При развитии правовой базы, регулирующей создание АС ГРН и использование персональных данных, необходимо учитывать требования и опыт мирового сообщества в сфере защиты персональных данных, в частности, требования Конвенции Совета Европы от 28.01.1991 г. № 108 “О защите личности в отношении автоматизированной обработки персональных данных”, Директивы 95 ЕС Европейского парламента и Совета Европейского Союза “О защите прав частных лиц в отношении обработки персональных данных и о свободном обращении этих данных” и Директивы 97Европейского парламента и Совета Европейского Союза “Об обработке персональных данных и защите права на невмешательство в частную жизнь в сфере телекоммуникации”.

При разработке нормативной правовой базы АС ГРН необходимо учитывать принципы и рекомендации европейского законодательства, гарантирующие:

· защиту конституционных прав и свобод личности;

· отсутствие ограничений и запретов на обмен персональными данными по причинам, связанным с защитой прав и свобод личности;

· предоставление личности возможности непосредственного контроля правильности записи и использования персональных данных;

· создание системы государственного надзора за операциями по обработке персональных данных и др.

Учитывая трудоемкость и значительную стоимость создания баз данных АС ГРН, а также недопустимость несанкционированного доступа к ним необходимо решить вопросы, связанные с компенсацией финансовых потерь от различного рода действий, разрушающих информацию. Важное значение при функционировании АС ГРН приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы должны решаться с использованием страховых механизмов. Необходимо разработать “Положение о страховании информационных рисков при функционировании АС ГРН”.

Разрабатываемые правовые акты по созданию и функционированию АС ГРН должны обеспечивать:

· распределение персональных данных по степеням защищенности и по категориям доступа;

· правовые механизмы, обеспечивающие защиту информации;

· организацию работ по защите информации;

· выполнение положений государственной системы защиты информации (ГСЗИ);

· сертификацию технических средств, программных средств и средств защиты персональных данных;

· лицензирование информационной деятельности по формированию и использованию данных АС ГРН;

· страхование информационных рисков.

Нормативно-технические акты, обеспечивающие защиту информации в АС ГРН

Помимо нормативно-правовых актов, обеспечивающих защиту информации в базах данных, существуют нормативно-технические акты, преследующие такие же цели.

Основным видом защиты информации в АС ГРН является система защиты от несанкционированного доступа (СЗИ НСД). Для реализации такой защиты необходимо выставлять требования на разработку всей нормативно-технической документации на всех стадиях проектирования и ввода системы в эксплуатацию.

Система защиты от несанкционированного доступа в АС ГРН должна соответствовать следующим нормативным документам:

· ГОСТ Р50739-95. СВТ. Защита от НСД к информации. ОТТ.

· Руководящие документы Гостехкомиссии России (1992 г.):

o РД АС. Защита от НСД к информации. Классификация АС и требования по защите информации.

o РД СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.

o РД. Концепция защиты СВТ и АС от НСД к информации.

· ИСО МЭК. Защита информации. Обозначение сертификатов.

· ИСО МЭК. 7498-98. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель.

· МЭК. ППС 10181. ИТ. Взаимосвязь открытых систем. Основы защиты информации в открытых системах.

При создании телекоммуникационной сети АС ГРН для подтверждения авторства сообщений и обеспечения их целостности должны применяться средства электронной цифровой подписи.

Средства электронной цифровой подписи должны удовлетворять требованиям:

· ГОСТ Р3410-94. Процедура выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.