27 Декабря, 2010

Меры и средства защиты персональных данных в Эстонии

dima-q
Статья для последнего номера журнала «Персональные данные»
Первый закон о защите персональных данных в Эстонии был принят в далёком 1996 году. Со временем потребовалось многое дополнить и изменить, а потому в 2008 году увидела свет новая редакция этого правового акта. В промежутке между этими двумя событиями произошло много интересного. Так, 1998-м годом датируется появление первых информационных систем эстонского электронного государства: Коммерческого Реестра и Авторегистра. Годом позже появилась и специализированная контролирующая организация – «Государственная инспекция по защите данных» (далее – Инспекция).

Вхождение Эстонии в Евросоюз, стремительная «дигитализация» небольшой страны, а также отдельные случаи нецелевого использования или злоупотребления имеющейся информацией позволили всем заинтересованным сторонам осознать важность этого вопроса. Сегодня можно уверенно сказать, что персональные данные находятся в использовании государства или коммерческих структур в разумном и достаточном количестве. Инспекция ведет особый DIAT-реестр, куда данные о субъектах и операторах персональных данных заносятся на основании ходатайств. Проверки проводятся, но не очень быстро: Инспекции не хватает кадров. За нарушения правил хранения и обработки данных сначала предъявляют предупреждения. А после могут выписать серьёзные штрафы, исчисляемыми в десятках тысяч евро.

ID-карта: Один документ на все случаи жизни
ID-карта – это чип-карта стандартного размера с фотографией, голограммой и неделикатными данными её хозяина (датой рождения, датой выдачи и действия документа, а также уникальным личным кодом каждого жителя страны, указанием даты рождения и пола владельца).
В пределах Эстонии ID-карта является основным документом, удостоверяющим личность гражданина. Ее можно использовать для получения практически любых государственных или коммерческих услуг, предъявить в качестве документа в любой ситуации. Более того, законодательство Эстонии запрещает требовать предъявления какого-либо другого документа для удостоверения личности.
Личные данные владельца, которые находятся на документе и сертификаты – вот и вся информация, которая находится на чипе карты. Отсутствие биометрии или каких-либо конфиденциальных данных, мудрёных приложений и аппликаций – это несомненный плюс данного документа. Как с экономической точки зрения, так и с точки зрения безопасности.

Для подключения к государственным и частным информационным системам требуется недорогая «читалка», которая подключается к любому компьютеру. Ее можно купить в любом компьютерном магазине, банке или почтовом офисе Эстонии. Средняя стоимость – 7-8 долларов.

Помимо авторизации в государственных и коммерческих информационных системах, ID-карта имеет ряд других полезных возможностей. В частности, она позволяет ставить на электронные документы цифровую подпись или зашифровывать файлы с помощью специального приложения. Кроме того, пользователям ID-карты доступна возможность безопасно покупать билеты на всевозможные мероприятия и дистанционно участвовать в выборах.
Очевидно, что широкое применение ID-карты в для доступа к всевозможным информационным системам требует обеспечения серьезной защиты последних. За последние несколько лет Эстония сделала огромный шаг в этом направлении.

«Все ходы записаны»: Система Межведомственного Электронного Взаимодействия
Система межведомственного электронного взаимодействия (далее – СМЭВ) позволяет получить доступ к персональным данным частного лица из баз данных различных государственных структур и только в тех случаях, когда это необходимо. По своей сути, СМЭВ является надсистемой, через которую пользователь получает доступ к базам данных. На чипе ID-карты имеется ряд обязательных специальных сертификатов, которые позволяют пользователю авторизоваться в государственных системах. По своему желанию пользователь может добавить и другие сертификаты для получения услуг от всевозможных коммерческих организаций. При доступе к СМЭВ, система идентифицирует пользователя и определяет, имеет ли он доступ к той или иной информационной системе, после чего открывает или блокирует доступ.
Система СМЭВ – это результат долгой и кропотливой работы. Первоначально в Эстонии было множество ведомственных информационных систем, которые в итоге были совмещены в одну.

Схема СМЭВ: чтобы получить доступ к нужной информационной системе, прежде всего, необходимо идентифицироваться в СМЭВ.

Одним из ключевых средств защиты личной информации в СМЭВ является использование ролевой модели доступа. При авторизации к информационным системам возможны три роли пользователя – гражданин, предприниматель или чиновник.
Каждая роль предполагает определённый набор функций. Например, роль «гражданин» предоставляет пользователю такие функции, как смена места жительства, адреса, регистрация ребенка (в том числе, в случае усыновления), получение медицинских услуг.
В случае регистрации предприятия, либо регистрации в качестве частного предпринимателя, пользователь получает роль «предприниматель». Эта роль предполагает характерные для бизнесмена функции, в частности, предусматривает обязанность предоставлять в налоговую службу сведения об обработке персональных данных сотрудников и оплате их труда.
Набор гражданских функций есть и в роли предпринимателя, и в роли чиновника. Но управлять ими в этих ролях нельзя. То есть, в том случае, если человеку необходимо сменить информацию о своем месте жительства, для этого ему необходимо зайти в систему в роли гражданина.

Права пользователя в каждой роли ограничены. Тому же полицейскому в ответ на его запрос не будут предоставлены данные о вашем здоровье, а врачу – о судимостях или отбытых наказаниях. Это достигается посредством стандартизации хранения и использования данных и реализации мер безопасности во всех информационных системах. В Эстонии существует обязательная методика, внутренний стандарт ИБ, которая называется ISKE.
Государство всегда будет хранить большой набор сведений о гражданине. Утечка информации о гражданах из госорганов – штука крайне неприятная, но, честно говоря, случается это не так уж и часто. Грамотно выстроенная единая система идентификации граждан и госчиновников серьезно осложняет задачу злоумышленников по использованию баз данных госорганов.

Но самым важным преимуществом СМЭВ является следующее.
Подробнее, полностью, иллюстрациями - в журнале... ;) И на блогспоте http://dima-q.blogspot.com/
или введите имя

CAPTCHA