Магистерский диплом на тему Система оценки соответствия веб-проекта законодательству в области персональных данных

Содержание:

Введение 3
Глава 1. Теоретические основы технологии работы с персональными данными в среде веб-проектирования. 6
1.1. Теоретическое описание веб-проектирования и его характеристик. 6
1.2. Общие положения о персональных данных. 15
1.2.1. Общие характеристики и виды персональных данных. 15
1.2.2. Анализ нормативных документов в области защиты персональных данных. 21
1.2.3. Общие положения классификации систем защиты информации. 26
Глава 2. Практические основы проектирования веб-проектов с учетом защиты персональных данных. 31
2.1. Общие требования к веб-проектам при работе с персональными данными. 31
2.2. Разработка методики оценки защиты персональных данных при разработке веб-проекта. 47
Заключение 55
Список литературы 58
Приложения 70
Приложение 1. Образец политики конфиденциальности 70
Приложение 2. Сайт Роспотребнадзора 76

Введение:

В конце 20 столетия началась повсеместная компьютеризация всех отраслей жизни человека. За этот период создалось большое количество различных информационных систем, что позволяет поднять производительность труда как человека, так и организации в целом. Использование таких систем позволяют быстро получать различные данные, нужные для выполнения рабочих моментов.
Однако при использовании различных информационных систем появились и другие проблемы, а именно, появились проблемы с организацией доступа к персональным данным, доступом к которым могут получить злоумышленники, использующие их для вымогания денег, других ценных сведений, материальных ценностей и прочего. Поэтому в настоящее время защита информации стоит как никогда остро.
Ввиду всего описанного выше, все законодательство в России и за рубежом затрагивают большое число нормативных документов, которые направлены на то, чтобы производить процессы регулирования при создании, использовании передачи и защиты информации в любом виде.
Информация, которая отражает данные о личности любого человека, а также затрагивающая его личную или семейную жизнь, является наиболее ценной. Ст.2 Конституции РФ [2] говорит о том, что основной принцип современного демократического общества состоит в следующем: «Человек, его права и свободы являются высшей ценностью».
Следовательно, государство должно уважать и защищать любую информацию, которая непосредственно связана с личными данными человека или с его интересами. Однако, существуют обязательства, при которых, так или иначе, человек вынужден дать свои личные данные третьему лицу, который при этом, должен действовать, соблюдая закон.
Разработка информационные систем, использующих в своей работе персональные данные и их использование в различных сегментах деятельности, привела к необходимости регламентирования порядка работы с данным типом информации.
Данные задачи регламентируются как федеральными законами (152-ФЗ «О персональных данных» [8]), так и нормативными актами ФАПСИ, ФСБ [18] и других федеральных, а также отраслевых структур, а также государственными стандартами.
В современном мире актуальным становится вопрос разработки системы совершенствования технологии аутентификации и авторизации в программных комплексах.
Объект исследования: персональные данные при создании веб-проекта.
Предмет исследования: соответствие веб-проекта законодательству РФ в области персональных данных.
Цель исследования: анализ системы защиты персональных данных
Задачи исследования:
1. Рассмотреть теоретические основы вопроса: понятие и сущность персональных данных.
2. Изучить особенности персональных данных и определить их отличия от иной информации.
3. Проследить развитие законодательства в этой области.
4. Выявить общие требования к обработке персональных данных работника.
5. Рассмотреть теоретическое описание веб-проектирования.
6. Изучить основные аспекты и требования оценивания соответствия веб-проекта законодательству РФ относительно персональных данных.
7. Разработать методики оценки защиты персональных данных при разработке веб-проекта.
В работе использовались методы сравнения и анализа – при изучении Российского законодательства в сфере защиты персональных данных
Работа состоит из двух глав по два параграфа каждая. Первая глава носит название «Теоретические основы технологии работы с персональными данными в среде веб-проектирования». В данной главе описываются теоретическое описание такого понятия, как веб-проектирование и его характеристики, а также раскрывается понятие «персональные данные», а именно: их характеристики, какие нормативные документы регламентируют работы с ними и общие положения классификации систем защиты информации.
Вторая глава носит название «Практические основы проектирования веб-проектов с учетом защиты персональных данных». В данной главе описываются общая система требований, выдвигаемая к веб-проектам, когда они затрагивают те или иные персональные данные и предложена методика оценивания разрабатываемого проекта по защите персональных данных.

Заключение:

В ходе данной работы рассмотрены и изучены следующие аспекты:
1) Что такое веб-проектирование и его характеристики. Как было отмечено в первой главе, разработка веб-приложения (веб-разработка) – это комплекс мер и действий по планированию и созданию сайта в сети Интернет в зависимости от поставленных целей и задач.
2) Общие положения о персональных данных. Рассмотрены основные нормативные документы, регулирующие правовые отношения в области защиты персональных данных, приведены сведения о возможных угрозах безопасности информационной системе персональных данных, в том числе подробно приведена и рассмотрена характеристика угроз несанкционированного доступа.
По итогам проделанной работы можно сформулировать 10 правил по работе с персональными данными, не нарушая закон РФ:
а) публиковать в открытом доступе всю информацию о принципах взаимодействия и работы с персональными данными клиентов и посетителей ресурса.
б) запрашивать только те данные, которые нужны для каждой конкретной цели.
в) перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку.
г) использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными.
д) сообщать по запросу человека, какие имеются данные о нём, как и для чего они обрабатываются и кому вы их передавали;
е) удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.
ж) хранить базы данных в надёжном месте, защищать их от взлома и утечки.
з) назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными.
и) обучить сотрудников работе с персональными данными.
к) зарегистрироваться в Роскомнадзоре. Форма уведомления на сайте Роскомнадзора.
3) Также в работе были выдвинуты требования к веб-проектам при работе с персональными данными:
а) Требования к средствам обеспечения и поддержки функционирования.
б) Функциональные требования содержат типы требований, определяющие целевые возможности системы.
в) Требования общего характера, а именно:
• требования к аппаратным средствам;
• требования к программной платформе;
• требования к системе хранения;
• требования к информационной безопасности;
• требования к реализуемым методам обработки экспериментальных данных;
• требования к видам и размерностям величин;
• требования к совместимости с форматами файлов других приложений;
• требования к организации совместной работы;
• требования к расширяемости.;
• требования к интерфейсу пользователя;
• требования к документации и справочной системе;
• требования к затратам на обслуживание системы.
4) Также была предложена методика оценки защиты персональных данных при разработке веб-проекта. Для того, чтобы оценить свой проект на надежность защиты персональных данных, необходимо сделать следующие шаги:
а) Определить, относятся ли вводимые данные к персональным.
б) Получить согласие на обработку персональных данных пользователя.
в) Разместить на сайте:
• Согласие на обработку персональных данных (выше правила составления уже описали).
• Политика обработки персональных данных. Такой документ устанавливает общие принципы работы с персональными данными в компании и размещается в подвале сайта (для пользователей он должен быть доступен с любой страницы). Соглашаться с документом пользователь не должен, поэтому акцептовать его галочкой не нужно.
Таким образом, все поставленные во введении задачи были выполнены в ходе написания работы, а следовательно, цель работы достигнута.

Фрагмент текста работы:

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ТЕХНОЛОГИИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В СРЕДЕ ВЕБ-ПРОЕКТИРОВАНИЯ.
1.1. Теоретическое описание веб-проектирования и его характеристик.
В последние годы с развитием компьютерных и информационных технологий, а также с появлением интернета, появилась острая необходимость в веб-проектировании информации, которые позволяют удобно и красиво представлять всю информацию предприятия, магазина, человека и т. д.
Веб-проект представляет собой самостоятельную единицу интеллектуальной продукции, которая выполнена и оформлена при помощи таких средств, как веб-технологии и веб-разработка.
Разработка веб-приложения (веб-разработка) представляет собой комплекс мер и действий, направленных на планирование и создание сайта в Интернете, исходя из поставленных целей и задач [69].
Современный сайт имеет огромное значение для его владельца и решает ряд задач, начиная от маркетинговых решений, таких как продвижение на рынке товаров и услуг предприятия, описывает конкурентные преимущества компании, увеличивает спрос на продукцию и прочее, заканчивая представлением информационных ресурсов, назначением которого служит информирование целевой аудитории.
Для того, чтобы создать качественный сайт, необходимо провести комплексный анализ, который позволяет определить критерии, которым должен соответствовать будущий веб-проект. При создании любого веб-проекта, как правило, выделяют шесть основных этапов, которые достаточно независимы друг от друга, что позволяет определить процесс и исполнителя по каждому из них [69]:
1) Определение целей и задач проекта.
Данный этап необходим для формулирования целей будущего проекта, выдвигаются требования, удовлетворяющие разрабатываемой концепции.
На начальном этапе необходимо учитывать желание заказчика и провести исследование целевой аудитории. Для того, чтобы провести глубокий анализ, можно попросить заказчика предоставить имеющиеся материалы, такие как брошюры, ежегодные отчёты, образцы продукции, другие сопутствующие данные и любые другие материалы, так как они смогут облегчить задачу и сформировать представление о том, кто и с какой целью будет посещать сайт, какие задачи будут выполняться на сайте. Также необходимо выяснить технические возможности будущей основной пользовательской аудитории, такие как пропускную способность каналов связи, используемые Интернет-браузеры и пр.
Для того, чтобы определить целевую аудиторию проекта, необходимо представить квалифицированного пользователя, который пользуется услугами на аналогичных создаваемому проекту Интернет-ресурсах. Данный пункт позволяет выявить новые креативные концепции для того, чтобы сайт был более конкурентоспособным.
После того, как определены цели, нужно составить расширенный план проекта, который определяет такие пункты, как предположительное количество затрачиваемого времени, денег или других средств для создания работы на каждом последующем этапе. В данном плане содержится информация о бюджете проекта, графике работ (с соответствующим распределением ролей между веб-разработчиками), технической документации, а также раздел «деталей и уточнений», где оговариваются конкретные аспекты возможных спорных вопросов. В этот раздел также включают предложения о готовых разработках и шаблонах.
Заключительное действие данного этапа состоит в том, что подписываются договор о выполнении работ.
2) Разработка структуры сайта.
Этот этап необходим для того, чтобы определить содержание и информационную стратегию, которые определяют организацию подачи информации. Данный пункт необходим для будущих посетителей сайта, которые бы с легкостью могли бы найти ее. В первую очередь создается карта сайта, которая будет отражать взаимосвязь всех страниц сайта и их наиболее значимые функциональные возможности.
Карта сайта, как правило, выглядит в виде чертежа или блок-схемы, при этом все страницы отображаются прямоугольниками, между которыми показывают связи переходов между страницами.
На этом же этапе делается каркасы всех типовых страниц, которые будут присутствовать в проекте, которые позволяют показать размещение всех элементов на каждой конкретной странице и как будет производиться работа на этих страницах. Каркасы будущих страниц создаются таким образом, чтобы их можно было в последующем расширить. При разработке проекта необходимо придерживаться правила «двух щелчок мыши», то есть не нужно делать большой вложенности страниц друг в друга.
После компоновки всех элементов на страницах и самих страниц проекта, переходят к следующему этапу веб-разработки, а именно, к визуальному оформлению, то есть дизайну проекта.
3) Разработка дизайн-макетов.
Дизайн-макет представляет собой изображение в наглядном виде, которое отображает основные элементы сайта в наглядном виде и полностью отображает визуальную картину будущего сайта. Как правило, данный пункт разрабатывается при помощи специальных графический приложений. В ходе своей работы дизайнер придерживается тех требований, которые описаны в специально разработанном письменном документе (БРИФ), который структурно описывает содержание будущего сайта. Данный документ заполняет клиент, который заказывает будущий проект, включая в него свои требования и пожелания к оформлению и содержанию будущего проекта.
На данной стадии разрабатываются все ключевые моменты веб-дизайна, его стилистика подачи информации, а также общая концепция. Основной упор при этом делают на то, что все графические объекты были разработаны таким образом, чтобы загрузка всех элементов производилась быстро и сочетались между собой, хорошо смотрясь на странице.