Что касается персональных данных работников организации, согласно статье 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», они дают письменное согласие на их обработку. При этом по нормативному документу «Требования к защите персональных данных при их обработке в информационных системах персональных данных» оператором обработки персональных данных является организация или лицо, уполномоченное на это. Защита персональных данных – обязанность оператора. Информационная система при этом будет состоять из базы персональных данных, а также технических средств, обеспечивающих обработку персональных данных. Однако учреждение не может гарантировать субъекту сохранность его персональных данных. Работодатель обязан ознакомить своего работника с уровнем защиты его персональных данных и условиями информационной безопасности его персональных данных. Таким образом, на локальном уровне должен быть разработан нормативный документ об информационной безопасности персональных данных.

В соответствии с «Требованиями по защите персональных данных при их обработке в информационных системах персональных данных» операторы обязаны контролировать выполнение требований безопасности, но на практике выявляется большое количество нарушений. Это говорит о том, что операторы уделяют недостаточно внимания к безопасности информационных систем.

В правоприменительной практике имеются серьезные организационные, технические, кадровые и правовые трудности. Не хватает организационной и технической базы, а также специалистов в области информационной безопасности. При совершении киберпреступлений нет специального оборудования, способного определить местоположение откуда он было совершено. Также существует сложность в определении субъекта и предмета преступления, его квалификации и сборе доказательств, подтверждающих факт преступления.

Нередко преступник является внутренним нарушителем, лицом, работающим в данной организации и имеющим доступ к персональным данным других сотрудников. Внутри организации режим информационной безопасности часто имеет большое количество уязвимостей. Подобный внутренний саботаж в настоящее время широко распространен. Преступники внедряют ошибочные решения в процесс управления и хозяйственной деятельности, дезинформируют сотрудников и завладевают ключевой информацией. Производство дезорганизовано, интеллектуальная собственность незаконно получена. Человеческий фактор является одной из главных

---

угроз информационной безопасности организации, а незаконное использование чужой личной информации –одна из основных уязвимостей компании.

Таким образом, основной проблемой информационной безопасности персональных данных в организациях является субъективный фактор, а именно честность и соблюдение операторами всех требований, а также внимательность граждан к своим персональным данным.

Напоминание пользователям о необходимости соблюдения правил информационной безопасности должно быть основным правилом каждого оператора и работодателя. Игнорирование принципов безопасности может привести к значительным экономическим потерям.

Что касается информационной безопасности в сети, пользователи размещают огромное количество персональной информации о себе, тем самым позволяя воспользоваться этой информацией злоумышленникам.

Необходимо информировать пользователей сайтов о возможности ограничить доступ к своим данным, повышать грамотность в сфере информационных технологий со школьного возраста.

Одной из мер по обеспечению безопасности персональных данных при использовании Интернета является электронная подпись. Эту подпись может получить любой гражданин, заплатив определенную сумму. Но в настоящий момент не каждый может это сделать. Необходимо рассмотреть возможность бесплатного обеспечения пользователей электронной подписью. Кроме того, необходимо определить срок хранения персональной информации в организации на законодательном уровне, а также установить обязательную процедуру ее уничтожения по истечении данного срока. Ввести для работодателей обязанность ознакомления своих работников с уровнем защиты, а также условиями информационной безопасности их персональных данных.

Собственникам сайтов в Интернете, а также провайдерам необходимо уведомлять пользователей о том, что при взаимодействии с сайтами осуществляется сбор и обработка персональных данных, в ясной и понятной форме раскрывать виды и методы сбора данных, указывать конкретные цели и способы использования данных, четко и открыто объяснять возможность отказаться от согласия на сбор и использование данных, указывать конкретные условия и способы хранения личных данных, прекращать сбор и обработку в случае получения отказа, обеспечивать свободный доступ граждан для ознакомления с собранной о них информацией.

---

Также существует проблема с выполнением операторами обязательства уведомлять Роскомнадзор. С одной стороны, операторы подходят к выполнению этого обязательства формально, с другой стороны, само учреждение не располагает достаточными ресурсами для разбора всех поступающих уведомлений и, следовательно, нет возможности оперативного выявления рисков безопасности персональных данных и реагирования на них. В этой связи можно было бы применить зарубежную практику, заложенную в GDPR о защите физических лиц при обработке персональных данных, и частично отказаться от обязательства операторов уведомлять Роскомнадзор. Осуществить это можно с помощью расширения перечня, указанного в части 2 статьи 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», когда такое уведомление не требуется.

Важным вопросом остается возможность утечки персональных данных в сети Интернет. Базы персональных данных представляют большой интерес у преступников, так как в сети широко распространена практика продажи баз данных различным компаниям. Эту проблему можно решить, разработав собственное программное обеспечение, оптимизировав систему защиты устройств пользователей, проработать и улучшить методы обнаружения и расследования эпизодов кражи баз данных, ужесточить законодательство в части наказаний за правонарушения и преступления в области защиты персональных данных.

Важным аспектом является обеспечить невозможность кражи персональной информации из закрытых баз данных, предназначенных для служебного пользования. Такая проблема есть в государственных и муниципальных учреждениях. Вероятнее всего, в данном случае присутствует незащищенность и наличие ошибок в информационных системах, несанкционированный доступ, нарушение сотрудниками правил конфиденциальности. В этом случае помогут исправить ситуацию те же рекомендации, что и при обеспечении безопасности персональных данных в сети Интернет.

Необходимо провести реформу существующего законодательства в сторону защиты прав отдельных субъектов при обработке их персональных данных в информационных системах, а не на обеспечение защиты данных в целом.

Важнейшим фактором защиты персональных данных является деятельность и ответственность самих субъектов персональных данных. Следуя определенным рекомендациям при работе в сети Интернет, пользователи могут предотвратить подавляющее большинство незаконных действий со своими данными:

• 
  не скачивать и не устанавливать приложения и программы из непроверенных источников;
  

---

• 
  использовать только лицензионные антивирусные программы, обновлять их до актуальной версии, периодически проверять устройство на наличие вирусов;
  

• 
  использовать только лицензионное программное обеспечение на своем устройстве;
  

• 
  не пользоваться общедоступными или непроверенными устройствами;
  

• 
  не предоставлять личную информацию третьим лицам;
  

• 
  не посещать сайты, содержащие незаконную или сомнительную информацию;
  

• 
  своевременное обновлять и устанавливать необходимые подписи, способствующие сохранению безопасного доступа, отправляемые производителем.
  

Установление необходимого уровня утвержденных различных мер по защите информации от незаконного доступа, уничтожения, модификации, блокирования, копирования, распространения и других противоправных действий очень сложно на практике. В частности, для определения того, какую меру следует использовать, необходимо в первую очередь определить уровень ее защиты.

Когда оператор в отношении базы персональных данных установил необходимый уровень защиты, следующим уровнем регулирования является реализация как организационных, так и технических мер. Эти меры предписываются для каждого уровня защиты и регулируются соответствующим документом. Часто на практике возникает вопрос, должны ли быть сертифицированы методы защиты информации, применяемые оператором системы обработки персональных данных.

Федеральная служба по техническому и экспортному контролю России Информационным сообщением от 4 мая 2012 года № 240/24/1701 установила обязательный характер такой сертификации для защиты отдельных данных. Следует отметить, что обеспечение соответствия используемой оператором системы обработки персональных данных является достаточно трудоемким и дорогостоящим видом деятельности, так как в некоторых моментах оператор не сможет внедрить ее при отсутствии поддержки со стороны. Необходимо продолжать совершенствовать и вносить коррективы в законодательство в этой области, используя зарубежный опыт, который подтверждает эффективность дальнейших реформ. Необходимо привлекать не только определенные ведомства, но и специалистов, занимающихся техническими вопросами в области защиты персональных данных, с целью повышения правовой безопасности обработки персональных данных.

Пространство становится виртуальным, но в этом виртуальном пространстве должны применяться правила, регулирующие обычное пространство. Сейчас любое вмешательство государства в функционирование сети ощущается пользователями как нарушение их прав, так как в настоящее время регулирование осуществляется посредством общественного контроля.

---

Интернет –это глобальная международная площадка, объединяющая весь мир. Следует вывод о том, что и законодательство в этой области должно быть единым и унифицированным. Необходимо избрать путь международного сотрудничества и стандартизации законодательства в данной сфере. Разработка единых правил приведет к упорядочению и единству отношений между субъектами сетевых отношений.

Безусловно, необходимо ввести должность специалиста по информационной безопасности в каждую отрасль. В каждой организации, в зависимости от ее численности, должен быть такой специалист, либо отдел по информационной безопасности. Сейчас функции такого специалиста возлагают на сотрудников отдела информационных технологий, системных администраторов, или того человека, который занимается компьютерной техникой. Но обеспечить защиту персональных данных и информации, хранящейся в организации –это колоссальный объем работы и ответственность. Эти функции не могут быть возложены как дополнительные.

Также необходимо ввести обязательный предмет в школе по компьютерной грамотности, чтобы со школьной скамьи человек имел представление о правилах поведения в Интернете, о том, как обезопасить свои данные, не посещать подозрительные сайты и не переходить по различным ссылкам. Эти темы необходимо подробно изучать наряду с математикой или литературой. Также ввести в университеты целое направление по информационной безопасности, повышать престиж данного направления. Взять за практику обмен студентами для получения опыта между странами.

Ужесточить наказание за нарушения в области защиты персональных данных. В случае, если обработка персональных данных происходила без согласия субъекта, определить это деяние как уголовное. Штрафные санкции должны быть сопоставимы с европейскими штрафами. Для этого предлагаю в статье 5.39 Кодекса Российской Федерации об административных правонарушениях увеличить размер штрафа на должностных лиц до 100 000 рублей, в части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях увеличить размер штрафа на граждан до 30 000 рублей, на должностных лиц – до 100 000 рублей, на юридических лиц – до 500 000 руб. В части 3 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях увеличить размер штрафа на граждан до одной тысячи пятисот рублей; на должностных лиц – от трех тысяч до 60 000 рублей; на индивидуальных предпринимателей – до 100 000 рублей; на юридических лиц – до 300 000 рублей. В части 4 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях увеличить размер штрафа на граждан до 20 000 рублей; на должностных лиц – до 60 000 рублей; на индивидуальных предпринимателей – до 150 000 рублей; на юридических лиц – до 400 000 рублей. В части 5 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях увеличить размер штрафа на граждан до 20 000 рублей; на должностных лиц – до 100 000 рублей; на индивидуальных предпринимателей – до 200 000 рублей; на юридических лиц – до 450 000 рублей. В части 6 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях увеличить размер штрафа для граждан до 100 000 рублей; на должностных лиц – до 200 000 рублей; на индивидуальных предпринимателей – до 500 000 рублей; на юридических лиц – до 1 000 000 рублей. В части 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях увеличить размер штрафа на должностных лиц до 60 000 рублей.

---

Смотрите также файлы

• Отчет по практическому занятию 8 Язык релейной (лестничной) логики Практические работы. Часть 2 Проверил.docx

• Лекции и рекомендуемую литературу. 1 Методики, предлагаемые ребенку.docx

• Тема выпускной квалификационной работы студент группы пиб1ЗБсвол14.ppt

• Отчет по производственной практике пм. 05. Приготовление, оформление и подготовка к реализации хлебобулочных, мучных кондитерских изделий разнообразного ассортимента.doc

• Институт гуманитарных и социальных наук Кафедра педагогики и психологии Творческое задание 2 По дисциплине "Межкультурные коммуникации" Выполнил(а) студент(ка) Яблокова Анна.docx