Не секрет, что любая организация должна соответствовать множеству законов, подзаконных актов, нормативных документов, стандартов и других установленных требований. Часть из них является обязательной к исполнению, часть – рекомендованной (но соответствие им могут стать конкурентным преимуществом). Следование третьим рекомендациям позволяет, например, снизить издержки за счет оптимальной организации бизнес-процессов. Несоответствие же установленным требованиям может иметь самые разные последствия – от высоких издержек или упущенной выгоды до штрафов и приостановки деятельности. Персональную ответственность в ряде таких случаев несет руководство организации.
Требования к защите информации определяются ее обладателем, а также государством в отношении государственной и иных тайн.
В соответствии со статьями 23 и 24 Конституции Российской Федерации каждый человек имеет право на неприкосновенность частной жизни, личную и семейную тайну. При этом сбор, хранение, использование и распространение персональных данных без согласия лица не допускаются.
В обеспечение этих статей Конституции выпущен Федеральный закон 152-ФЗ, в котором установлена необходимость защиты прав и свобод человека и гражданина при обработке его персональных данных. Согласно требованиям этого закона организация, обрабатывая персональные данные сотрудников, клиентов, партнеров и других субъектов в своих информационных системах, обязана реализовать мероприятия по их защите.
Детальные требования по защите персональных данных (ПДн), обязательные для выполнения, приводятся в подзаконных нормативно-правовых и нормативно-методических документах, разрабатываемых Правительством РФ, ФСТЭК и ФСБ России.
Перечень защитных мер дифференцирован и зависит от установленного класса информационной системы, в которой обрабатываются персональные данные (ИСПДн), и актуальных угроз, направленных на нарушение защищаемых свойств ПДн
В общем случае, организации должны:
• создать систему защиты ИСПДн, в которой осуществляется обработка персональных данных, и провести оценку ее соответствия установленным требованиям (аттестацию);
• получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации;
• осуществить работы по защите речевой конфиденциальной информации (в случае, если персональные данные воспроизводятся по акустическому каналу).
Применимость создаваемой системы защиты не ограничивается ИСПДн. Спроектированная с учетом лучших мировых практик в области обеспечения информационной безопасности (ИБ), она легко расширяется для защиты других важных информационных (автоматизированных) систем организации
Создание системы защиты ИСПДн осуществляется в несколько этапов.
На первом этапе проводится обследование ИСПДн, ее классификация и задание конкретных требований по ее защите.
• Затем проводится проектирование создаваемой системы – разрабатываются необходимые проектные, эксплуатационные и организационно-распорядительные документы по обеспечению информационной безопасности. Организационные меры являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты.
Далее осуществляется внедрение системы защиты ИС. Проводится поставка необходимых средств обеспечения ИБ и их пуско-наладка, обучение персонала организации по вопросам защиты информации, внедрение разработанных организационных мер.
На четвертом этапе создания системы защиты ИСПДн оценивается ее соответствие установленным требованиям по ИБ путем проведения внешнего аудита (аттестации) и оказывается содействие в получении документов, разрешающих осуществлять обработку персональных данных.
Целью данной дипломной работы является:
• Разработка проекта системы защиты обеспечивающей информационную безопасность персональных данных в информационных системах персональных данных Управления Федеральной службы судебных приставов по Тюменской области
Для достижения поставленной цели необходимо выполнение следующие задачи:
• Провести анализ нормативных документов по защите персональных данных
• Осуществить обзор требований к защите персональных данных
• Провести обследование ИСПДн
• Разработать проект в котором были бы предложены конкретные варианты создания системы защиты персональных данных
В ходе работы над дипломной работой использовалась информация, отражающая содержание законов, законодательных актов и нормативных актов, постановлений Правительства Российской Федерации, ФСБ a так же ФСТЭК России, регулирующих требования и методы обеспечения безопасности персональных данных.
Актуальность данной темы обуславливается следующим:
• значительное увеличение правонарушений, связанных с утечками персональных данных в организациях (компаниях);
• появление новых угроз и уязвимостей;
• стремление Государства регламентировать деятельность по защите персональных данных;
• отсутствие единого понимания отдельными представителями бизнеса, проблемы защиты персональных данных;
• неоднозначная трактовка некоторых положений нормативных документов ФСТЭК и ФСБ;
• увеличение тяжести последствий утечки ПДн;
• появление технологий, позволяющих правонарушителям воспользоваться полученными персональными данными;
• персональные данные стали объектом торга.
Практическая значимость работы определяется: тем, что данный проект позволит организовать на предприятии систему защиты ИСПДн соответствующую предъявляемым ей требованиям.
|