Лекция 2
353.50K

Лк_2_КИ_ее_защита

1. Лекция 2

Конфиденциальная информация
и общие принципы ее защиты

2.

Содержание лекции (рассматриваемые вопросы)
1. Ценность информации
2. Понятие о конфиденциальной информации и ее виды.
3. Коммерческая тайна.
4. Служебная и профессиональная тайна.
5. Персональные данные.
6. Общие понятия об интеллектуальном праве и его использование для защиты
конфиденциальной информации.

3.

Ценность информация: критерии и модели оценки
Ценность информация – базовое свойство, определяющее качество принимаемых на основе этой
информации решений; либо свойство, характеризующее потери владельца при реализации
определенной угрозы, выраженное в стоимостном, временном и или ином количественном
эквиваленте.
В любом подходе определения ценности информации обязательно должны присутствовать три
элемента: сама информация; субъект рецепции информации; цель, для которой информация
применяется.
Информация, имеющая ценность, разделяется на две категории:
техническая / технологическая: методы изготовления продукции; архитектура и реализация ПО;
организация производства; результаты исследований и испытаний; состав и качество продукции и
т.п.
экономическая: экономические (стоимостные) показатели; ключевые клиенты и контрагенты;
экономическая стратегия; ценообразование.
Критерий ценности информация (один из подходов определения): величина Iц, определяемая как
изменение вероятности достижения цели при получении данной информации.
Определяется соотношением:
Iц = lgp1 – lgp0 = lg(p1/p0),
где p0 – начальная вероятность достижения цели (т.е. вероятность достижения цели до получения
данной информации),
p1 – вероятность достижения цели после получения рассматриваемой информации.

4.

Ценность информация: критерии и модели оценки
Исходя из значения критерия ценности Iц возможны три случая:
1. Полученная информация не изменяет вероятности достижения цели: p1 = p0 → Iц = 0. В этом
случае полученная информация не имеет ценности – является информационным шумом.
2. Полученная информация уменьшает вероятность достижения цели: p1 < p0 → Iц < 0.
Полученная информация ухудшает процесс принятия решения, т. е. является дезинформацией.
3. Информация улучшает положения дела: p1 > p0 → Iц > 0. Такая информация относится к
полезной (ценной) информации.
Для оценки ценности защищаемой информации используются модели оценки ценности
информации.
1. Аддитивная модель.
2. Анализ риска.
3. Порядковая шкала.
4. Модель решетки ценностей.

5.

Ценность информация: критерии и модели оценки
Аддитивная модель
Суть аддитивной модели – разбиение оцениваемой информации (общая ценность которой
неизвестна) на конечное множество отдельных компонент и оценка ценности каждой компоненты.
Такая ценность определяется экспертным путем с помощью линейной относительной шкалы, то есть
компоненты, имеющие одинаковую порядковую оценку, равноценны.
Компоненты
n1
n2
n3
n4
Ценность, баллы
2
3
1
4
Стоимость, усл. ед.
? (120)
? (180)
? (60)
240
Стоимость одного балла – 240/4 = 60 усл. ед.
Стоимость всей информации определяется как сумма стоимости компонент, ее составляющих (в
примере – 600 усл. ед.)
Порядковая шкала
Используется при невозможности установления ценности информации в денежных единицах
(например, для информации личного характера или для информации, оценка ценности которой не
проводилась), но если есть возможность сравнительно сопоставить информационные компоненты
одну относительно другой (по принципу – «более ценно»/ «менее ценно»). Чаще всего реализована
в виде разбиения отдельных компонент информации по степеням конфиденциальности (например –
«конфиденциально» / «строго конфиденциально»), что представляет собой порядковые шкалы
ценности.

6.

Понятие о конфиденциальной информации
Информация
Общедоступная
Ограниченного доступа
Общеизвестные сведения, которые
могут использоваться любыми лицами
по своему усмотрению
Секретная, конфиденциальная, не
подлежащая разглашению информация
Свободно
распространяемая
Предоставляемая
соглашению
участвующих
отношениях
по
лиц,
в
Подлежащая
предоставлению
соответствии с ФЗ
в
Запрещенная информация
Ограниченная
к
распространению
информация
Информация, ограниченная к
распространению
Информация,
составляющая
государственную
тайну
Сведения,
составляющие
коммерческую,
служебную тайну
Информация, полученная при
исполнении профессиональных
обязанностей гражданами или
организациями
(профессиональная тайна)
Информация о
частной жизни физ.
лица
(персональные
данные)

7.

Понятие о конфиденциальной информации
Виды информации в зависимости от порядка предоставления
Тип
Описание
Пример
Свободно
распространяемая
информация
Информация,
распространение
которой ничем
ограничено
• информация СМИ;
• сведения о характере
не деятельности органов гос.
власти;
• открытые
фонды
библиотек, музеев, гос.
информационных систем.
Информация,
предоставляемая
по
соглашению
лиц, участвующих в
отношениях
Информация, которая
предоставляется комулибо по соглашению
или запросу в рамках
законодательства.
Информация,
подлежащая
предоставлению в
соответствии с ФЗ
Информация,
обязательность
предоставления
которой указана
действующем
законодательстве
Информация,
распространение
которой ограничено
или запрещено
Запрещено: призывы к
разжиганию
войны,
национальной,
религиозной розни
Примечание (в части ПДН)
Сведения, которые сам субъект сделал
общедоступными
(автобиография,
опубликованная в открытой печати,
персональная
страница
в сети
Интернет
с
предоставлением
неограниченного доступа).
• сведения о налоговых
обязательствах;
• выписки по владению
недвижимым имуществом.
Сведения, которые физ. лицо само
передало по соглашению (публикация
данных в справочнике организации;
регистрация в соц.сетях или на
определенных ресурсах).
• сведения о доходах и
имуществе государственных
служащих;
в • данные о наименовании и
характере
деятельности
организации
Сведения о гос. служащих, а также
сведения о гражданах при их
обращении в органы власти (например,
при подаче заявления в МФЦ).
-
-

8.

Понятие о конфиденциальной информации
Схема формирования конфиденциальной информации
Участник1
конкуренция
Участник2
Ограниченные
ресурсы:
-покупатели, партнеры;
- безопасность;
- финансы
на уровне государства – государственная тайна (сведения,
разглашение которых может нанести ущерб безопасности
государства в целом или отдельным его отраслям);
на уровне организаций (как государственных, так и
негосударственных) – коммерческая или служебная
(профессиональная) тайна;
на уровне физ. лица – персональные данные.
Конкурентные
преимущества;
обеспечение безопасности
Стремление
сохранить
сведения в секрете
указанные
Стремление
получить
информацию о конкуренте
подобную
Конфиденциальная информация –
«не подлежащая разглашению».

9.

Понятие о конфиденциальной информации
Конфиденциальная информация (КИ) – это информация (за исключением государственной тайны),
относящаяся к закрытой и защищаемой и в отношении которой соблюдаются меры, препятствующие
ее несанкционированной передаче.
Обладатель КИ – это субъект, самостоятельно ее создавший, либо получивший право (на основании
закона или договора) разрешать или ограничивать доступ к КИ.
Обладатель КИ обязан:
принимать меры по защите КИ (ущерб от утраты информации, в отношении которой не были
использованы меры защиты, не подлежит возмещению);
ограничивать доступ к такой информации.

10.

Понятие о конфиденциальной информации
Перечень сведений конфиденциального характера приведен в Указе Президента РФ от 06.03.1997
№ 188.
Сведения конфиденциального характера составляют:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные).
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами государственной власти (служебная
тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законом
(врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров и т.п.).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен законодательством
(коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной
публикации информации о них.
Виды (категории) конфиденциальной информации
Конфиденциальная информация
Коммерческая
тайна
Служебная тайна
Профессиональная тайна
врачебная тайна;
нотариальная, адвокатская
тайна;
судебная тайна.
Персональные
данные

11.

Коммерческая тайна
Информация, составляющая коммерческую тайну (ИКТ) – это сведения любого характера
(производственные, технические, экономические, организационные и др.), которые имеют
действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам, к
которым у третьих лиц нет доступа на законном основании. (из ФЗ «О коммерческой тайне» от
29.04.2004 № 98-ФЗ).
Признаки информации, составляющей КТ:
1. Наличие действительной или потенциальной коммерческой ценности из-за ее неизвестности
другим лицам.
2. Отсутствие свободного доступа к такой информации.
3. Принятие мер к охране такой информации от неправомерного доступа.
Коммерческая тайна (КТ) – это режим конфиденциальности информации, позволяющий ее
обладателю при существующих и возможных обстоятельствах увеличить доходы, избежать
неоправданных расходов или сохранить положение на рынке.
ИКТ = сведения (о технологии, ценообразовании, ключевых партнерах и т.п.)
КТ = действия по охране ИКТ (различные мероприятия в организации).

12.

Коммерческая тайна
Сведения, которые не могут составлять КТ
Учредительные документы и
документы на право осуществления
предпринимательской деятельности
Численность и состав
работников, система оплаты и
условия труда, наличие
свободных рабочих мест
Устав;
Выписка из ЕГРЮЛ, ОГРНИП;
Лицензии (при их наличии);
Перечень лиц, имеющих право
действовать от имени ЮЛ без
доверенности.
Сведения о нарушении
законодательства
О задолженности по выплате
заработной платы;
О состоянии противопожарной
безопасности.
Ответственность за разглашение КТ
Предусматривается:
дисциплинарная ответственность – осуществляется по отношению к работнику по нормам
трудового законодательства (объявление выговора, привлечение к материальной ответственности,
прекращение трудовых отношений);
гражданско-правовая ответственность – осуществляется по ГК (возмещение убытков, взыскание
неустойки и т.п.);
административная ответственность;
уголовная ответственность (предусматривается за похищение документов или за незаконное
разглашение сведений, составляющих КТ).

13.

Коммерческая тайна
Режим КТ считается установленным (т.е. при его нарушении могут наступать правовые последствия)
после принятия следующих мер (минимально необходимые условия):
1. Определение перечня информации, составляющей КТ;
2. Ограничение доступа к информации, составляющей КТ, путем установления порядка обращения
с ней и контроля за соблюдением установленного порядка.
3. Учет лиц, получивших доступ к КТ, и лиц, которым такая информация была передана.
4. Регулирование отношений с работниками и контрагентами на основании трудовых договоров
или гражданско-правовых договоров соответственно.
5. Нанесение на носители, содержащие КТ грифа «Коммерческая тайна» с указанием обладателя
данной информации (наименование и местонахождение ЮЛ или ИП ).

14.

Коммерческая тайна
Меры по защите коммерческой тайны
Внутренние
Внешние
Направлены на персонал организации
Выполняются при осуществлении торговоэкономических, научно-технических операций
с контрагентами организации
Правовые
Организационные
Технические
Психологические
Разработка положения по обеспечению сохранности КТ (основной правовой
документ, включает: состав и объем сведений, составляющих КТ; процедура допуска;
организация контроля и т.п.);
Заключение договоров о материальной ответственности;
Принятие подписок о неразглашении КТ
Создание подразделения, отвечающего за сохранность КТ (например, СБ);
Организация конфиденциального делопроизводства;
Разработка разрешительной системы доступа к информации;
Назначение экспертной комиссии и ответственного за обеспечение
конфиденциальности
Выявление возможных каналов утечки информации;
Эксплуатация СТЗИ;
Проведение мероприятий по тех.защите и выявлению новых каналов утечки.
Проведение разъяснительной работы с персоналом;
Проведение регулярных проверок (как гласных, так и негласных).

15.

Коммерческая тайна
Информация, составляющая КТ:
Состав документированной информации, составляющей КТ зависит от характера деятельности
организации. В общем случае к КТ будут относиться следующая информация.
1. Управление организацией (нестандартные методы управления, алгоритм подготовки, принятия и
исполнения решений, планы расширения или свертывания производства, планы инвестиций,
закупок, продаж, импорта, экспорта).
2. Производство и технологии (структура производства, производственные мощности, тип
оборудования, запасы сырья и готовой продукции).
3. Рынок (сведения о рыночной стратегии предприятия и применяемых методах продаж, сбыт
готовой продукции – основные регионы, заинтересованность в приобретении товаров).
4. Контрагенты (сведения о поставщиках и потребителях, посредниках, методика организации
работы с ключевыми партнерами, условия коммерческих контрактов, а также методы расчетов,
уровень цен на продукцию и размер скидок, сведения о предельно допустимых ценах на
закупаемую продукцию).
5. НИР и ОКР (сведения о целях, задачах и программах научных исследований; данные о
материалах, из которых изготовлены изделия, а также об их конструкционных особенностях;
сведения о незапатентованных изобретениях).
6. Безопасность (сведения о порядке защиты тайны организации; о порядке и состоянии системы
охраны, сигнализации).

16.

Служебная и профессиональная тайна
Служебная тайна (СлТ) - сведения государственных и муниципальных органов, образующиеся в
ходе их деятельности или полученные при выполнении своих функций, доступ (распространение) к
которым ограничен в соответствии с законодательством.
Признаки:
применяется в отношении служебной информации двух видов: о самих государственных органах
или подведомственных им организациях; получаемой сотрудниками госорганов из внешних
источников и связанной с исполнением своих обязанностей;
входит только информация, обладателями которой являются работники государственных органов
в силу выполнения своих должностных обязанностей.
Отличия от коммерческой тайны:
КТ – информация, имеющая коммерческую ценность; может возникать как в частных организациях,
так и в государственных, осуществляющих коммерческую деятельность.
СлТ – возникает только в государственных организациях, осуществляющих функции, не связанные
с приносящей доход деятельностью (управленческие, регулирующие, регистрационные и пр.).
Примеры:
Гос. орган
Сведения, относящиеся к СТ
Закон, устанавливающий ограничение
ФСС
Сведения о частной жизни, чести и достоинства ФЗ «О судебных приставах» № 118-ФЗ.
граждан
Органы обеспечения
транспортной
безопасности
Сведения
об
уязвимостях
объектов ФЗ «О транспортной безопасности»
транспортной
инфраструктуры;
планы № 16-ФЗ.
обеспечения транспортной безопасности

17.

Служебная и профессиональная тайна
Профессиональная тайна - сведения ограниченного доступа, связанные с профессиональной деятельностью
конкретного лица или организации.
Признаки:
принадлежат к определенной профессиональной деятельности (медицинская, юридическая), не связанной с
государственной или муниципальной службой;
добровольная передача лицу, исполняющему свои профессиональные обязанности;
обеспечение сохранности полученной информации.
Виды профессиональной тайны
Вид проф. деятельности
Сведения, составляющие тайну
Медицинская
Относятся сведения (ФЗ «Об основах охраны здоровья граждан в РФ от 21.11.2011 №323ФЗ):
о факте обращения за медпомощью;
о состоянии здоровья, диагнозе и информации, полученной при мед.обследовании и
лечении.
Юридическая
(адвокатская,
нотариальная)
К адвокатской тайне относят любые сведения, связанные с оказанием адвокатом
юридической помощи своему доверителю (факт обращения, имя доверителя, содержание
рекомендаций, доказательства и документы, собранные при оказании услуг).
К нотариальной тайне относятся существенные сведения, переданные при оказании
нотариальных услуг (содержание, изменение или отмена завещания и т.п.).
Услуги почтовой и
телефонной связи
К тайне связи относится передаваемая по почтовой или телефонной связи информация:
телефонных переговоров;
переписки и почтовых отправлений;
телеграфных и иных сообщений.
Страховая
Сведения о страхователе, застрахованном лице, выгодоприобрететеле, состоянии их
здоровья и имущественном положении.

18.

Служебная и профессиональная тайна
Сведения, которые не могут относиться к служебной тайне
1.
2.
3.
4.
5.
6.
Законодательные акты, содержащие информацию о правовом статусе органов власти, государственных
организаций и структур.
Функции и порядок работы органа власти и его местоположение.
Порядок рассмотрения заявлений и обращений граждан и юрлиц, а также принятые решения.
Сведения о бюджете государства и муниципальных образований, а также экономические сведения, в
которых заинтересовано население.
Информация о ЧС, а также санитарно-эпидемиологическая, экологическая информация.
Открытые архивы и документы, необходимые для осуществления прав граждан.
Защита служебной и профессиональной тайны
Меры по защите служебной и профессиональной тайны аналогичны мерам защиты КТ.
Особенности и отличия:
I. Правовые меры:
II.
Формируется отдельный перечень сведений, составляющих служебную тайну.
Отношения по обращению с СлТ, а также ответственность за ее разглашение регулируются во
внутренних нормативных документах организации (регламенты, трудовые, гражданско-правовые
договора).
Организационно-технические меры:
Реализация многоуровневого ограничения доступа к сведениям, составляющим СлТ:
Физическая защита → Технические средства (охраны, контроля доступа) → Регламентация порядка
доступа к СлТ (на уровне внутренних нормативных документов организации).
Учет лиц, получивших доступ к СлТ, а также лиц (организаций), которым подобные сведения были
переданы.
Нанесение на документы и носители сведений, составляющих СлТ, грифа «для служебного
пользования» с указанием срока действия и обладателя информации.

19.

Персональные данные
Персональные данные (ПДН) – это любая информация, прямо или косвенно относящаяся к
физическому лицу и позволяющая его идентифицировать.
Однозначного исчерпывающего списка или строго определенного перечня ПДН не существует.
В связи с этим при отнесении каких-либо сведений к ПДН руководствуются 2-мя критериями:
• однозначное указание на конкретного человека;
• затрагивают ли эти сведения права и свободы человека, его частную жизнь.
Законодательство, регламентирующее обращение с ПДН
1) Международное:
Конвенция Совета Европы «О защите прав личности в связи с автоматизированной
обработкой персональных данных» ETS № 108 от 28.01.1981.
2) Российское:
Конституция РФ.
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Распространяется
на: отношения, связанные с обработкой ПДН, осуществляемой органами власти, юр. и физ.
лицами с использованием средств автоматизации или без их использования. Не
распространяется на: обработку ПДН для личных и семейных нужд; обработку ПДН,
составляющих гос. Тайну.
Подзаконные акты (постановления Правительства РФ, приказы Роскомнадзора, ФСТЭК
России).

20.

Персональные данные
Термины и определения, связанные с ПДН
Субъект – это физическое лицо, которое может быть прямо или косвенно определено при
использовании персональных данных.
Оператор – орган власти, юридическое или физическое лицо, организующие или осуществляющие
обработку ПДН, а также определяющие цели и содержание такой обработки.
Под категорию оператора ПДН попадают все организации и физ.лица, которые получают доступ к ПДН
(кроме семейных нужд) – например, имеющие сотрудников; использующие ПДН своих клиентов в
выполнении договорных обязательств и т.п.
Требования к операторам и их обязанности условно можно разделить на 3 группы:
I. Открытость для государственного контроля и надзора:
Уведомление регулятора (Роскомнадзор) о своей деятельности (исключения составляют три
вида обработки ПДН: ИС для обеспечения безопасности государства; при обработки ПДН
исключительно без средств автоматизации; обработка для обеспечения транспортной безопасности).
Роскомнадзор вносит сведения об операторе ПДН в реестр операторов.
Отвечать на запросы и сообщать в Роскомнадзор об утечке ПДН и результатах расследования
такого происшествия.
Локализовать БД граждан РФ только на территории РФ.
II. Осуществлять мероприятия по защите ПДН:
Разрабатывать локальные нормативные акты по обработке ПДН.
Принимать организационные и технические меры по обеспечению безопасности ПДН.
Проводить внутренний аудит и оценивать вред, который может быть причинен субъекту ПДН.
III. Соблюдать права субъектов: получать ПДН только законным путем без сбора избыточной информации;
не объединять БД ПДН, используемых в разных целях; информировать о целях использования ПДН;
получать согласие, если это требуется по закону.

21.

Персональные данные
Термины и определения, связанные с ПДН
Регулятор – орган государственной власти, уполномоченный осуществлять мероприятия по контролю
и надзору в отношении соблюдения требований федерального закона.
В ФЗ «О персональных данных» установлено три регулятора:
• Роскомнадзор – осуществляет защиту прав субъектов ПДН и надзор за деятельностью операторов
ПДН;
• ФСБ – устанавливает требования в области криптографии при хранении и обработке ПДН;
• ФСТЭК - требования по защите информации от НСД и утечки по техническим каналам.
Обработка ПДН – действия (операции), совершаемые с использованием средств автоматизации или
без использования таких средств с ПДН, включающие их сбор, систематизацию, накопление, хранение,
уточнение, использование, распространение (в том числе передачу), обезличивание, блокирование,
уничтожение.
Распространение - действия, направленные на передачу ПДН определенному кругу лиц (передача
персональных данных) или на ознакомление с персональными данными неограниченного круга лиц
(обнародование в СМИ, размещение в Интернете или предоставление доступа другим способом).
Блокирование - временное прекращение сбора, систематизации, накопления, использования, распространения
персональных данных, в том числе их передачи.
Уничтожение - действия, в результате которых невозможно восстановить содержание ПДН в информационной
системе или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание - действия, в результате которых невозможно определить принадлежность персональных
данных конкретному субъекту. Обезличенные ПДН не являются конфиденциальной информацией.

22.

Персональные данные
Обезличенные ПДН и методы их обезличивания
При обезличивании ПДН осуществляются действия, в результате которых становится невозможным без
использования дополнительной информации определить принадлежность персональных данных
конкретному субъекту.
Обезличивание ПДН используется для повышения обеспечения их безопасности. Сами обезличенные
ПДН – не являются КИ, а требования к конфиденциальности относятся только к справочнику, с помощью
которого можно осуществить обратное преобразование обезличенной информации.
Основные методы обезличивания ПДН регламентированы приказом Роскомнадзора
№ 996 «Об утверждении требований и методов по обезличиванию персональных данных».
от
05.09.2013
Основными и наиболее употребительными методами обезличивания ПДН являются:
• замена части сведений идентификаторами;
• обобщение – понижение точности некоторых сведений;
• деление сведений на части и обработка в разных информационных системах.
Пример:
Справочник,
конфиденциально
ФИО
ID
Личная информация: состояние здоровья, доходы
Обезличенные ПДН
«Верблюденко А.П., 05.05.1980 г.р. страдает сахарным диабетом с 21.02.2011».
В таком виде – это специальная категория ПДН, подлежащая наивысшей защите при их обработке.
Используя методику обезличивания в виде идентификаторов, получаем:
«АА845»: сахарный диабет с 21.02.2011».
Защите подлежит только справочник, в котором установлено какому физическому лицу соответствует
идентификатор.

23.

Персональные данные
Категорирование ПДН
Разделение ПДН на категории обусловлено неравнозначностью содержащейся в них информации по влиянию на
субъект и необходимостью повышенной защиты отдельных категорий ПДН.
I. По особенностям правового режима (по отношению к субъекту)
Категория
Описание
Пример
Особенности обработки
Общедоступные Доступ к таким ПДН предоставляется Ф.И.О; год и место Не являются К.И., если
с письменного согласия субъекта, не рождения;
адрес; доступ к ним с согласия
предоставлен
распространяются
требования телефон; сведения о субъекта
неограниченному кругу лиц.
конфиденциальности.
профессии.
Биометрические
Сведения (биометрические признаки),
характеризующие физиологические
или биологические
особенности
конкретного человека, на основании
которых можно определить его
личность. Не существует двух людей
с одинаковыми биометрическими
признаками.
Специальные
Отражают критичные сведения из Состояние
интимная
частной жизни субъекта.
Иные
к
Сведения, не относящиеся ни к одной Принадлежность
определенной группе;
из категорий
Отпечатки пальцев;
геометрическая
форма рук; узор
радужной оболочки
или сетчатки глаза;
изображение лица;
характеристики
голоса.
Являются К.И.; обработка
только
с
согласия
субъекта; отзыв согласия
не предусмотрен.
здоровья, Являются К.И.; сбор и
жизнь, обработка запрещены.
сведения о заработках,
национальность.
стаж работы; периоды
отпусков и т.п.

24.

Персональные данные
Обработка ПДН
Обработка ПДН – см. определение выше.
Любая обработка возможна только с согласия субъекта ПДН (письменного или цифрового).
В согласии должны содержаться следующие сведения:
конкретная цель обработки;
перечень обрабатываемых ПДН;
список действий с ПДН;
место и способы обработки (адрес оператора, автоматизированная или неавтоматизированная
обработка);
срок действия;
ясно выраженное согласие субъекта (в виде подписи в письменном или галочке в цифровом).
Согласие на обработку не требуется:
участие физического лица в судебном процессе;
регистрация на портале Госуслуг;
исполнение договора с субъектом, в котором обработка ПДН уже предусмотрена (договора аренды,
бронирования и т.п.);
защита жизни или здоровья человека, если получение его согласия невозможно (госпитализация при
несчастном случае, угрожающие жизни состояния);
для доставки почтовых отправлений организациями почтовой связи;
опубликование ПДН в соответствии с федеральными законами, например лиц, осуществляющих
деятельность в органах власти;
обязательное предоставление субъектом своих ПДН в целях обеспечения обороны страны и
безопасности государства.

25.

Персональные данные
Виды обработки ПДН
Неавтоматизированная
Действия по обработке ПДН, осуществляемые при
непосредственном участии человека. Как правило,
это действия с ПДН, представленными в виде
бумажных документов.
Обработка ПДН считается неавтоматизированной,
если
действия с ПДН, содержащимися в
информационной
системе,
осуществляются
человеком без использования СВТ (например,
выписка бумажного пропуска).
Особенности:
1. ПДН должны обособляться от остальной
информации путем фиксации на отдельных
материальных носителях,
специальных
разделах.
2. Разные категории ПДН должны храниться на
разных носителях.
Автоматизированная
Обработка с использованием СВТ. Наиболее часто
используется в информационных системах:
библиотеках, архивах, БД.
Включает в себя операции, осуществляемые
полностью или частично с использованием
автоматизированных средств:
хранение;
арифметические или логические операции с
данными;
изменение / уничтожение / распространение;
поиск.
Особенности – см. далее

26.

Персональные данные
Построение системы защиты ПДН в организации
Основные направления защиты ПДН
Нормативно-правовая защита
Организационно-техническая
защита
Экономическая защита
Издание
оператором
необходимых
локальных
нормативных актов, в которых
регулируются
вопросы
обработки, обеспечения защиты
и назначения ответственного
лица.
Выполнение
совокупности
мероприятий, направленных на
обеспечение сохранности ПДН:
организация и учет носителей
ПДН;
оборудование
и
охрана
помещений, в которых ведется
работа с ПДН;
организация режима допуска в
указанные помещения;
осуществление мероприятий по
закрытию
каналов
утечки
информации при обработки ПДН
в ИС.
Выполнение мероприятий по
определению угроз безопасности
ПДН, оценка вреда, а также
проведение
контроля
соответствия обработки ПДН
требованиям
регулирующих
документов.

27.

Персональные данные
Требования к нормативному регулированию защиты ПДН
Для обеспечение правового регулирования минимально необходимым является издание
3-х нормативных документов в организации:
1. Политика в отношении обработки ПДН:
Публичный документ, размещается на официальном сайте и доступном месте внутри
организации, доводится под роспись до каждого сотрудника.
Включает - понятие ПДН; цели их обработки в конкретной организации; перечень субъектов,
участвующих в обработке; состав ПДН и условия их обработки.
2. Положение о персональных данных (сотрудников, клиентов).
Разрабатывается в двух частях: основной – (излагаются общие требования) и конфиденциальной
(характеристики технической защиты, организация охраны и доступа к ПДН и т.п.)
Должно содержать:
Определение ПДН, цель и перечень подлежащих сбору и обработке ПДН, перечень документов,
содержащих ПДН. Основное требование – собираемые ПДН должны иметь отношение к функции
организации и не быть избыточными.
Круг лиц, допущенных к работе с ПДН.
Регламент работы с ПДН, обеспечивающий их конфиденциальность. Включает описание
операций с различными категориями ПДН, виды носителей, описание организационной и
технической защиты, разграничение доступа к ПДН.
Ответственных за работу с ПДН.
Меры ответственности (дисциплинарные – на уровне организации).
3. Приказ о назначении ответственных за работу с ПДН.

28.

Персональные данные
Требования к организационно-технической защите ПДН
Хранение и уничтожение при неавтоматизированной обработке
1. Хранение – только в специально отведенном помещении, оборудованном средствами охраны и
контроля доступа.
2. Непосредственное хранение - в сейфах или запирающихся шкафах с минимальной
взломостойкостью (класс Н0 по ГОСТ Р 50862-2005), если время прибытия сотрудников охраны при
срабатывании ТСО не превышает 5 минут. Если это время больше, взломостойкость должна быть
повышена.
3. В одном сейфе запрещено совместное хранение ПДН и других ценностей.
4. Уничтожение документов и носителей с ПДН 2-мя способами:
Уничтожение информации – используется ПО, обеспечивающее
гарантированное уничтожение информации;
Уничтожение самого носителя – бумажные, некоторые электронные (CD,
DVD) – методом термического воздействия (сжигание) или физического
разрушения (измельчение); электронные - магнитное или химическое
разрушение (HDD, Flash-память).

29.

Персональные данные
Требования к построению ИС ПДН
Для автоматизированной обработки ПДН, как правило, используются информационные системы.
Информационная система персональных данных (ИСПДН) – это информационная система,
представляющая собой совокупность ПДН, содержащихся в базе данных, а также информационных
технологий и технических средств, позволяющих осуществлять обработку ПДН.
В общем случае в ИСПДН входят:
Сами ПДН;
БД, где они хранятся;
Серверное оборудование, используемое для хранения БД;
Программное обеспечение (ОС, СУБД);
Сетевая инфраструктура;
Средства защиты информации (антивирусное ПО, межсетевые экраны и пр.).
Требования к защите ПДН при автоматизированной обработке изложены в постановлении
Правительства РФ от 01.11.2012 № 1119.
ИСПДН должны иметь определенный уровень защищенности, который определяет требования к
построению ИС, а также минимально необходимые меры защиты.
Уровень защищенности (УЗ) ИС определяется, исходя из следующих показателей:
1. Категории обрабатываемых ПДН (см. классификацию) – специальные; биометрические;
общедоступные; иные.
2. Отношение субъектов ПДН к оператору: 2 критерия – сотрудник или нет.
3. Количество обрабатываемых ПДН: также 2 критерия – более 100тыс. или менее 100тыс.
4. Тип актуальности угроз безопасности: в зависимости от наличия недокументированных
возможностей используемого ПО – всего определено три типа (см. ниже).

30.

Персональные данные
Требования к построению ИС ПДН
Определение актуальности угроз безопасности ПДН
Категория угроз безопасности устанавливается в зависимости от наличия недокументированных
возможностей используемого ПО.
Недокументированные (недекларированные) возможности — это функциональные возможности
ПО, не описанные или не соответствующие описанным в документации, при использовании которых
возможно нарушение конфиденциальности, доступности или целостности обрабатываемой
информации.
Выделяется три типа актуальных угроз:
• 1 тип — угрозы, связанные с недокументированными возможностями в системном ПО
(операционная система, антивирусные программы) - самый серьезный тип угроз;
• 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО (СУБД, ПО
специального назначения – например, торговые, бухгалтерские) ;
• 3 тип — угрозы, не связанные с ПО (например, уязвимости оборудования), или угрозы как таковые
отсутствуют.
Оценка недокументированных возможностей в том или ином ПО – достаточно трудоемкая задача.
В нулевом приближении считается, что если в ИС используется ПО, сертифицированное ФСТЭК, то
угрозы 1 и 2 типов отсутствуют.
Однако сертификация действует на строго определенную сборку ПО, любое его незначительное
модифицирование вызывает недействительность сертификата.

31.

Персональные данные
Требования к построению ИС ПДН
Уровни защищенности ПДН
Существует 4 уровня защищенности
4 УЗ – для ИС, нарушение безопасности ПДН в которых не приводит к негативным последствиям
для их субъектов. Является самым простым, требует несложных мер защиты вроде установки
антивируса и регулярного обновления ПО;
3 УЗ – нарушение безопасности ПДН приводит к незначительным негативным последствиям для
их субъектов. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также
ограничить доступ к настройкам информационной системы;
2 УЗ - нарушение безопасности ПДН приводит к негативным последствиям для их субъектов.
Основные требования: установка системы обнаружения вторжений, защита системы от спама,
организация резервного копирования;
1 УЗ – нарушение безопасности ПДН приводит к значительным негативным последствиям для их
субъектов; требует таких мер как безотказная работа серверного оборудования и установка только
сертифицированного ПО.
Полный перечень мер по обеспечению безопасности ПДН для каждого из уровней защищенности
приведен в приказе ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных».

32.

Персональные данные
Требования к построению ИС ПДН
Определение уровня защищенности ПДН
Категория
ПДН
Отношение к
оператору
Специальные
Не сотрудник
Биометрические
Общедоступные
Иные
Кол-во ПДН
Тип актуальной угрозы
1
2
3
> 100тыс.
1УЗ
1УЗ
2УЗ
< 100тыс.
1УЗ
2УЗ
3УЗ
Сотрудник
Нет огранич.
1УЗ
2УЗ
3УЗ
Не сотрудник
> 100тыс.
1УЗ
2УЗ
3УЗ
< 100тыс.
1УЗ
2УЗ
3УЗ
Сотрудник
Нет огранич.
1УЗ
2УЗ
3УЗ
Не сотрудник
> 100тыс.
2УЗ
2УЗ
4УЗ
< 100тыс.
2УЗ
3УЗ
4УЗ
Сотрудник
Нет огранич.
2УЗ
3УЗ
4УЗ
Не сотрудник
> 100тыс.
1УЗ
2УЗ
3УЗ
< 100тыс.
1УЗ
3УЗ
4УЗ
Нет огранич.
1УЗ
3УЗ
4УЗ
Сотрудник

33.

Интеллектуальная собственность: виды и защита
Понятие интеллектуальной собственности
Объекты интеллектуальной собственности - это результаты интеллектуальной деятельности и
приравненные к ним средства индивидуализации, которым законодательно предоставляется правовая
охрана (государство само определяет перечень таких объектов).
В РФ исчерпывающий перечень ОИС приведен в части IVГК РФ. Не поименованные ОИС правовой охране
не подлежат.
Результат интеллектуальной деятельности (РИД) – это нематериальный объект (информация, идея,
решение, символ), являющийся продуктом мыслительной деятельности создателя. Для получения
правовой охраны должен обладать двумя признаками:
1. Представлять реальную (например, коммерческую) ценность.
2. Быть объективированным, т.е. выраженном на каком-либо материальном носителе.
Средство индивидуализации – это обозначение, которое используется для различия товаров, услуг,
компаний и других объектов.
Результат интеллектуальной деятельности
Средство индивидуализации
Объекты авторского права: литературные,
графические,
дизайнерские
произведения,
произведения архитектуры, градостроительства;
Объекты прав, смежных с авторским: исполнения
артистов, фонограммы, передачи эфирного вещания;
Объекты патентного права: изобретения, полезные
модели, промышленные образцы
Программы для ЭВМ , базы данных, топологии
интегральных микросхем;
Секреты производства (ноу-хау).
Фирменное
наименование,
наименование
некоммерческой организации;
Товарный знак, знак обслуживания;
Коммерческое обозначение;
Наименование места происхождения товара;
Доменное имя.

34.

Интеллектуальная собственность: виды и защита
Результат интеллектуальной деятельности
По сфере возникновения
Научно-техническая и
производственная
Объекты патентного
права
(промышленная
собственность)
По регулированию права
использования
Объекты интеллектуальной
собственности
Ноу-хау и другие
результаты,
хранимые в тайне
Изобретение
Способ
Устройство
Вещество
Их применение по новому назначению
Полезная модель
Промышленный образец
Объекты АП
Открытие
Гуманитарная
Объекты авторского (АП) и
смежных прав
Произведения литературы
Программа для ЭВМ Музыкальные произведения
База данных
Топология
микросхемы
Произведения искусства

35.

Интеллектуальная собственность: виды и защита
Субъекты интеллектуальной собственности
Это физические лица и организации, вступающие в правовые отношения в области
интеллектуальной собственности.
Законодательство различает следующие субъекты в области интеллектуальной собственности.
1. Автор – это физическое лицо или группа лиц, чьим трудом создан объект интеллектуальной
собственности и деятельность которых носит творческий и индивидуальный характер.
2. Правообладатель – физические лица или организации, имеющие законные основания
использования имущественных прав (прав собственности) на ОИС.
К правообладателям могут относиться:
наследники и правопреемники автора;
организации, управляющие имущественными правами на коллективной основе
(работодатель, инвестор, заказчик);
организации, использующие ОИС;
патентные поверенные.

36.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
Принципиально выделяются 2 группы прав на ОИС.
I группа: По отношению к субъекту или по возможности отчуждения.
Личные неимущественные
Исключительные (имущественные)
Признаки
Неотделимы от личности автора (создателя, Имеют
экономическое
(имущественное)
изобретателя);
содержание и допускают переход от одного лица к
Не имеют имущественного содержания;
другому.
Возникают только в отношении РИД (но не
средств индивидуализации).
Субъекты
Автор – физ. лицо, которое создало РИД. Если Первоначально – у автора. Но есть следующие
авторов несколько, то права принадлежат им исключения:
совместно.
служебные объекты (объекты, созданные в
рамках
трудовых
обязанностей)

правообладатель определяется труд. договором
(чаще всего – это работодатель);
создание ОИС по авторскому договору –
определяется этим договором.

37.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
I группа: По отношению к субъекту или по возможности отчуждения.
Личные неимущественные
Исключительные (имущественные)
Момент возникновения
В момент объективизации (материализации) РИД.
В момент, определяемый законом – выдача патента
(объекты патентного права) или в момент
объективизации (объекты авторского права).
Возможность и способы отчуждения
Неотчуждаемы
Возможно как отчуждение, так и передача в
ограниченное пользование.
Приобретение / отчуждение – по авторскому,
трудовому договору или договору отчуждения.
Использование в установленных пределах –
лицензионный договор.
Срок действия
Действуют бессрочно (часть ограничена сроком Имеют срок действия: 70 лет после смерти автора
для объектов авторского права, 20 лет – для
жизни автора)
изобретений, 10 лет – для полезных моделей, 5 лет –
для промышленных образцов.
По истечении сроков переходят в общественное
достояние, может использоваться любым лицом без
выплаты вознаграждения

38.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
I группа: По отношению к субъекту или по возможности отчуждения.
Личные неимущественные
Исключительные (имущественные)
Виды прав
Право авторства и право на имя – право Разновидности определяются в зависимости от
признаваться автором ОИС независимо от того, объекта регулирования.
кому он принадлежит.
Право на неприкосновенность
- без
согласия автора не допускается изменение,
сокращение или дополнение ОИС.
Право на обнародование / отзыв – право
сделать
произведение
доступным
для
всеобщего сведения или отказаться от его
публикации.
Право следования – право автора при
перепродаже его произведения получить % от
цены.
Право на вознаграждение – право на
вознаграждение при использовании ОИС другим
лицом (например, работодателем).

39.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
II группа: по объектам регулирования
II.1 Авторское право
II.2 Право на программы для ЭВМ,
базы данных
Объект
Произведения: литературные; научной и
учебной направленности; музыкальные;
изобразительного искусства (живопись,
графика, дизайн, фото); архитектуры и
градостроительства.
Сложные, производные и составные
объекты (веб-сайт, энциклопедия).
Программа для ЭВМ (для целей охраны)
– это представляемая в объективной
форме совокупность данных и команд,
предназначенных для функционирования
ЭВМ, для получения определенного
результата .
БД (по сути составное произведение) –
систематизированная
совокупность
материалов, обрабатываемых с помощью
ЭВМ. Подлежит охране только при
реализации новаторского подхода при ее
компоновке (креативные БД).
Субъект
Личные неимущественные – автор;
Исключительные – автор или правообладатель
наследования, авторского или трудового договора).
Вид права
Особенности
Оформление
(регистрация для
получения защиты)
(вследствие
отчуждения,
Не требуется получения охранных Требует регистрации в Роспатенте и
документов. Произведение должно быть внесения в соответствующий Реестр.
зафиксировано
на
материальном
носителе, на котором проставляется знак
охраны - ©

40.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
II группа: по объектам регулирования
Вид права
Особенности
II.1 Авторское право
II.2 Право на программы для ЭВМ,
базы данных
Содержание
Личные неимущественные – см. выше.
Исключительные:
право обладания: воспроизведение (изготовление более 1го экземпляра
носителя); распространение (продажа); публичный показ; прокат;
право распоряжения: отчуждение – переход права за вознаграждение (по
договору об отчуждении); разрешение использования – по лицензионному
договору (простая или исключительная лицензия);
право на вознаграждение.
Срок действия
Личные неимущественные – бессрочно.
Исключительные - срок жизни автора + 70 лет.
Правомерное
использование
Воспроизведение в личных,
научных, учебных целях.
Обеспечение
функционирования
программы или БД (запись и хранение в
памяти ЭВМ);
Изготовлении копии только для целей
архивирования;
Изучение
функционирования
программы для определения идей и
принципов, лежащих в основе ее работы.

41.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
II группа: по объектам регулирования – II.3 Патентное право
Объекты патентного права
это РИД, созданные в научно-технической сфере (изобретение, полезная модель) или в сфере
дизайна (промышленный образец), имеющие признаки правовой охраны.
1. Изобретение – новое решение практической задачи в области техники, промышленности,
поднимающее общий изобретательский уровень. Может относиться:
- к продукту: новое устройство (как система взаимодействующих элементов), вещество, продукт;
- к способу: серя приемов, выполняемых в определенной последовательности для достижения
определенной цели.
2. Полезная модель – техническое новшество в сфере конструкций и изделий, но не имеющее такой
же значимости как изобретение. Полезная модель может относиться только к устройству
(конструктивное решение выполнения машин, приборов, механизмов).
3. Промышленный образец – результат дизайнерской деятельности, в которой определяющими
являются эстетические и эргономические особенности внешнего вида изделия. То есть такое
решение определяет только внешний вид.

42.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
II группа: по объектам регулирования – II.3 Патентное право
Правовая охрана объектов патентного права требует наличия патента –
охранного документа, удостоверяющего авторство создателя и
подтверждающего приоритет и исключительное право патентообладателя.
Выдачу патентов в РФ осуществляет специальный орган – Федеральная
служба по интеллектуальной собственности (Роспатент). Для этого
необходимо пройти ряд процедур.
Критерии пригодности к патентованию
Объект патентного права
Критерии пригодности
Изобретение
является новым (т.е. неизвестно на дату приоритета);
имеет изобретательский уровень (особенности явным образом не
следуют из текущего уровня развития техники);
является промышленно применимым.
Полезная модель
является новой (неизвестна совокупность определяющих ее
признаков);
является промышленно применимой.
Промышленный образец
является новым (аналогично полезной модели);
является оригинальным (существующие признаки должны быть
обусловлены творческим характером).

43.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
Особенности патентного права
Вид права
Особенности
II.3 Патентное право
Субъекты
Личные неимущественные – автор (группа авторов).
Исключительные – патентообладатель (при получении); приобретатель патента
(при отчуждении).
Виды прав
Личные неимущественные – право на авторство и право на имя.
Исключительные:
право использования – ввоз, изготовление, применение, продажа носителя
запатентованной продукции только патентообладателем или лицам, которым
предоставлено такое право им же;
распоряжение – отчуждение или ограниченное использование по
лицензионному договору.
Срок действия
Личные неимущественные – бессрочно.
Исключительные - 20 лет для изобретения; 10 лет для полезной модели
(допускается продление на 3 года); 15 лет для промышленного образца
(допускается продление на 10 лет).
По истечении сроков – переходит в общественное достояние и может
использоваться без ограничений.
Правомерное
использование
В целом аналогична объектам авторского права.

44.

Интеллектуальная собственность: виды и защита
Виды прав на ОИС
II группа: по объектам регулирования – II.4 Секрет производства (ноу-хау)
Секрет производства (ноу-хау) – это сведения любого характера (производственные, технические,
экономические, организационные), которые имеют действительную или потенциальную
коммерческую ценность вследствие их недоступности третьим лицам.
К секретам производства относятся:
По своей сути КТ
незапатентованные объекты, которые экономически целесообразно сохранять в тайне;
оригинальные производственные технологии;
технические рецепты и способы приготовления продукта, опытные образцы;
информация о самом предприятии: стратегия, сведения о ценах и расходах,
клиентские списки.
Правовые особенности:
не нуждаются в гос.регистрации и подтверждении патентом, их ценность состоит в их же
закрытости;
не признается авторство, не возникает личных неимущественных прав;
если секрет производства независимо создан несколькими лицами, то исключительное право
возникает у каждого из них;
исключительное право на секрет производства заключается в его использовании способом,
который не противоречит закону;
срок действия исключительного права – пока сохраняется режим конфиденциальности; после
этого оно утрачивается одновременно всеми обладателями.

45.

Интеллектуальная собственность: виды и защита
Защита интеллектуальных прав
Защита интеллектуальных прав – это действия, направленные на восстановление нарушенных прав
(любого вида), осуществляемые правообладателем на основании действующего законодательства.
Виды нарушений интеллектуальных прав
Вид права
Характерные нарушения
Личные неимущественные
Присвоение авторства (плагиат), заключающийся:
выпуск чужого произведения (или его части) под своим именем;
заимствование частей чужого произведения без указания автора
или источника;
присвоение результатов коллективного труда одним из авторов.
Исключительные
Оборот контрафактного товара – материальных носителей, в
которых реализованы какие-либо охраняемые ОИС без согласия
правообладателя.
Использование запатентованных объектов без согласия
патентообладателя.
Неправомерное получение патента (лицом, не осуществлявшим
разработку ОИС и не уполномоченным на получение договором).

46.

Интеллектуальная собственность: виды и защита
Защита интеллектуальных прав
Виды защиты интеллектуальных прав
1. Гражданско-правовая
Состоит в применении к
нарушителю
мер
имущественного характера –
как
за
причинение
имущественного вреда, так и
морального.
Меры:
признание
нарушенного
права
и
восстановление
положения;
изъятие
контрафактных
носителей ОИС;
возмещение убытков и
выплата компенсаций;
ликвидация
субъекта
коммерческой деятельности.
2. Административная
Состоит в применении мер
государственного
принуждения: в отношении
защиты интеллектуальных
прав – это штраф и
конфискация оборудования
для изготовления продукции.
Полученные доходы при
таких мерах поступают в
государственную казну.
3. Уголовная
Допускается при наличии
исключительных
обстоятельств:
нанесение
крупного
ущерба;
совершение
неоднократно;
совершение
организованной группой;
наличие
тяжких
последствий.
Используются следующие
меры воздействия: штраф;
различные виды работ;
арест; лишение свободы.

47.

Конец лекции
English     Русский Rules