Защита личной информации в Беларуси

ГЛАВА 2 МЕРЫ ЗАЩИТЫ ЛИЧНОЙ ИНФОРМАЦИИ

2.1. Правовые меры защиты личной информации

Основы правовой защиты личной информации заложены в статье 28 Конституции Республики Беларусь, согласно которой каждый имеет право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений, на его честь и достоинство.
Указанная гарантия реализуется посредством установления государством определенного порядка обращения с личной информацией, ограничений, запретов, прав и обязанностей должностных лиц государственных органов, субъектов хозяйствования и граждан.
В частности, ст.17 Закона об информации устанавливает, что информация о частной жизни физического лица и персональные данные (т.е., личная информация), относятся к информации, распространение и (или) предоставление которой ограничено.
Никто не вправе требовать от физического лица предоставления информации о его частной жизни и персональных данных, включая сведения, составляющие личную и семейную тайну, тайну телефонных переговоров, почтовых и иных сообщений, касающиеся состояния его здоровья, либо получать такую информацию иным образом помимо воли данного физического лица, кроме случаев, установленных законодательными актами Республики Беларусь.
Сбор, обработка, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими осуществляются с согласия данного физического лица, если иное не установлено законодательными актами Республики Беларусь.
Порядок получения, передачи, сбора, обработки, накопления, хранения и предоставления информации о частной жизни физического лица и персональных данных, а также пользования ими устанавливается законодательными актами Республики Беларусь (ст.18 Закона).
Глава 7 Закона содержит общие положения о защите информации.
Права и обязанности обладателей, пользователей информации, а также собственников информационных ресурсов, программно-технических средств, информационных систем и информационных сетей, владельцев программно-технических средств, информационных ресурсов, информационных систем и информационных сетей, информационных посредников, оператора информационной системы определяются главой 8 Закона об информации.
Конституционная гарантия запрета незаконного вмешательства в личную жизнь, реализуется и других нормативных правовых актах: Уголовно-процессуальный кодекс Республики Беларусь (далее – УПК), Закон Республики Беларусь от 9 июля 1999 г. № 289-З «Об оперативно-розыскной деятельности» (далее – Закон об ОРД), Закон Республики Беларусь
15 декабря 2003 г. № 258-З «О почтовой связи» (далее – Закон о почтовой связи) и ряде других.
Так, например, согласно ст.13 УПК каждый имеет право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений. Никто не может при производстве по материалам и уголовному делу быть лишен указанного права или ограничен в нем иначе как по основаниям и в порядке, установленным настоящим Кодексом.
Обыск, наложение ареста на почтово-телеграфные и иные отправления, их осмотр и выемка в учреждениях связи, прослушивание и запись переговоров, ведущихся по техническим каналам связи, и иных переговоров могут производиться лишь в случаях и порядке, предусмотренных УПК [29].
Статья 6 Закона об ОРД запрещает органам (должностным лицам), осуществляющим оперативно-розыскную деятельность, разглашать сведения, которые затрагивают неприкосновенность личной жизни, личную и семейную тайну граждан и (или) иные их права и законные интересы и стали известны при проведении оперативно-розыскных мероприятий, за исключением случаев, предусмотренных законодательными актами Республики Беларусь [16]. Соблюдение прав и свобод личности является одним из принципов осуществления оперативно-розыскной деятельности (ст.4).
Тайна почтовой связи гарантируется государством. Все операторы почтовой связи обязаны обеспечивать соблюдение тайны почтовой связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях и их содержании и иные сообщения, входящие в сферу деятельности операторов почтовой связи, являются тайной почтовой связи и могут выдаваться только отправителям, адресатам или их законным представителям, а также государственным органам в случаях, предусмотренных законодательными актами (ст.13 Закона о почтовой связи [18]).
Личная информация является охраняемой информацией и, соответственно, относится к объектам гражданских прав (ст. 128 Гражданского кодекса Республики Беларусь [5] (далее – ГК)).
По этой причине относительно определения способов правовой защиты личной информации необходимо, по нашему мнению, исходить из положений ст.11 ГК, т.е. способы правовой защиты личной информации следует соотносить со способами защиты гражданских прав. Согласно ст.11 ГК защита гражданских прав осуществляется путем:
1) признания права;
2) восстановления положения, существовавшего до нарушения права;
3) пресечения действий, нарушающих право или создающих угрозу его нарушения;
4) признания оспоримой сделки недействительной и применения последствий ее недействительности, установления факта ничтожности сделки и применения последствий ее недействительности;
5) признания недействительным акта государственного органа или органа местного управления и самоуправления;
6) самозащиты права;
7) присуждения к исполнению обязанности в натуре;
8) возмещения убытков;
9) взыскания неустойки;
10) компенсации морального вреда;
11) прекращения или изменения правоотношения;
12) неприменения судом противоречащего законодательству акта государственного органа или органа местного управления и самоуправления;
13) иными способами, предусмотренными законодательством.
Необходимо отметить, что применение одного способа защиты не исключает одновременного применения и других способов.
Способы защиты личной информации могут быть реализованы в той либо иной форме защиты.
Полагаем, что при рассмотрении вопроса о защите личной информации вполне уместно использование, получившей признание и распространение, главным образом в научном обиходе, терминологической дифференциации форм защиты на две ее разновидности: юрисдикционную и неюрисдикционную [4].
Их основное отличие состоит в том, что юрисдикционная форма защиты предполагает обращение лица, чьи права и охраняемые законом интересы нарушены неправомерными действиями третьих лиц, в компетентные органы, которые уполномочены на рассмотрение юридических дел той либо иной принадлежности и на принятие по ним юридически обязательных решений. Неюрисдикционная форма защиты предполагает защиту нарушенного права или охраняемого законом интереса посредством осуществления самостоятельных действий управомоченного лица, совершаемых им с применением дозволенных законом юридических средств без обращения в компетентные органы (обращение в редакцию с требованием опровержения, опубликованных ранее, недостоверных сведений).
В рамках юрисдикционной формы защиты выделяют общий и специальный порядок защиты.
Для общего порядка характерна реализация субъективного права на защиту путем обращения управомоченного лица в судебные органы по подведомственности.
Специальный порядок защиты, именуемый также административным, применяется в случаях, предусмотренных законом. К специальному порядку защиты следует отнести обращение физического лица, права которого в сфере личных прав нарушены незаконными действиями третьих лиц, в органы внутренних дел, прокуратуру.
Как видим, содержание формы защиты раскрывается через тот или иной порядок осуществления защиты: для юрисдикционной формы — судебный и административный, а для неюристикционной – самостоятельные действия заинтересованного лица (самозащита и иные не противоречащие закону действия).
Судебный порядок защиты характеризуется реализацией права на защиту посредством обращения заинтересованного лица в суд, который, исходя из объекта защиты, использует различные процессуальные формы.
Таким образом, основы правовой защиты личной информации заложены в статье 28 Конституции Республики Беларусь. Конституционная гарантия запрета незаконного вмешательства в личную жизнь, реализуется и других нормативных правовых актах: УПК, Законе об ОРД, Законе о почтовой связи и ряде других. Способы защиты личной информации могут быть реализованы в той либо иной форме защиты. Формы защиты можно дифференцировать на две ее разновидности: юрисдикционную и неюрисдикционную. Юрисдикционная форма защиты предполагает обращение лица, чьи права и охраняемые законом интересы нарушены неправомерными действиями третьих лиц, в компетентные органы, которые уполномочены на рассмотрение юридических дел той либо иной принадлежности и на принятие по ним юридически обязательных решений. Неюрисдикционная форма защиты предполагает защиту нарушенного права или охраняемого законом интереса посредством осуществления самостоятельных действий управомоченного лица, совершаемых им с применением дозволенных законом юридических средств без обращения в компетентные органы. В рамках юрисдикционной формы защиты выделяют общий и специальный порядок защиты.

2.2. Иные меры защиты личной информации

Напомним, что к мерам по защите информации Закон об информации относит кроме правовых мер, так же организационные и технические меры. В предыдущем разделе автором были определены и исследованы правовые меры защиты личной информации.
В данном разделе предлагается рассмотреть организационные и технические меры защиты личной информации.
Так, к организационным мерам ст.29 Закона об информации относятся: обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации.
К техническим мерам относятся: меры по использованию средств защиты информации, в том числе криптографических, а также систем контроля доступа и регистрации фактов доступа к информации.
Ввиду ограниченности объема работы считаем, что наиболее целесообразно будет остановиться на рассмотрении технический мер в разрезе их криптографической составляющей.
По мнению Н.Д.Микулича в современных условиях полноценную защиту информации можно обеспечить только с применением криптографических методов защиты информации. Современная криптография как наука основывается на совокупности фундаментальных понятий и фактов математики, физики, теории информации и сложности вычислений. Несмотря на традиционную ее сложность, многие теоретические достижения криптографии сейчас широко используются [10, C.60].
Они обеспечивают решение основных задач информационной безопасности: конфиденциальность, целостность, подлинность, аутентификация как пользовательской и служебной информации при хранении и передаче по каналам связи[1, C.370].
Это достигается:
– шифрованием данных, баз данных;
– шифрованием всего информационного трафика и отдельных сообщений;
– криптографической аутентификацией устанавливающих связь объектов информационного взаимодействия;
– защитой несущего данные трафика средствами имитозащиты и электронно-цифровой подписи для обеспечения целостности и достоверности передаваемой информации;
– применением криптографических стойких проверочных кодов для контроля целостности данных, программного обеспечения;
– применением электронно-цифровой подписи для обеспечения юридической значимости электронных документов.
Криптографические протоколы также являются одним из важнейших средств решения задач информационной безопасности в сетях передачи данных. Их применение обусловлено использованием обширных механизмов межсетевого взаимодействия. Большинство криптографических протоколов в своей основе используют криптографические алгоритмы (блочного шифрования, ЭЦП, кэш-функции).
К 2000 году в Республике Беларусь была создана нормативно-правовая база, обеспечивающая создание и развитие отечественных средств криптографической защиты информации (СКЗИ), заложены основы использования электронной цифровой подписи (ЭЦП) и организации юридически значимого электронного документооборота в корпоративных информационных системах субъектов хозяйствования.
В условиях стремительно развивающегося рынка электронных услуг и электронной торговли первоочередными задачами для республики являются вопросы цифрового доверия, создание системы идентификации для физических и юридических лиц.
Для юридических и физических лиц должны быть созданы доступные в ценовом и техническом аспекте механизмы и средства, обеспечивающие идентификацию и аутентификацию пользователей, конфиденциальность и целостность сообщений в системах и сетях общего пользования. Это позволит расширить сферу использования электронного документооборота, обеспечит возможность ведения электронной торговли, предоставления электронных услуг организациям и гражданам, широкомасштабного внедрения систем электронных платежей [10, С.62].
В Республике Беларусь продолжается формирование семейства базовых криптографических алгоритмов.
Алгоритмы шифрования.
Утвержден и вводится в действие СТБ 34.101.31-2011 «Информационные технологии. Защита информации. Криптографические алгоритмы шифрования и контроля целостности». Стандарт определяет семейство криптографических алгоритмов шифрования и контроля целостности, которые используются для защиты информации при ее хранении, передаче и обработке. Стандарт применяется при разработке средств криптографической защиты информации. Основные характеристики: длина блока -128 бит, длина ключа- 128,192, 256 бит, длина имитовставки – до 64 бит. Шифрование может выполняться в одном из шести режимов: простой замены, сцепления блоков, гаммирования с обратной связью, счетчика, одновременного шифрования и имитозащиты данных, одновременного шифрования и имитозащиты ключа.
Функции кэширования.
В СТБ 34.101.31-2011 определен алгоритм кэширования для вычисления кэш-значений – двоичных слов фиксированной длины, которые определяются по сообщению без использования ключа и служат для контроля целостности сообщения и представления сообщения в сжатой форме. Длина кэш-значения – до 256 бит.
Системы ЭЦП.
Разработан и проходит нормоконтроль проект стандарта «Алгоритмы выработки и проверки электронной цифровой подписи на основе эллиптических кривых». Стандарт устанавливает алгоритмы выработки и проверки ЭЦП, генерации и проверки параметров эллиптической кривой, генерации и проверки личных и открытых ключей подписи, а также вспомогательные алгоритмы транспорта ключа и генерации псевдослучайных чисел. В нем описываются алгоритмы электронной цифровой подписи, в которых используются вычисления в группе точек эллиптической кривой над конечным простым полем. Стандарт призван заменить СТБ 1176.2-99. Переход от алгоритмов СТБ 1176.2-99 к алгоритмам стандарта позволит уменьшить время выработки и проверки ЭЦП, сократить длины параметров и ключей при сохранении уровня криптографической стойкости. Он также как и СТБ 1176.2-99 базируется на схеме ЭЦП Шнора [10 ].
Приказом Оперативно-Аналитического Центра при Президенте Республики Беларусь от 25 мая 2012 г. № 46 «О некоторых мерах по реализации Указа Президента Республики Беларусь от 8 ноября 2011 г. № 515» [26] (далее – Приказ) утверждено Положение о порядке организации криптографической защиты информации в государственных информационных системах, а также в информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (далее – Положение).
Положение определяет порядок организации криптографической защиты информации (далее – КЗИ) в государственных информационных системах, в информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (далее – информационные системы), а также критически важных объектах информатизации (далее – КВОИ).
Этим же Приказом утвержден и Перечень технических нормативных правовых актов и документов, в которых определены требования к средствам криптографической защиты информации и на соответствие которым осуществляется сертификация и государственная экспертиза (далее – Перечень).
Указанные меры, в большинстве своем, относятся к персональным данным. Обеспечение безопасности персональных данных позволит решить одну из важнейших проблем и потребностей современного общества — защита прав человека в условиях вовлечения его в процессы информационного взаимодействия в том числе, право на защиту личной (персональной) информации в процессах автоматизированной обработки информации [6, С.13].
Полагаем, что перечень мер по защите личной информации должен быть дополнен «частными мерами».
Обосновывая данное мнение отметим, что в связи с ускоренными темпами развития информационных технологий именно непосредственные субъекты-носители личной информации (физические лица) своими действиями во многом предопределяют возможные негативные последствия от использования такой информации.
В частною группу мер защиты личной информации следует включить:
1. Обеспечение безопасности персональных компьютеров (другой электронной техники) от внешних и внутренних угроз утечки информации личного характера;
2. Ограничения ввода личной информации на специализированных сервисах, в социальных сетях.
Основное внимание в первой группе мер необходимо уделить компьютерной безопасности. К примеру, Г.А.Воронцова [2, С.68] со ссылкой на «Лабораторию Касперского» приводит десять правил компьютерной безопасности:
1) Периодически обновлять вашу антивирусную программу.
Эти программы защищают только от тех вирусов, которые со¬держатся в антивирусной базе. Чем чаще выполняется это несложная операция, тем более защищенным будет рабочее место. Рекомендуется ежедневная загрузка обновлений, а иногда и несколько раз в день.
2) Осторожно обращаться с файлами в письмах электронной почты.
Никогда нельзя запускать программы, присланные незнакомы¬ми лицами, но вирус может быть отправлен от чужого имени незаметно для владельца компьютера.
3) Ограничить круг лиц пользующихся компьютером.
Лучше, если никто, кроме вас, не имеет доступа к вашему компьютеру, если это невозможно, то надо разграничить права доступа и определить разрешенные действия для других лиц (особое внимание уделить работе с мобильными носителями, Интернетом, электронной почтой).
4) Своевременно устанавливать «заплатки» к ПО.
Многие вирусы используют «дыры» в системах защиты операционных систем и приложений, Рекомендуется регулярно проверять Web-сайты производителей установленного у вас ПО и следить за выпускном новых «заплаток». Это относится к операционной системе Windows и другим программам корпорации Microsoft, которые наиболее распространены и привлекательны для создателей вирусов.
5) Обязательно проверять мобильные носители информации. Известно, что 85% от зарегистрированных случаев заражения компьютерным вирусом приходится на электронную почту и Интернет, но не стоит забывать о традиционном способе транспортировки вредоносных вирусов, как мобильные носители(диски, компакт-диски, в том числе пиратские).
6) Осторожно обращаться с источниками, заслуживающими доверия.
Получив компьютер из ремонта, не забудьте тщательно проверить его на наличие вирусов. Иногда данные получены из источников , заслуживающих доверия, Не думайте, что производители, чей сайт вы часто посещаете, умышленно заражают ваш компьютер — в каждой работе бывают осечки. Иногда они касаются и антивирус¬ной безопасности.
7) Сочетать разные антивирусные технологии.
Отметим эффективное комбинированное использование раз¬ных технологий для гарантии безопасной работы вашего компьютера. К таким технологиям относятся:
— антивирусный монитор, постоянно присутствующий в памяти вашего компьютера и проверяющий все используемые файлы в момент доступа к ним;
— ревизор изменений, который отслеживает все изменения на диске и сообщает, если в каком-то файле «поселился» вирус;
— поведенческий блокиратор, обнаруживающий вирусы не по их уникальному коду, а по последовательности их действий.
Сочетание описанных способов борьбы с вирусами является залогом успешной защиты от вредоносных программ.
8) Иметь при себе чистый загрузочный диск.
Часто вирусы лишают компьютер способности загружаться. Для этого надо иметь чистую дискету с установленной антивирусной программой, которая поможет произвести загрузку и восстановить систему.
9) Регулярно осуществлять резервное копирование.
Необходимо регулярно копировать наиболее ценную информацию на независимые носители: магнитно-оптические диски, ком¬пакт-диски и т.п. Это позволит сохранить данные не только при поражении вирусом, но и в случае серьезной поломки в аппаратной части компьютера.
10) Не паниковать.
Интерпретировав указанные правила можно сформировать комплекс мер по защите персонального компьютера и, тем самым, обеспечить сохранность личной информации, находящейся в нем.
Непосредственное внимание во второй группе мер нужно уделить: необходимости, достаточности и достоверности сведений, вводимых в социальных сетях и других сервисах.
Таким образом, кроме правовых средств защиты информации необходимо выделить также организационные, технические и частные меры. При этом, к частным мерам следует отнести обеспечение безопасности персональных компьютеров (другой электронной техники) от внешних и внутренних угроз утечки информации личного характера, а также ограничение ввода личной информации на специализированных сервисах, в социальных сетях.