Введение
В рамках данной работы проведен анализ организации работ по управлению персональными данными.
Стандарты, регулирующие технологию работы со сведениями, содержащими персональные данные, должны содержать:
порядок доступа сотрудников к работе в информационных системах, в которых проводится обработка персональных данных;
технологию разграничения доступа к информационным системам;
технологии копирования и хранения информации, в которой содержатся персональные данные;
использование средств информационной безопасности при обработке персональных данных.
Для определения требований к обеспечению безопасности обработки персональных данных необходимо классифицировать их по типам и объемам.
Классификация персональных данных проведена как в федеральных законах (152-ФЗ «О персональных данных»), так и в нормативных актах ФСБ и других федеральных, а также отраслевых стандартах, соответствующими ГОСТами.
Цель выпускной квалификационной работы заключается в разработке информационной системы управления персональными данными сотрудников предприятий.
Задачи работы:
анализ нормативно-правовых актов и основных требований к защите персональных данных;
анализ специфики работы с персональными данными в условиях исследуемой компании;
построение модели угроз конфиденциальности персональных данных;
анализ бизнес-процессов управления персональными данными;
анализ используемых программных и аппаратных средств защиты персональных данных;
анализ недостатков существующей системы защиты персональных данных;
разработка рекомендаций по совершенствованию системы защиты персональных данных;
технико-экономическое обоснование проекта.
Объект исследования: технология по обеспечению защиты информации Управления ПФР.
Предмет исследования: технология обеспечения защиты персональных данных Управления ПФР.
1.Аналитическая часть
1.1. Обзор законодательных актов в области защиты персональных данных
Персональные данные - любая информация, имеющая отношение к определенному или определяемому на основании такой информации физическому лицу, позволяющая его идентифицировать включающая реквизиты:
фамилия, имя, отчество;
дату и место рождения;
контактные данные;
данные об образовании, месте работы;
иные данные (о состоянии здоровья, биометрические данные, реквизиты документов, данные идентификации субъекта в банковских системах и др.)
Субъект персональных данных – физическое лицо, идентифицируемое посредством персональных данных (владелец персональных данных).
Согласно докладу о глобальных рисках Всемирного экономического форума 2019 года, мошенничество с данными и кибератаки являются четвертым и пятым глобальными рисками, с которыми сталкиваются организации, использующие автоматизированные системы для обработки информации. По своей значимости эти риски приравниваются к экологическим проблемам. На рисунке 1 приведены статистические данные по нарушениям персональных данных в странах мира на 2019 г. (красный столбец) в сравнении с 2018г. (серый столбец).
Рисунок 1 - Статистические данные по нарушениям персональных данных в странах мира на 2019 г. в сравнении с 2018г.
Как показано на рисунке 1, в настоящее время наблюдается тенденция к росту инцидентов, связанных с утечками персональных данных, которые несут значительный ущерб для субъектов. В Российской Федерации также отмечаются случаи утечки персональных данных, содержащихся в информационных базах различных ведомств (рисунок 2).
Рисунок 2 – Утечки персональных данных в РФ за 2019г.
Утечки персональных данных могут происходить как непреднамеренно из-за нарушения требований к защите информации, так и вследствие направленных действий злоумышленников.
Таким образом, для обеспечения защиты персональных данных необходимо принимать ряд технологических и организационных мер, позволяющих обеспечить требования работы с конфиденциальной информацией.
Одной из наиболее часто встречающихся категорий персональных данных, с которой работают специалисты различных компаний, являются данные о сотрудниках. Специалистам отделов по работе с персоналом приходится работать со сканированными копиями документов сотрудников, что предполагает необходимость ограничения доступа к ним. Запросы на предоставление персональных данных могут подаваться со стороны различных ведомств, при этом их направление не всегда является правомерным. Таким образом, специалисту по кадрам необходимо знать, какие данные можно предоставлять в конкретное ведомство. Автоматизация разграничения доступа по типам документов позволяет выполнить требования законодательства о защите персональных данных, так как позволит создать возможности определения типов документов, которые могут быть предоставлены в ответ на запросы и автоматизировать рассылку данных в защищенном виде.
Нормативная база в области защиты персональных данных включает:
152- ФЗ «О Персональных данных» от 27.07.2006;
Статьи Трудового кодекса;
Локальные нормативные акты.
Нормативной базой технологии систем информационной безопасности являются: федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и ФСБ России, регулирующие вопросы безопасности информации.
В соответствии с нормативными документами в области защиты информации, каждое предприятие и организация, в которой производится обработка персональных данных, обязано принять ряд организационных и технологических мер по обеспечению защиты информации.
Приведем основные положения законодательных актов в области информационной безопасности.
Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационных систем персональных данных (ИСПДн) и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе.
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным
Согласно Федеральному закону от 27 июля 2006г. № 152-ФЗ, оператор в рамках обработки персональных данных должен обеспечивать комплекс необходимых правовых, организационных и технических мер по обеспечению конфиденциальности персональных данных, что достигается путем определения угроз безопасности, оценки эффективности мероприятий по обеспечению безопасности, контроля за принимаемыми мерами по защите информации [8].
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление № 1119 содержит довольно подробную классификацию информационных систем персональных данных, угроз безопасности таких систем (п. 6), уровней защищенности информационных систем от указанных угроз
Так, в постановлении № 1119 выделено пять типов информационных систем персональных данных в зависимости от того, какие именно данные обрабатываются в рамках такой системы[7, c.58]:
1. информационные системы, обрабатывающие специальные категории персональных данных (данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и т.д.);
2. информационные системы, обрабатывающие биометрические данные (данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность);
3. информационные системы, обрабатывающие общедоступные персональные данные;
4. информационные системы, обрабатывающие иные категории персональных данных (данные, не перечисленные выше);
5. информационные системы, обрабатывающие данные о сотрудниках оператора информационной системы.
В соответствии с требованиями к защите персональных данных при их обработке в информационной системе персональных данных (постановлении № 1119), под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным[12, c.88].
В настоящее время согласно методологии информационной безопасности, определены три типа угроз безопасности информационных систем персональных данных[11, c.78]:
1. Угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении, используемом в информационной системе;
2. Угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении, используемом в информационной системе;
3. Угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Приказ ФСТЭК России № 21 от 18.02.2013 определяет принципы классификации систем персональных данных. Согласно приказу ФСБ от 10.07.2014 № 378 определены четыре уровня защищенности персональных данных.
Каждый из присвоенных уровней защищенности предполагает применение соответствующих мер по обеспечению информационной безопасности.
В зависимости от соотношения типа информационной системы и характерных для нее угроз выделены четыре уровня защищенности персональных данных, необходимых для конкретной информационной системы.
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации.
Общие требования к обеспечению информационной безопасности включают в себя [9, c.58]:
- принятие решения о необходимости защиты информации, содержащейся в информационной системе;
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации информационной системы;
- классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы).
В рамках данной работы проведен анализ вопросов обеспечения защиты информации в информационных системах через построение методики оценки эффективности защиты персональных данных.
Этапами построения архитектуры системы информационной безопасности на предприятиях являются:
- аудит информационной системы, определение класса информационной системы;
- приведение базы локальных нормативных актов предприятия в соответствие с требованиями уровня защищённости информационной системы;
- проектирование технологической компоненты информационной безопасности в соответствии с уровнем защищенности информационной системы;
- установка технических средств защиты информации (системы видеонаблюдения, контроля управления доступом, систем охранно-пожарной сигнализации) в соответствии с моделью угроз безопасности.
Также за нарушения требований защиты персональных данных возможно наступление административной и уголовной ответственности.
Проблематика обеспечения защиты личных персональных данных рассматривается как в существующих законодательных актах, так и в исследовательских работах, посвящённых указанной тематике.
В работе Овчинниковой Т. А. «Ответственность за нарушение требований законодательства РФ о персональных данных» рассмотрены законодательные аспекты обеспечения защиты персональных данных, описан порядок привлечения к ответственности в зависимости от тяжести обнаруженного нарушения (от дисциплинарного взыскания до уголовной ответственности).
В работе Родичева Ю. А. «Правовая защита персональных данных» проведен анализ нормативных актов в области обеспечения защиты персональных данных – от федеральных законов до отраслевых стандартов. В работе Воробьева Е. Г. «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» проведено описание требований к классам защищённости информационных систем персональных данных в зависимости от их категории.
Внесение персональных данных субъекта в общедоступные источники производится при наличии письменного согласия и ограничивается: фамилией, именем, отчеством, годом и местом рождения, адресом, абонентскими номерами и иной информацией, распространение которой не может нанести вреда субъекту.
Персональные данные являются информацией ограниченного доступа и являются объектом защиты в соответствии с требованиями законодательства РФ. При разработке требований к защите персональных данных производится их разделение на 4 категории, включающие:
- категория 4 - обезличенная и (или) общедоступная информация;
- категория 3 - персональные данные, с помощью которых проводится однозначная идентификация субъекта персональных данных;
- категория 2 - персональные данные, с помощью которых проводится идентификация субъекта персональных данных и возможно получение о нем дополнительных данных, за исключением персональных данных, отнесенных к категории 1;
- категория 1 - персональные данные, описывающие расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, данные о состоянии здоровья, интимной жизни.
Классы информационных систем, обрабатывающих персональные данные, определяются их категорией и количеством ПДн.
В ИСПДн класса 4 (К4) при нарушении параметров обработки персональных данных, отсутствуют негативные последствия для субъектов
- Курсовая работа
- Дипломная работа
- Контрольная работа
- Реферат
- Отчет по практике
- Магистерская работа
- Статья
- Эссе
- Научно-исследовательская работа
- Доклад
- Глава диплома
- Ответы на билеты
- Презентация
- Компьютерный набор текста
- Речь к диплому
- Тезисный план
- Чертёж
- Диаграммы, таблицы
- ВАК
- Перевод
- Бизнес план
- Научная статья
- Рецензия
- Лабораторная работа
- Решение задач
- Диссертация
- Доработка заказа клиента
- Аспирантский реферат
- Монография
- ВКР
- Дипломная работа MBA
