31.1.2019

Информационная защита и информационная безопасность

Казалось бы, словосочетания «информационная защита» и «информационная безопасность» имеют одинаковый смысл, но в действительности имеют абсолютно отличительное значение.

Словосочетание «информационная защита» касается права личности при обработке его персональных данных. Обрабатывая персональные данные необходимо уважительно относиться к неприкосновенности частной жизни и права личности самостоятельно принимать решения по использованию собственных данных.

«Информационная безопасность», в свою очередь, означает обеспечение защиты любой информации, в том числе, от уничтожения и от несанкционированного использования. Требования по безопасности при обработке персональных данных являются частью защиты информации, потому что личность имеет право предполагать, что её персональные данные находятся под надежной защитой. Меры по обеспечению безопасности данных, естественно, также необходимы для защиты и любой другой электронной информации.

Общий регламент по защите данных, принятый Евросоюзом в апреле 2016 года, находится в применении с 25 мая 2018 года во всех государствах-членах ЕС. В связи с этим министерство юстиции Финляндии создало рабочую группу, задача которой состояла в выяснении к 31 мая 2017 года необходимости внесения поправок в законодательство страны. Рабочей группе было поручено принять во внимание цель по воздержанию от дополнительных предписаний и изысканию возможности отказаться от особых излишних предписаний.

Регламент принес финским предприятиям, как новые преимущества, так и новые обязанности. С отменой различных национальных законов о защите информации международный бизнес упростился и на территории ЕС за возможно небольшими исключениями, стали действовать одни и те же законы по защите информации.

Обладатели информации, деятельность которых требует регулярного и систематического мониторинга масс или обработки конфиденциальных персональных данных, в соответствии с законодательством, обязаны назначить ответственных за сохранность данных, знающих законодательство по защите информации, на самом предприятия или вне предприятия. Если плановая деятельность предприятия сопрягается с высокими рисками безопасности, то предприятие должно провести оценку воздействующих мер защиты данных при её внедрении. В соответствии с принципами встроенной защиты и защиты по неразглашению при планировании и определении методов по обработке данных, необходимо принимать во внимание способы обработки информации и её значимость.

Право личности на получение информации подтверждается положениями, касающиеся содержания предоставленной им информации, способа получения и четкости. С целью повышения конкуренцию, предприятие при условии наличия технической возможности, предлагает пользователям возможность передавать свои данные в систему другого предприятия в неизмененном виде. Также правовая система распространяет запрет на право личности по обработке собственных данных.

Новый регламент по защите информации основан на принципе проявления ответственности (подотчетности). В будущем предприятие должно быть в состоянии предъявить, что оно выполняет обязательства по защите информации, в том числе и по информационной безопасности. Несоблюдение требований может повлечь ответственность за нанесенный ущерб и значительному штрафу. Максимальный административный штраф может составлять до 20 млн. евро или до 4 % от глобального годового товарооборота предприятия, в зависимости от того, какая из величин будет значительнее.

Тем не менее текст регламента не предоставил четкого ответа, что именно на практике предполагают прописанные обязательства по обеспечению защиты информации. Под целью регламента предполагают, что подробные директивы входят в практические предписания, составленные зонтичными организациями или органами, выдающими сертификаты.

Обязательства, касающиеся безопасности информации, проясняют в регламенте. В регламенте в качестве примеров приводят псевдонимизацию и шифрование персональных данных, непрерывную конфиденциальность систем и услуг, целостность, удобство применения и бесперебойность, быструю обратимость информации в случаях возникновения неисправности, а также регулярную процедуру тестирования. Дополнительно регламент предусматривает законодательную ответственность за обеспечение информационной безопасности и многие другие вопросы, относящиеся к предприятиям, обрабатывающим персональные данные, полученные им от другого предприятия на основании договорных обязательств. Договора между хранителями базы данных и обработчиками данных должны быть составлены в письменной форме, а содержание договоров должно соответствовать специальным требованиям.

Регламент по защите данных вменяет в обязанность предприятий сообщать о нарушениях правил информационной безопасности в отношении персональных данных, например, о захвате данных хакерами. Такая обязанность ранее была вменена операторам услуг электронной почты, но в настоящий момент в сферу обязанности по уведомлению входят все предприятия. О сбое системы информационной безопасности в отношении персональных данных, необходимо заявить официальным органам в течение 72 часов после возникновения сбоя, а в некоторых случаях и лицам, являющимися владельцами данных. Если предприятие обрабатывает персональные данные на основании договора, заключенного с другим предприятием, то она информирует заказчика о сбое системы безопасности, и заказчик направляет требуемые уведомления официальным лицам, а в случае необходимости и тем зарегистрированным лицам, данные которых находятся под угрозой безопасности.

© 2022 Asianajotoimisto Lindblad