной безопасности, сходятся во мнении о необходимости формирования специального законодательства по данной тематике [58], [59], [60].
Авторы справедливо указывают на неполноту и фрагментарность правового поля, неопределённость базовых положений и принципов регулирования обращения персональных данных.
Конституционной основой института защиты персональных данных в Российской Федерации являются ст. 23,24 Основного закона [61]. Часть 1 статьи 23 Конституции РФ гласит: "Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени". В свою очередь, часть 1 статьи 24 Конституции РФ устанавливает что "Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются". Это конституционное положение развивает принципы статьи 12 Всеобщей декларации прав человека, принятой 10 сентября 1948 года, и находится на уровне аналогичных положений Основного закона других стран.
К числу конституционных гарантий, предусматривающих защиту того или иного аспекта сферы частной жизни, можно также отнести часть 2 ст. 23 (право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений), ст. 25 (неприкосновенность жилища), часть 1 ст. 26 (право определять и указывать свою национальную принадлежность только на добровольной основе), часть 1 ст. 29 (гарантии свободы мысли и слова).
Право на неприкосновенность частной жизни и сохранение её тайны означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. В содержание названного права входит также охрана тайны всех тех сторон частной жизни, оглашение которых лицо по тем или иным причинам считает нежелательным (тайна завещания, усыновление, врачебные диагнозы, тайна денежного вклада, дневниковых записей, частных фотографий и пр.).
Охраняемая Конституцией РФ тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений органически связана с правом на неприкосновенность частной жизни, поскольку представляет собой форму контроля индивида за циркулированием его персональной информации.
На данный момент в Российской Федерации отсутствует специальное законодательство, конкретизирующее как саму базовую терминологию в данной области, так и определяющее исчерпывающий перечень, сведений относящихся к персональным данным.
В какой-то мере само понятие персональных данных определяется в ст. 2 Федерального закона «Об информации, информатизации и защите информации», где говориться, что персональные данные это «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» [62]. Данный закон относит персональные данные к конфиденциальной информации и определяет, что перечни персональных данных должны быть закреплены федеральным законом (ст. 11), устанавливает правовой режим лицензирования деятельности по обработке и предоставлению персональных данных (ст. И, 19), а в ст. 21, определяет что режим защиты в отношении персональных данных определяется федеральным законом.
Отдельные нормы, регулирующие порядок обращения персональных данных, встречаются и в других федеральных законах и подзаконных актах. Федеральным законом «Об основах государственной службы Российской Федерации»[63] в ст.8 и «О службе в таможенных органах Российской Федерации»[64] ст. 24 прямо запрещается сбор и внесение в личные дела (реестры) государственных служащих сведений об их политической, религиозной принадлежности и сбор конкретных фактов личной жизни. В ст. 5 Закона РФ "Об оперативно-розыскной деятельности" [65] устанавливается запрет органам (должностным лицам), осуществляющим оперативно-розыскную деятельность, без согласия граждан разглашать сведения, которые затрагивают неприкосновенность частной жизни, личную и семейную тайну, честь и доброе имя граждан, и которые стали известными в процессе проведения оперативно-розыскных мероприятий. Основы законодательства об архивном фонде устанавливают временное ограничение сроком в 75 лет на использование архивных документов сведений о личной жизни граждан (об их здоровье, семейных и интимных отношениях, имущественном положении) [66].
Наиболее проработанный механизм обращения специфических персональных данных заложен в принятый 30 декабря 2001 года Трудовой Кодекс РФ [67]. Глава 14 Кодекса закрепляет институт персональных данных работника. Согласно статье 85 «Персональные данные работника -информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника».
Несомненно, что на формирование норм права, изложенных в данной главе большое влияние оказало современное международное и европейское законодательство в области Data Protection. Многие положения главы соответствуют Директиве 46/95, Законам о защите персональной информации Франции, Германии. Практически все основополагающие принципы правового регулирования обращения персональных данных, определённые в Конвенции № 108 Совета Европы, нашли своё отражение в статье 86 Кодекса. Принцип законности и достоверности источников информации. Для персональных данных работника - это приоритетное получение информации от самого работника, получение персональной информации от третьих лиц возможно только в исключительных случаях и с письменного разрешения самого работника (ст. 86 п.З). Принцип соответствия целей сбора целям использования информации. Обработка персональных данных работника проводится только в целях, непосредственно связанных с содействием в выполнении трудовых функций, как-то: обучение и продвижение по службе, личная безопасность, содействие в трудоустройстве и т.д. Однако, действие данной нормы значительно ослаблено ссылкой на неопределённый перечень случаев обработки, связанных с «обеспечением соблюдения законов и иных нормативных правовых актов».
Согласно определению ст. 85 п. 2 «Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника». Представляется неудачным использование термина «комбинирование», вместо более традиционного термина «модификация» (см. например, ст.1 п. 7 Акта Великобритании «О защите баз данных»), Закон Федеративной республики Германия «Об охране данных» 3 разд.5: «Обработка есть накопление, модификация, передача, и аннулирование персональных данных.
