Защита персональных данных
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.
Защита персональных данных — комплекс мер технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к субъекту персональных данных.
В соответствии требованиям Федерального Закона № 152-ФЗ должны быть приведены как новые, так и уже существующие информационные системы, обрабатывающие персональные данные. Согласно постановлению Правительства РФ от 17.11.2007 г. № 781 в информационных системах персональных данных должно быть обеспечено:
· предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· постоянный контроль за обеспечением уровня защищенности персональных данных.
Под требования Федерального Закона «О персональных данных» попадают практически все организации – коммерческие, государственные, общественные, - которые имеют кадровые службы и владеют персональными данными своих клиентов и сотрудников.
За невыполнение требований Закона «О персональных данных» предусмотрена административная и уголовная (в соответствии со статьями КоАП и УК РФ) ответственность. Ответственность может быть наложена как на юридические (организации), так и на физические лица: рядовых сотрудников и руководителей предприятия. Деятельность организации по обработке персональных данных также может быть приостановлена по требованию Роскомнадзора.
Услуги по защите персональных данных направлены на снижение рисков карательных санкций со стороны регулирующих органов, определенных в законе: ФСБ России, ФСТЭК России и Роскомнадзора.
Аутентификация.
Слово, вынесенное в название раздела является, по идее, правильным переводом английского слова authentication, - термина из сферы информационной безопасности. Слово обозначает процедуру проверки на основании некой уникальной информации личности человека, который пытается получить доступ к данным (идентификация), а также выяснение, является ли этот субъект тем, за кого себя выдает.
В русском языке, однако, прижился модифицированный вариант этого термина – аутентификация. Видимо, аналогом для подобной метаморфозы послужила идентификация (identification), которая определяется как процедура распознавания субъекта по его идентификатору (какой-либо информации – числу, строке символов и т.д.).
Причина этого лингвистического казуса представляется вполне ясной – понятия «аутентификация» и «идентификация» столь близки, что порой их путают даже квалифицированные специалисты. Вот и сейчас – определения даны, а ясности пока нет. Попробуем разобраться более детально.
Для простоты представим себе проходную предприятия и охранника, который обязан контролировать проход на территорию и задерживать всех посторонних. Всех сотрудников внесли в списки, и для того, чтобы пройти мимо бдительного сотрудника охраны, нужно назвать себя. Дальше происходит то, что как раз и называется идентификацией: в имеющейся «базе учетных данных» происходит поиск идентификатора. Если сотрудник начал работать недавно и еще не попал в списки, охранник его не пропустит – в базе нет такого идентификатора. В этом примере подлинность субъекта не проверяется – зная ФИО любого сотрудника можно незаконно проникнуть на охраняемую территорию. Таким образом, идентификация не обеспечивает высокой степени безопасности, так как идентификатор легко отделим от субъекта и может быть использован посторонним.
Описанный недостаток присущ всем системам идентификации вне зависимости от принципа, лежащего в их основе. Всем знакомые турникеты-«вертушки», открывающиеся от приложенной карточки с беспроводной радиометкой RFID, тоже никак не проверяют личность субъекта. Понятно, что такой способ приемлем, например, для контроля прохода в метро, но для обеспечения действительно надежной защиты он не годится.
Отличный пример аутентификации подарили нам отечественные мультипликаторы. В 15-м выпуске «Ну, погоди!» Бегемот-охранник на входе в Дом Культуры не только спрашивает у Волка идентификатор («Кто?»), но и проверяет, соответствует ли Волк тому, за кого он пытается себя выдать («заяц», «зебра», «черепаха»). Другими словами, Бегемот проводит аутентификацию субъекта.
Итак, идентификация – это распознавание субъекта по идентификатору (есть в базе или нет), а аутентификация – это проверка соответствия между субъектом и предъявляемым им идентификатором
И ее факторы
Каким же способом можно проводить аутентификацию? Прежде чем ответить на этот вопрос, введем еще одно понятие. Фактор аутентификации – это определенный вид уникальной информации, предоставляемый субъектом системе при его аутентификации.