Часть дипломной работы на тему Моделирование процессов создания и управления защитой персональных данных в системе органов социальной защиты населения Московской области

Содержание:

Введение 3
Глава 1. Анализ существующей защиты персональных данных в системе органов социальной защиты населения Московской области 5
1.1 Теоретические основы защиты персональных данных 5
1.2 Состояние защиты персональных данных в ТСП 10
Выводы по первой главе 25
Глава 2. Исследование и анализ нормативно-правовых основ обеспечения безопасности персональных данных. 26
2.1. Анализ российских нормативных документов в области защиты персональных данных. 26
2.2. Анализ зарубежных нормативных документов в области защиты персональных данных. 30
Выводы по второй главе 35
Глава 3. Анализ результатов исследования и разработка рекомендаций по совершенствованию защиты персональных данных в системе органов социальной защиты населения Министерства социального развития Московской области. 36
3.1. Анализ результатов исследования. 36
3.2. Разработка рекомендаций по совершенствованию защиты персональных данных в системе органов социальной защиты населения Министерства социального развития Московской области. 45
Выводы по третьей главе 52
Заключение 54
Список литературы 57

Введение:

Современное стремительное развитие информационных технологий предъявляет новые требования к хранению и обработке данных, в том числе персональных. От традиционных носителей информации и от выделенных серверов компании и частные лица постепенно переходят к дистанционным технологиям. Однако переход к распределенному хранению данных в глобальной сети требует построения системы эффективной защиты данных.
Кроме того, проблема защиты персональных данных приобрела особую значимость с вступлением в силу Федерального закона РФ №152-ФЗ «О персональных данных». Информационные системы сбора, хранения, обработки или передачи данных должны строго соответствовать требованиям, обозначенным в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, совместном Приказе ФСТЭК России, ФСБ России, Мининформсвязи России 2013г. № 151/786/461, а также в методических документах ФСТЭК России и ФСБ России.
Тема выпускной квалификационной работы актуальна, т.к. обеспечение защиты информации и персональных данных является одним из приоритетных направлений и важнейшей задачей в обеспечении информационной безопасности любой организации. Невозможно представить деятельность организации без обработки информации о человеке. В них хранятся и обрабатываются данные о сотрудниках и о лицах, посещающих организацию.
Цель квалификационной работы заключается в разработке комплекса организационно-правовых и технических мероприятий, позволяющих повысить уровень защищённости персональных данных в территориальных структурных подразделениях социальной защиты населения Министерства социального развития Московской области (далее – ТСП).
Для достижения цели в работе будут решены следующие задачи:
1. Проанализировать существующую защиту персональных данных в системе органов социальной защиты населения Московской области.
2. Провести анализ нормативно-правовых основ обеспечения безопасности персональных данных.
3. Проанализировать результаты исследования и разработаны рекомендации по совершенствованию защиты персональных данных в системе органов социальной защиты населения Министерства социального развития Московской области.
Объектом исследования данной выпускной квалификационной работы является система защиты информации в ТСП. Предметом исследования являются методы и средства защиты персональных данных.
Методы исследования, используемые в работе: анализ, синтез, изучение источников информации, диагностика.
Данное исследование отличается тем, что включает в себя анализ информационной системы персональных данных ТСП, которая может стать основой для выбора эффективных средств защиты. Кроме того, в работе раскрываются вопросы применения технических и организационных мер по обеспечению безопасности персональных данных.
Практическое применение результаты исследования могут найти при построении системы эффективной защиты персональных данных в ТСП, а также в других организациях, осуществляющих обработку персональных данных.
Выпускная квалификационная работа состоит из введения, трех глав и заключения. Первая и вторая главы – аналитико-теоретические, посвящены вопросам определения персональных данных и анализу уровня защищенности персональных данных в ТСП. Третья глава – практическая, содержит разработку возможных мер по защите персональных данных и описание возможной системы их защиты.

Заключение:

Итак, в данной работе проведена работа по следующим направлениям:
1. Сделан анализ существующей защиты персональных данных в системе органов социальной защиты населения Московской области и сформулированы следующие положения:
а) Персональные данные относятся к конфиденциальным данным и определяются как информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу.
б) Главным законодательным актом в сфере защиты персональных данных в Российской федерации является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
в) Персональные данные, хранимые в ТСП, представляют собой данные сотрудников организации и получателей государственных социальных услуг.
г) Информационная система персональных данных ТСП представляет собой локальную систему с многопользовательским режимом работы с возможностью разграничения прав доступа. Система подключена к сетям связи общего пользования и сетям международного обмена. Расположена в пределах Российской Федерации.
Основными угрозами ИСПДн ТСП являются действия вредоносных программ (вирусов); перехват за переделами контролируемой зоны; угрозы внедрения по сети вредоносных программ; угрозы утечки информации по каналам ПЭМИН.
2. Проведен анализ нормативно-правовых основ обеспечения безопасности персональных данных и сформулированы следующие положения:
а) При работе с персональными данными в пределах России не в полной мере обеспечиваются сохранность и конфиденциальности информации, имеющей статус персональных данных.
б) Законодательство РФ установило перечень определенных требований, которым должна отвечать система обеспечения безопасности обрабатываемых и хранимых сведений.
в) В зависимости от того, какие угрозы вероятны для используемой информации, устанавливаются различные уровни ее защиты. Чем выше уровень защиты, тем более жесткие требования к ее реализации предъявляет законодательство. Однако, эти меры не удовлетворяют международным стандартам защиты персональных данных и выполняются в полной мере.
Как показал анализ зарубежных нормативных документов, касающихся защиты персональных данных, можно сказать с уверенностью, что лучше всего с данной темой обстоят дела в европейских странах. В них действует централизованная (реже смешанная) системы правого регулирования по вопросам защиты персональных данных, которые характеризуются по следующим признакам:
 прямое действие международных норм, гармонизирующих национальные законодательства государств;
 наличие национальных отраслевых законов, содержащих общеобязательные нормы в отношении защиты персональных данных;
 регулирование обработки персональных данных посредством учреждения единого надзорного ведомства («мегарегулятора»).
3. Проанализированы результаты исследования и разработаны рекомендации по совершенствованию защиты персональных данных в системе органов социальной защиты населения Министерства социального развития Московской области и сформулированы следующие положения:
Европейское и российское законодательства, регулирующие сферу персональных данных, имеют самостоятельную территориальную и «юрисдикционную» сферу применения.
Некоторая общность подходов регулирования не дает основания сделать вывод относительно их «гармонизации». В практическом плане для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами Евросоюза, – это означает «двойное обременение».
Для осуществления мер по защите персональных данных, удовлетворяющих европейским стандартам, должен выполняться ряд обязанностей, к которым относятся:
 ведение письменного реестра операций по обработке персональных данных, осуществляемых от имени и по поручению данной организации, как контролера;
 назначение своего представителя, отвечающего за персональные данные;
 представление уведомления об утечках персональных данных, по возможности 72 часов после обнаружения утечки;
 соблюдение целого ряда закрепленных механизмов, включая механизм сертификации;
 предоставление субъектам данных в момент сбора персональных данных транспарентную (прозрачную) информацию об обработке и о целях такой обработки;
 соблюдение норм, которые подпадают под административные штрафы; при этом при наложении штрафов, всегда берется та сумма, которая больше (из двух сумм);
 представление доказательств о правомерности деятельности, связанной по обработке персональных данных.
Общий подход к обработке персональных данных сформулирован в виде 6 основных принципов:
а) Законность, справедливость и прозрачность.
б) Ограничение цели.
в) Минимизация данных.
г) Точность.
д) Ограничение хранения.
е) Целостность и конфиденциальность.
Итак, можно сделать вывод, что задачи выполнены, и цель достигнута.

Фрагмент текста работы:

ГЛАВА 1. АНАЛИЗ СУЩЕСТВУЮЩЕЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СИСТЕМЕ ОРГАНОВ СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ МОСКОВСКОЙ ОБЛАСТИ

1.1 Теоретические основы защиты персональных данных

Персональные данные – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». В качестве примера персональных данных можно привести такие сведения, как фамилия, имя, отчество, семейное положений, адрес, профессия, доходы и т. д [40].
Специалисты, работающие с персональными данными, разделяют их на такие категории, как: общедоступные; специальные; биометрические персональные данные (Таблица 1).

Таблица 1
Категории персональных данных
Категория Виды данных
общедоступные персональные данные  данные, доступ к которым разрешен субъектом персональных данных;
 данные, на которые не распространяется требование конфиденциальности в соответствии с федеральными законами
специальные персональные данные  сведения о расовой или национальной принадлежности;
 данные, касающиеся политических, религиозных или философских убеждений;
 информация о состоянии здоровья, об интимной жизни.
биометрические персональные данные  сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность

Персональные данные отнесены к конфиденциальной информации. Конфиденциальность – это состояние доступности информации только авторизованным пользователям, процессам и устройствам. Конфиденциальность персональных данных заключена в принятии обязательств операторов персональных данных, а также иных лиц, получивших доступ к информации, не раскрывать и не распространять персональные данные без согласия их владельца.
Для того, чтобы обеспечить конфиденциальность персональных данных эффективно, нужно предотвратить таких событий, как [38]:
 несанкционированный доступ;
 уничтожение данных;
 блокирование данных;
 копирование данных;
 распространение данных и т.д.
Необходимо принимать обязательства по обеспечению конфиденциальности персональных данных оператором. Операторами персональных данных могут выступать государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие обработку персональных данных.
По мнению экспертов и специалистов обработка персональных данных заключается в том, чтобы совершенствовать ряд операций по сбору, записи, систематизации, накоплению и т.д. При этом действия могут осуществляться как с использованием средств автоматизации, так и без их применения.
В Таблица 2 представлен перечень возможных деструктивных действий по отношению к персональным данным.