МЕХАНИЗМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЕТИ ИНТЕРНЕТ

В современном обществе Интернет стал частью повседневной жизни каждого из нас. Каждый день, миллионы людей  используют Интернет для поиска необходимой информации, связи с друзьями и много другого. Проникновение информационных технологий в личную жизнь человека, необходимость постоянно оставаться на связи с родными и близкими, тесная взаимосвязь человека и глобальной сети вызвали значительные изменения в современном подходе к обработке персональных данных. С каждым днем появляются все новые и новые способы сбора, хранения и обработки персональных данных, а вместе с этим увеличивается и количество людей, заинтересованных в этом.

Актуальность обозначенной темы не вызывает никакого сомнения, что определяется характеристикой интернета как своеобразного современного феномена. В мир цифровых технологий все персональные данные человека так или иначе передаются или хранятся посредством интернет-возможностей. Требования к организации защиты персональных данных прописаны во множестве нормативных документов. Одним из главных среди них в РФ является 152-ФЗ «О Защите персональных данных».

Под персональными данными (ПДн) принято понимать информацию, которая прямо или косвенно касается определённому (или определяемому) лицу (оно же – субъект ПДн). Категория информации составляет такие сведения, как ФИО, возраст и пол субъекта, место проживания, его антропометрические данные и сведения о национальности, семейное положение и любая другая информация, позволяющая идентифицировать человека.

Персональные данные необходимы, прежде всего, при регистрации на различных ресурсах (форумы, сайты, социальные сети, развлекательные порталы и online-игры) для использования интернет банкинга и электронных кошельков, а также государственных ресурсах (наиболее распространенным из которых в РФ является портал государственных услуг «Госуслуги»)

Многие компании используют личностные данные пользователей в своих интересах. Наиболее частой практикой является таргетированная реклама. Основываясь на заранее собранных ПДн пользователей, механизмы системы вычисляют наиболее лояльных к данному продукту или услуге потенциальных пользователей и работает непосредственно с ними, что позволяет значительно повысить эффективность данных сообщений в сравнении с традиционными рекламными компаниями.

Обработка персональных данных должна осуществляться только при согласии субъекта персональных данных на их  обработку. Личностные данные являются конфиденциальными, но при согласии их владельца они могут становиться общедоступными (например, адрес электронной почты), так же как и при его требовании они должны быть изъяты из общего доступа. Обеспечение конфиденциальности ПДн не требуется в случае их обезличивания.

Защита персональных данных ориентирована на то, чтобы создать условия обеспечения соблюдения прав и свобод человека и гражданина в процессе обработки его персональных данных, обеспечения права неприкосновенности частной жизни, личной и семейной тайны, обеспечения конфиденциальности информации, которая им предоставляется, а также создание условий по недопущению уничтожения, корректировки, блокировки, копирования, распространения персональных данных, а также ограждение от неправомерного доступа со стороны сторонних лиц или организаций.

Если защита персональных данных в интернете не организована должным образом, и допущена их утечка, эти сведения могут быть использованы злоумышленниками как угодно. Вот только несколько примеров такого злоупотребления:

1. Подлог сведений с целью выполнения каких-либо действий. Одно дело, когда ваши данные будут использованы, например, для безобидной регистрации в каком-то сервисе или социальной сети. И совсем другое, когда с помощью этого фейкового аккаунта будут совершаться мошеннические действия.
2. Доступ к финансовым ресурсам субъекта защиты ПДн. Кредитные карты, электронные деньги, «денежные» аккаунты в онлайн играх. О всему этом можно получить доступ, зная определенный набор персональных данных.
3. Уничтожение ПДн. Да, довольно часто доступ к этой информации осуществляется именно с целью ее уничтожения. Это позволяет на некоторое время парализовать работу систем, использующих такие сведения, последствия от чего могут быть самыми разными.

Система мер, позволяющая обеспечить защиту персональных данных, включает в себя следующие элементы:

- использование шифровальных средств;

- применение антивирусной защиты;

- использование  защиты доступа к информации индивидуальным паролем;

- проведение анализа защищенности;

- проведение работ по обнаружению и предотвращению вторжений;

- управление доступом, регистрацию и учет.

Большинство компаний, работающих в сети Интернет, предоставляя свои  услуги, заключают с клиентами пользовательское соглашение. Подобное пользовательское соглашение предусматривает получение согласия со стороны субъекта персональных данных на их дальнейшую обработку на законных основаниях. Принятие данного соглашения по закону представляет собой заключение договора на оказание услуг, на который распространяются нормы  Гражданского кодекса установленные для сделок. Исходя из этого следует, что в случае обработки персональных данных пользователя с целью продвижения товаров и услуг посредством прямых контактов с потенциальными потребителями, происходящие через средства связи, оператор должен получить предварительное согласие владельца этих личных данных.

В соответствии с законом (ч. 1 ст. 19 ФЗ-152), в отношении персональных данных, обрабатываемых Оператором, необходимо применять технические и организационные меры защиты от несанкционированного (случайного) доступа посторонних лиц, модификации, копирования, распространения, уничтожения, в некоторых случаях необходимо обеспечить защиту доступности и целостности ПДн.

Выбор средств защиты информации для системы защиты персональных данных осуществляется Оператором, самостоятельно, в соответствии с нормативными правовыми актами, принятыми ФСБ и ФСТЭК (п. 4 Постановления № 1119). Персональные данные в электронном виде обрабатываются в информационных системах персональных данных (далее — ИСПДн).

К общим механизмам безопасности относится использование защищенного протокола взаимодействия с Web-серверами. То есть при входе и пребывании в социальной сети должен использоваться протокол https. Это гарантирует безопасную передачу информации по сети (но при этом снижается скорость передачи данных), в том числе связки логин-пароль. Но данная технология защиты должна поддерживаться информационной системой (практически все соцсети это поддерживают). Необходимо следить и регулярно очищать данные о профиле пользователя социальной сети, оставляемые браузером в виде файлов или записей на компьютере. В некоторых случаях такие данные могут использоваться вредоносным ПО для получения из них некоторых важных сведений (например, той же связки логин-пароль). В число рекомендаций второй группы также необходимо отнести установку на компьютер антивирусов и других средств защиты. Но не стоит также забывать о мобильных устройствах, с которых в последнее время много пользователей заходят в социальные сети. Данные устройства локально хранят личностные данные, полученные из социальных сетей, и также подвержены действию вредоносного ПО.

Отдельным пунктом стоит упомянуть о социальной инженерии, которая является довольно эффективным инструментом получения информации. Суть ее заключается в создании определенных ситуаций, в которых люди сами предоставляют злоумышленникам сведения. Как правило, данные ситуации предполагают либо введение человека в некомфортное психологическое состояние, при котором надо принять быстрое и, как правило, неверное решение, либо же, наоборот, создание доверительной атмосферы, в которой человек, ни о чем не подозревая, готов рассказать о своей личной информации (но это потребует гораздо большего времени).

При использовании электронных платежных средств (кредитные карты, интернет кошельки и прочее) необходимо быть особенно внимательными. Совершая покупки онлайн, следует пристально изучить сайт на предмет мошенничества. Рекомендуется обратиться к отзывам людей о данном сайте перед окончательным решением об его использовании. Также не стоит привязывать свою карту к платежным системам сайта.

В заключении хотелось бы подчеркнуть, что пользователи сети Интернет в состоянии обезопасить свои персональные данные. Достаточно лишь следовать простым принципам, а именно:

-тщательно проверять сайты на предмет соответствия нормам и остерегаться подозрительных сайтов;

-не привязывать свои платежные системы к сомнительным сайтам;

-при выявлении нарушений закона немедленно сообщать в соответствующие органы;

-следить за сохранностью своих персональных данных при использовании мессенджеров и социальных сетей. Не сообщать свои личностные данные подозрительным и малознакомым людям, даже если они представляются администрацией сайта;

-внимательно читать соглашения об обработке персональных данных.

Операторы сайтов, в свою очередь, должны соблюдать права владельцев данных. При заключении соглашения, оператор обязан проинформировать их владельца о виде, объеме персональных данных, о целях их обработки, а также о сроке, по истечению которого ПДн субъекта будут уничтожены.

Необходимо понимать, что при повсеместном распространении современных технологией и с развитием и компьютеризацией общества, следует обеспечивать более надежную защиту персональных данных пользователей как путем изменения внутреннего законодательства, так и оперативным законодательным  реагированием на появление новых угроз.

Список литературы:

1. Федеральный Закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ // Собрание законодательства РФ. – 2006. – № 31. – (1 ч.). – Ст. 3451; 2017. – № 31. – (Часть I). – Ст. 4772.
2. Марков А., Никулин М., Цирлов В. Сертификация средств защиты персональных данных: революция или эволюция // Защита информации. Инсайд. – 2008. – № 5 (23). – С. 20-25
3. Михеева Е. Проблема правовой защиты персональных данных // Персональные данные. –  2012. –  № 2. –  С. 15 – 26
4. Садикова И. С. Правовые аспекты защиты персональных данных // Право и политика. — 2012. — № 4. — C. 758-761