Организация и мониторинг комплексной защиты персональных данных в организации

Актуальность темы выпускной квалификационной работы заключается в том, что институт персональных данных еще не сформировался до конца и современное трудовое и информационное законодательство подвергается постоянному реформированию. Вопросы защиты и обработки персональных данных касаются каждого человека, так как они напрямую связаны с обеспечением конституционных прав, гарантирующих неприкосновенность частной жизни, а также личную и семейную тайну. В современном обществе возрастает необходимость в обеспечении защиты информации, в том числе и персональных данных, потому что приходится работать с немалым объемом информации. Одновременно с этим возникают проблемы сохранения данных от технических неисправностей (сбои в электроснабжении или программном обеспечении), и повреждений субъективного характера непреднамеренное уничтожение сведений, их изменение, заражение компьютерными вирусами, интернет-шпионаж, некомпетентность работника, несанкционированное, целенаправленное вмешательство в базы данных, с целью повредить информацию или воспользоваться ей в личных интересах.

Функционирование почти любого предприятия, учреждения или организации связано с подбором персонала. Для этого необходимо проводить получение, обработку, хранение и передачу информации о работниках, поскольку при трудоустройстве от соискателя требуют предоставить автобиографические сведения.

Обеспечение защиты персональной информации о работниках и информационной безопасности в целом, играет на предприятии, в организации или учреждении значительную роль, поскольку их деятельность невозможно представить без обработки персональных данных человека.

Объект исследования – обработка персональных данных ФГБОУ ВО “Уральский государственный экономический университет”

Предметом исследования является комплексная защита персональных данных ФГБОУ ВО “Уральский государственный экономический университет”

Цель данной работы: организация комплексной системы защиты персональных данных в ФГБОУ ВО “Уральский государственный экономический университет”

Для достижения цели поставлены следующие задачи:

• изучить основные понятия защиты персональных данных;
• изучить нормативно-правовое обеспечение защиты информации персональных данных;
• описать концепцию информационной безопасности информационных систем персональных данных образовательной организации;
• определить актуальные угрозы безопасности персональных данных;
• провести анализ рынка продуктов по защите персональных данных;
• сформулировать рекомендации по обеспечению защиты персональных данных ФГБОУ ВО “Уральский государственный экономический университет”.

Структура выпускной квалификационной работы определена с учетом характера и специфики исследования. Работа состоит из введения, двух теоретических глав, одной практической главы, заключения и списка использованной литературы.

Во введении обоснована актуальность выбора темы, определены цель и соответствующие ей задачи.

В первой главе рассмотрены общетеоретические вопросы защиты персональных данных работника, такие как: понятие персональных данных работника, как одного из самостоятельных институтов трудового права, а также нормативно-правовое регулирование их обработки.

Во второй главе рассматривается концепция информационной безопасности информационных систем персональных данных образовательной организации.

В практической главе проводится анализ актуальных угроз безопасности

в ФГБОУ ВО УрГЭУ, формулируются рекомендации по обеспечению защиты персональных данных.

В заключении подводятся итоги и делаются выводы о проделанной работе.

1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ЗАКОНОДАТЕЛЬСТВО В ОБЛАСТИ ИХ ЗАЩИТЫ

1.1 ОСНОВНЫЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такое информационная безопасность. Термин "информационная безопасность" может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы понимается  защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

ГОСТ "Защита информации. Основные термины и определения"[20] вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

• конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
• целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
• доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

• по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
• по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
• по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
• по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

• законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
• административный – комплекс мер, предпринимаемых локально руководством организации;
• процедурный уровень – меры безопасности, реализуемые людьми;
• программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность.

1.2 ОСНОВНЫЕ ПОНЯТИЯ ЗАЩИТЫ ИНФОРМАЦИИ:

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

В данном разделе даны основные понятия защиты информации, связанные с обеспечением защиты персональных данных, а также рассмотрена нормативно-правовая база.

Автоматизированная систем  [21] – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных [21] – подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных [21] – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные [21] – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных [21] – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Вредоносная программа [21] – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Защищаемая информация [21] – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация [21] – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационные технологии [21] – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная система персональных данных (ИСПДн) [21] – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Использование персональных данных [21] – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации [21] – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Конфиденциальность персональных данных [21] – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Нарушитель безопасности персональных данных [21] – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных [21] – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.

Несанкционированный доступ (несанкционированные действия) [21] – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации [21] – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных [21] – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных [21] – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные [21] – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) [21] – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных       данных [21] – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно- цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Персональные данные [21] – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Пользователь информационной системы персональных данных [21] – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа [21] – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программное (программно-математическое) воздействие [21] – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных [21] – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных [21] – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Ресурс информационной системы [21] – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных [21] – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Субъект доступа (субъект) [21] – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации [21] – совокупность носителя ин- формации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных [21] – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных[21] – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных[21] – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам [21] – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость [21] – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации [21] – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

1. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» // Собрание законодательства РФ. 2006. N
2. Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. 2006. N
3. Федеральный закон от 03.04.1995 №40-ФЗ «О федеральной службе безопасности» // «Российская газета» 1995. N 72.
4. Указ Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера» // «Российская газета». 1997. N
5. Указ Президента РФ от 30.05.2005 №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» // «Российская газета», 2005. N
6. Указ Президента РФ от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» // Собрание законодательства РФ. 2008. N 12.
7. Распоряжение Правительства РФ от 15.08.2007 №1055-р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных» // Собрание законодательства РФ. 2007. N 34
8. Распоряжение Президента РФ от 10.07.2001 №366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных» // Собрание законодательства РФ. 2001. N 29.
9. Постановление Правительства РФ от 03.11.1994 №1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» // Собрание законодательства РФ. 2005. N 30.
10. Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» // Собрание законодательства РФ. 2008. N
11. Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» // «Российская газета», 2008. N 200.
12. Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // «Российская газета», 2012. N 256
13. Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» // Собрание законодательства РФ. 2012 , N
14. Приказ Министерства связи и массовых коммуникаций от 21.12.2011 №346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» // «Бюллетень нормативных актов федеральных органов исполнительной власти». N 24.
15. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 20.06.2012 №621 «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных» // Документ опубликован не был.
16. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 03.12.2012 №1255 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» // «Российская газета». 2013. N 18.
17. Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // «Российская газета». 2013. N 136.
18. Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // «Российская газета». 2013. N 107.
19. Приказ ФСБ России от 10 июля 2014 г. №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности» // «Российская газета». 2014. N 211.
20. ГОСТР 50922-2006 Защита информации. Основные термины и определения / ГОСТ Р от 27 декабря 2006 г. № 50922-2006.
21. "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)
22. Положение о защите персональных данных УрГЭУ от 28.11.2018 // Утвержден Ректором. 2018.
23. Secret Disk Enterprise от Алладин Р.Д. [Электронный ресурс]. - Режим доступа: https://www.aladdin-rd.ru/catalog/secret_disk_enterprise
24. Dallas Lock0-C от Dallas Lock [Электронный ресурс]. - Режим доступа https://dallaslock.ru/products/szi-dallas-lock-8-0/szi-ot-nsd-dallas-lock-8-0-s/
25. Страж NT от Рубинтех [Электронный ресурс]. - Режим доступа: https://guardnt.ru/