КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (НА ПРИМЕРЕ НАУЧНОЙ БИБЛИОТЕКИ НАЦИОНАЛЬНОГО ИССЛЕДОВАТЕЛЬСКОГО ТОМСКОГО ГОСУДАРСТВЕННОГО УНИВЕРСИТЕТА)
|
ВВЕДЕНИЕ
Глава 1 Теоретические основы информационной безопасности.
Федеральный закон «О персональных данных»
1.1 Актуальность обеспечения защиты персональных данных
1.2 Основные понятия информационной безопасности
1.3 Федеральный закон «О персональных данных»
1.3.1 Принципы и условия обработки ПД
1.3.2 Права субъекта персональных данных
1.3.3 Обязанности оператора персональных данных
1.4 Европейское законодательство в области защиты и обработки персональных данных
Глава 2 Обработка персональных данных в информационных системах и обеспечение их защиты
2.1 Автоматизированная и неавтоматизированная обработка персональных данных
2.2 Особенности обеспечения безопасности персональных данных в автоматизированных системах
2.3 Мероприятия и основные принципы по обеспечению безопасности персональных данных при их обработке в информационных системах
Глава 3 Система защиты персональных данных в Научной библиотеке Томского государственного университета
3.1 Обработка персональных данных читателей в Научной библиотеке ТГУ
3.2 Технические методы обеспечения информационной безопасности и защиты персональных данных в НБ ТГУ
ЗАКЛЮЧЕНИЕ
СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЕ А Форма уведомления Роскомнадзора об обработке персональных данных
ПРИЛОЖЕНИЕ Б Согласие на обработку персональных данных
ПРИЛОЖЕНИЕ В Формы для загрузки и извлечения записей читателей
ПРИЛОЖЕНИЕ Г Отчет «Список читателей»
ПРИЛОЖЕНИЕ Д Анкета записи читателей
Глава 1 Теоретические основы информационной безопасности.
Федеральный закон «О персональных данных»
1.1 Актуальность обеспечения защиты персональных данных
1.2 Основные понятия информационной безопасности
1.3 Федеральный закон «О персональных данных»
1.3.1 Принципы и условия обработки ПД
1.3.2 Права субъекта персональных данных
1.3.3 Обязанности оператора персональных данных
1.4 Европейское законодательство в области защиты и обработки персональных данных
Глава 2 Обработка персональных данных в информационных системах и обеспечение их защиты
2.1 Автоматизированная и неавтоматизированная обработка персональных данных
2.2 Особенности обеспечения безопасности персональных данных в автоматизированных системах
2.3 Мероприятия и основные принципы по обеспечению безопасности персональных данных при их обработке в информационных системах
Глава 3 Система защиты персональных данных в Научной библиотеке Томского государственного университета
3.1 Обработка персональных данных читателей в Научной библиотеке ТГУ
3.2 Технические методы обеспечения информационной безопасности и защиты персональных данных в НБ ТГУ
ЗАКЛЮЧЕНИЕ
СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЕ А Форма уведомления Роскомнадзора об обработке персональных данных
ПРИЛОЖЕНИЕ Б Согласие на обработку персональных данных
ПРИЛОЖЕНИЕ В Формы для загрузки и извлечения записей читателей
ПРИЛОЖЕНИЕ Г Отчет «Список читателей»
ПРИЛОЖЕНИЕ Д Анкета записи читателей
Конституция РФ закрепила демократический путь развития нашего государства, главная ценность которого - человек и защита его прав. Но и сегодня нерешенными остаются некоторые вопросы, в том числе обеспечение права граждан на частную жизнь и проблемы защиты личной информации.
В 2006 году был подписан ФЗ РФ № 152 «О персональных данных», по ужесточенным требованиям которого модернизированы базы данных, предназначенные для накопления, сохранения или выдачи персональных данных. Указанные требования по защите персональных данных распространяются на все компании, учреждения и организации и направлены на предупреждение утечек конфиденциальной информации.
Обеспечение защиты и сохранности персональных данных человека - одна из важнейших обязанностей любой компании или организации, работающей с персональными данными в любом виде - начиная от паспортных данных и заканчивая биометрическими данными, обработка которых производится при помощи специальных средств. Проблема обеспечения сохранности и защиты персональных данных остро стоит перед любой организацией. Во-первых, существует ответственность за распространение или утечку такой информации. Во-вторых, если утечка уже произошла, то компании кроме материального наносится еще и репутационный урон, что в современном мире играет далеко не последнюю роль. Именно поэтому проблема защиты персональных данных всегда будет актуальной и находиться в фокусе внимания.
Научная библиотека Томского государственного университета в результате своей деятельности собирает и обрабатывает большое количество персональных данных, в основном, это данные о читателях, которые регистрируются в библиотеке. При регистрации читатель заполняет анкету, в которой указывает большое количество данных о себе. Конечно, это происходит только после процедуры заполнения согласия на обработку персональных данных, но, тем не менее, любая система не может являться абсолютно защищенной, поэтому вопрос защиты и сохранности персональных данных в НБ ТГУ так же находится в центре внимания.
Проблема защиты персональных данных находится в фокусе внимания исследователей. Она активно изучается, по этой теме написано большое количество научных работ. Поскольку тема моей квалификационной работы связана с защитой персональных данных в информационных системах, то и степень изученности так же имеет смысл рассмотреть в двух направлениях - работах, посвященных персональным данным и их защите, и защите данных в информационных системах.
Логично начать обзор литературы с нормативных основ защиты персональных данных. В статье Садиковой И. «Конституционно - правовые основы защиты персональных данных » рассматриваются проблемы конституционно-правой защиты персональных данных личности. Проанализировано конституционное содержание и законодательное регулирование режима конфиденциальности персональных данных и его ограничений.
Обеспечение защиты персональных данных - это отношения двух субъектов - организации и субъекта персональных данных. В статье Терещенко Л.К. «О соблюдении баланса интересов при установлении мер защиты персональных данных » рассматриваются вопросы правового режима персональных данных, применения российского законодательства о персональных данных и его согласованности с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных.
Статья Церцвадзе М. «Общеевропейские правовые стандарты защиты личности во время автоматической обработки персональных данных » посвящена разработанным Советом Европы стандартам защиты прав человека во время автоматической обработки персональных данных. Проанализированы основные положения 108-ой статьи конвенции о защите личности в связи с автоматической обработкой персональных данных, которая является первым и по сей день единственным международно-правовым документом всемирного значения о защите персональных данных. Автор рассматривает также рекомендации для реализации положений конвенции в различных сферах, принятые комитетом министров Совета Европы, исполнение которых в соответствии со статей 15b Устава Совета Европы, обязательно для правительств государств, подписавших конвенцию. Рассмотрение этой статьи позволит узнать о европейских стандартах работы с персональными данными.
Авторы Пилипенко С.Г. и Федосин А.С. в статье «К вопросу о реализации права на защиту персональных данных при их обработке в электронной форме » рассматривают обусловленное развитие информационных технологий, изменение структуры конституционного права на неприкосновенность частной жизни и формирование в его структуре нового элемента - права на защиту персональных данных. Рассматриваются содержание и природа права на защиту персональных данных, понятие конфиденциальности персональных данных, играющее, по мнению авторов, ключевую роль в его понимании.
Борисенко О.В. в работе «Защита прав субъектов персональных данных » рассматривает проблемы, возникающие при защите прав субъектов ПД, способы совершенствования законодательства в этой области, а так же ситуации, в которых граждане должны соблюдать бдительность для обеспечения конфиденциальности своих персональных данных.
В работе «Построение эффективной системы защиты персональных данных » исследователя Полещук А.В. рассматривается каким образом разумно и эффективно выстроить систему защиты персональных данных, чтобы она не только отвечала требованиям регуляторов, но и способствовала укреплению безопасности организации.
Чередниченко А. в статье «Системы защиты персональных данных » анализирует причины необходимости защиты данных такого рода, приводит классификацию типовых утечек информации. Особое место в статье отводится обзору технологии DLP (Data Loss Prevention), направленных на защиту критичных данных. Подробно раскрыты подходы, которые используют разработчики при создании DLP систем, а также ключевые проблемы, с которыми приходится сталкиваться при их внедрении.
Говоря о технологиях защиты персональных данных, можно рассмотреть статью Кучина И.Ю. «Защита конфиденциальности персональных данных с помощью обезличивания ». Автор исследует аспекты, связанные с обезличиванием персональных данных. Анализируется законодательство в области защиты персональных данных, в котором затрагиваются процедуры обезличивания. Рассматривается понятие «k- анонимность». Высказывается идея по формированию требований для ее достижения с помощью взвешенного графа.
Статья «Основные аспекты защиты персональных данных на предприятии » Трубачевой С.И. посвящена основным положениям законодательных документов по обеспечению защиты персональных данных, в том числе, организационным, правовым мероприятиям, техническим методам и средствам защиты персональных данных. Кроме этого, в ней дана классификация технических мероприятий по защите персональных данных.
В статье «Технология защиты персональных данных » Парфенова Н.П. рассмотрены положения о персональных данных работника, которые позволяют идентифицировать их как личности. Выявлены проблемы, связанные с защитой персональных данных и рассмотрены обязанности руководителей по организации защиты персональных данных.
В статье «Способы защиты баз данных » Горелик В.Ю. и Скоморохов Д.С. рассматривают вопросы безопасности и способы защиты баз данных. Определены риски для баз данных, представлены мероприятия по обеспечению безопасности баз данных. Рассмотрены основные уязвимости баз данных и способы устранения, а также защити от уязвимостей.
Саенко И.Б и Нижегородов А.В. в статье «Анализ состояния и перспектив развития систем защиты баз данных от несанкционированного доступа » обсуждают состояние и перспективы развития систем защиты баз данных от несанкционированного доступа. Рассматриваются проблемы защиты информации, хранящейся в базах данных, приводится анализ существующих систем оценки защищенности баз данных.
Статья Полтавцевой М.А. и Хабарова А.Р. «Безопасность баз данных: проблемы и перспективы » посвящена сложившейся ситуации в области безопасности данных, находящихся под управлением систем БД. Сделан обзор существующих работ на указанную тему как отечественных, так и зарубежных авторов. Рассмотрены этапы эволюции систем защиты информации в СУБД. Выделены современные комплексные проблемы в области защиты данных теоретического и практического характера. При анализе проблем безопасности учтены новые направления развития СУБД, такие как in memory и NoSQL-решения. В статье выделены особенности БД с точки зрения информационной безопасности по отношению к другим видам ПО. Предложено базовое деление уязвимостей СУБД на основании выделенных особенностей. Сформулированы перспективные пути исследований и развития систем защиты для построения надежных и защищенных серверов по обработке информации.
Объектом исследования являются персональные данные читателей НБ ТГУ. Предметом работы является система обеспечения защиты персональных данных в НБ ТГУ.
Цель выпускной квалификационной работы - выявление процесса и технологии защиты персональных данных в Научной библиотеке Томского государственного университета. Для достижения поставленной цели необходимо решить следующие задачи:
1. Охарактеризовать нормативно-правовую базу в области персональных данных и их защиты для формирования представления того, как должна выглядеть защита ПД;
2. Выявить и дать характеристику основные направления деятельности НБ ТГУ в области информационной безопасности и защиты персональных данных;
3. Определить состав технологий, средств, инструментов, с помощью которых осуществляется защита персональных данных в библиотеке ТГУ.
Использование процессного подхода в ходе написания работы позволило рассмотреть процедуру внесения персональных данных читателей НБ ТГУ и дальнейшую работу с этими данными. Такие общенаучные методы, как анализ и синтез помогли провести первичный сбор информации, необходимый для понимания процесса осуществления защиты персональных данных.
Также для написания работы был применен метод интервьюирования. С его помощью была проведена беседа по заранее заготовленным вопросам с оператором ввода персональных данных читателей Научной библиотеки ТГУ на предмет того, какими средствами осуществляется первичная защита персональных данных, как должна проходить их обработка, согласно инструкции, и как это происходит реально.
Нельзя не отметить и метод наблюдения, поскольку я сам работаю непосредственно с персональными данными читателей библиотеки и обращаю внимание на то, как осуществляется обработка персональных данных и их последующее хранение.
Источниковую базу выпускной квалификационной работы составляют две группы документов - государственные стандарты и локальные нормативные акты Томского государственного университета.
Логично начать рассмотрение источников необходимо с Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ1. Этим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Рассматривая нормативную базу в области защиты и обработки персональных данных необходимо упомянуть также такие нормативные акты, как Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Этот документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных. Приказ Федеральной службы по техническому и экспортному контролю ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных » устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Кроме этого, для построения модели угроз и модели нарушителя персональных данных, следует опираться на такие нормативно-правовые акты, как «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных » и «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности ».
Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств. Эти нормативные документы являются логичным дополнением к Федеральному закону и, учитывая специфику места их издания, отвечают на конкретно поставленные вопросы.
Также был рассмотрен локальный нормативный акт Томского государственного университета «Политика в отношении обработки персональных данных в Национальном исследовательском Томском государственном университете ». Этот документ направлен на защиту прав и свобод физических лиц, персональные данные которых обрабатывает НИ ТГУ.
Кроме этого, был рассмотрел локальный нормативный документа Научной библиотеки ТГУ «Запись пользователей в библиотеку, оформление и выдача читательских билетов. Инструкция ». В нем содержится информация, раскрывающая принципы индивидуального учета пользователей, методы создания учетной записи читателя, дается перечень персональных данных, обрабатываемых НБ ТГУ.
В 2006 году был подписан ФЗ РФ № 152 «О персональных данных», по ужесточенным требованиям которого модернизированы базы данных, предназначенные для накопления, сохранения или выдачи персональных данных. Указанные требования по защите персональных данных распространяются на все компании, учреждения и организации и направлены на предупреждение утечек конфиденциальной информации.
Обеспечение защиты и сохранности персональных данных человека - одна из важнейших обязанностей любой компании или организации, работающей с персональными данными в любом виде - начиная от паспортных данных и заканчивая биометрическими данными, обработка которых производится при помощи специальных средств. Проблема обеспечения сохранности и защиты персональных данных остро стоит перед любой организацией. Во-первых, существует ответственность за распространение или утечку такой информации. Во-вторых, если утечка уже произошла, то компании кроме материального наносится еще и репутационный урон, что в современном мире играет далеко не последнюю роль. Именно поэтому проблема защиты персональных данных всегда будет актуальной и находиться в фокусе внимания.
Научная библиотека Томского государственного университета в результате своей деятельности собирает и обрабатывает большое количество персональных данных, в основном, это данные о читателях, которые регистрируются в библиотеке. При регистрации читатель заполняет анкету, в которой указывает большое количество данных о себе. Конечно, это происходит только после процедуры заполнения согласия на обработку персональных данных, но, тем не менее, любая система не может являться абсолютно защищенной, поэтому вопрос защиты и сохранности персональных данных в НБ ТГУ так же находится в центре внимания.
Проблема защиты персональных данных находится в фокусе внимания исследователей. Она активно изучается, по этой теме написано большое количество научных работ. Поскольку тема моей квалификационной работы связана с защитой персональных данных в информационных системах, то и степень изученности так же имеет смысл рассмотреть в двух направлениях - работах, посвященных персональным данным и их защите, и защите данных в информационных системах.
Логично начать обзор литературы с нормативных основ защиты персональных данных. В статье Садиковой И. «Конституционно - правовые основы защиты персональных данных » рассматриваются проблемы конституционно-правой защиты персональных данных личности. Проанализировано конституционное содержание и законодательное регулирование режима конфиденциальности персональных данных и его ограничений.
Обеспечение защиты персональных данных - это отношения двух субъектов - организации и субъекта персональных данных. В статье Терещенко Л.К. «О соблюдении баланса интересов при установлении мер защиты персональных данных » рассматриваются вопросы правового режима персональных данных, применения российского законодательства о персональных данных и его согласованности с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных.
Статья Церцвадзе М. «Общеевропейские правовые стандарты защиты личности во время автоматической обработки персональных данных » посвящена разработанным Советом Европы стандартам защиты прав человека во время автоматической обработки персональных данных. Проанализированы основные положения 108-ой статьи конвенции о защите личности в связи с автоматической обработкой персональных данных, которая является первым и по сей день единственным международно-правовым документом всемирного значения о защите персональных данных. Автор рассматривает также рекомендации для реализации положений конвенции в различных сферах, принятые комитетом министров Совета Европы, исполнение которых в соответствии со статей 15b Устава Совета Европы, обязательно для правительств государств, подписавших конвенцию. Рассмотрение этой статьи позволит узнать о европейских стандартах работы с персональными данными.
Авторы Пилипенко С.Г. и Федосин А.С. в статье «К вопросу о реализации права на защиту персональных данных при их обработке в электронной форме » рассматривают обусловленное развитие информационных технологий, изменение структуры конституционного права на неприкосновенность частной жизни и формирование в его структуре нового элемента - права на защиту персональных данных. Рассматриваются содержание и природа права на защиту персональных данных, понятие конфиденциальности персональных данных, играющее, по мнению авторов, ключевую роль в его понимании.
Борисенко О.В. в работе «Защита прав субъектов персональных данных » рассматривает проблемы, возникающие при защите прав субъектов ПД, способы совершенствования законодательства в этой области, а так же ситуации, в которых граждане должны соблюдать бдительность для обеспечения конфиденциальности своих персональных данных.
В работе «Построение эффективной системы защиты персональных данных » исследователя Полещук А.В. рассматривается каким образом разумно и эффективно выстроить систему защиты персональных данных, чтобы она не только отвечала требованиям регуляторов, но и способствовала укреплению безопасности организации.
Чередниченко А. в статье «Системы защиты персональных данных » анализирует причины необходимости защиты данных такого рода, приводит классификацию типовых утечек информации. Особое место в статье отводится обзору технологии DLP (Data Loss Prevention), направленных на защиту критичных данных. Подробно раскрыты подходы, которые используют разработчики при создании DLP систем, а также ключевые проблемы, с которыми приходится сталкиваться при их внедрении.
Говоря о технологиях защиты персональных данных, можно рассмотреть статью Кучина И.Ю. «Защита конфиденциальности персональных данных с помощью обезличивания ». Автор исследует аспекты, связанные с обезличиванием персональных данных. Анализируется законодательство в области защиты персональных данных, в котором затрагиваются процедуры обезличивания. Рассматривается понятие «k- анонимность». Высказывается идея по формированию требований для ее достижения с помощью взвешенного графа.
Статья «Основные аспекты защиты персональных данных на предприятии » Трубачевой С.И. посвящена основным положениям законодательных документов по обеспечению защиты персональных данных, в том числе, организационным, правовым мероприятиям, техническим методам и средствам защиты персональных данных. Кроме этого, в ней дана классификация технических мероприятий по защите персональных данных.
В статье «Технология защиты персональных данных » Парфенова Н.П. рассмотрены положения о персональных данных работника, которые позволяют идентифицировать их как личности. Выявлены проблемы, связанные с защитой персональных данных и рассмотрены обязанности руководителей по организации защиты персональных данных.
В статье «Способы защиты баз данных » Горелик В.Ю. и Скоморохов Д.С. рассматривают вопросы безопасности и способы защиты баз данных. Определены риски для баз данных, представлены мероприятия по обеспечению безопасности баз данных. Рассмотрены основные уязвимости баз данных и способы устранения, а также защити от уязвимостей.
Саенко И.Б и Нижегородов А.В. в статье «Анализ состояния и перспектив развития систем защиты баз данных от несанкционированного доступа » обсуждают состояние и перспективы развития систем защиты баз данных от несанкционированного доступа. Рассматриваются проблемы защиты информации, хранящейся в базах данных, приводится анализ существующих систем оценки защищенности баз данных.
Статья Полтавцевой М.А. и Хабарова А.Р. «Безопасность баз данных: проблемы и перспективы » посвящена сложившейся ситуации в области безопасности данных, находящихся под управлением систем БД. Сделан обзор существующих работ на указанную тему как отечественных, так и зарубежных авторов. Рассмотрены этапы эволюции систем защиты информации в СУБД. Выделены современные комплексные проблемы в области защиты данных теоретического и практического характера. При анализе проблем безопасности учтены новые направления развития СУБД, такие как in memory и NoSQL-решения. В статье выделены особенности БД с точки зрения информационной безопасности по отношению к другим видам ПО. Предложено базовое деление уязвимостей СУБД на основании выделенных особенностей. Сформулированы перспективные пути исследований и развития систем защиты для построения надежных и защищенных серверов по обработке информации.
Объектом исследования являются персональные данные читателей НБ ТГУ. Предметом работы является система обеспечения защиты персональных данных в НБ ТГУ.
Цель выпускной квалификационной работы - выявление процесса и технологии защиты персональных данных в Научной библиотеке Томского государственного университета. Для достижения поставленной цели необходимо решить следующие задачи:
1. Охарактеризовать нормативно-правовую базу в области персональных данных и их защиты для формирования представления того, как должна выглядеть защита ПД;
2. Выявить и дать характеристику основные направления деятельности НБ ТГУ в области информационной безопасности и защиты персональных данных;
3. Определить состав технологий, средств, инструментов, с помощью которых осуществляется защита персональных данных в библиотеке ТГУ.
Использование процессного подхода в ходе написания работы позволило рассмотреть процедуру внесения персональных данных читателей НБ ТГУ и дальнейшую работу с этими данными. Такие общенаучные методы, как анализ и синтез помогли провести первичный сбор информации, необходимый для понимания процесса осуществления защиты персональных данных.
Также для написания работы был применен метод интервьюирования. С его помощью была проведена беседа по заранее заготовленным вопросам с оператором ввода персональных данных читателей Научной библиотеки ТГУ на предмет того, какими средствами осуществляется первичная защита персональных данных, как должна проходить их обработка, согласно инструкции, и как это происходит реально.
Нельзя не отметить и метод наблюдения, поскольку я сам работаю непосредственно с персональными данными читателей библиотеки и обращаю внимание на то, как осуществляется обработка персональных данных и их последующее хранение.
Источниковую базу выпускной квалификационной работы составляют две группы документов - государственные стандарты и локальные нормативные акты Томского государственного университета.
Логично начать рассмотрение источников необходимо с Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ1. Этим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Рассматривая нормативную базу в области защиты и обработки персональных данных необходимо упомянуть также такие нормативные акты, как Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Этот документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных. Приказ Федеральной службы по техническому и экспортному контролю ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных » устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Кроме этого, для построения модели угроз и модели нарушителя персональных данных, следует опираться на такие нормативно-правовые акты, как «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных » и «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности ».
Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств. Эти нормативные документы являются логичным дополнением к Федеральному закону и, учитывая специфику места их издания, отвечают на конкретно поставленные вопросы.
Также был рассмотрен локальный нормативный акт Томского государственного университета «Политика в отношении обработки персональных данных в Национальном исследовательском Томском государственном университете ». Этот документ направлен на защиту прав и свобод физических лиц, персональные данные которых обрабатывает НИ ТГУ.
Кроме этого, был рассмотрел локальный нормативный документа Научной библиотеки ТГУ «Запись пользователей в библиотеку, оформление и выдача читательских билетов. Инструкция ». В нем содержится информация, раскрывающая принципы индивидуального учета пользователей, методы создания учетной записи читателя, дается перечень персональных данных, обрабатываемых НБ ТГУ.
Итак, в рамках выпускной квалификационной работы была рассмотрена система защиты персональных данных на примере Научной библиотеки Национального исследовательского Томского государственного университета.
Защита персональных данных - очень важный процесс в деятельности любой организации, осуществляющей работу с ПД. Неправильно обработанные или ненадежно защищенные персональные данные могут нанести большой урок как самому субъекту персональных данных, так и организации, обрабатывающей эти ПД. Для обеспечения максимальной надежности, защита персональных данных должна осуществляться комплексно - с применением административных, программных и аппаратных средств защиты персональных данных.
Была рассмотрена нормативно-правовая база, регулирующая работу с персональными данными. Это позволило выявить такие аспекты, как права субъектов персональных данных, обязанности операторов персональных данных. Нормативная база регламентирует общие принципы по работе с персональными данными, в ней рассмотрена ответственность за нарушения в процедурах обработки или хранения ПД. Отдельный вид нормативно-правовой базы - регуляторы. Они направлены на контроль за исполнением основных положений Федерального закона «О персональных данных», а также на создание требований к техническим средствам защиты информации.
Рассмотрение мероприятий и основных принципов по обеспечению информационной безопасности и защиты персональных данных позволило сделать представление по поводу того, как должна выглядеть информационная система.
В Научной библиотеке НИ ТГУ работа с персональными данными осуществляется через автоматизированную библиотечную информационную систему Virtua. Сами персональные данные хранятся в базе данных Oracle. На основании этих тезисов можно сделать вывод, что в НБ осуществляется автоматизированная обработка персональных данных, поскольку присутствуют оба обязательных компонента автоматизированной обработки - наличие АС и хранение персональных данных в цифровом виде.
Была рассмотрена Политика ТГУ в области обработки персональных данных , которой руководствуется и Научная библиотека в вопросах работы с персональными данными. Этот документ закрепляет обязанности оператора по обработке персональных данных, объясняет права субъекта ПД, поясняет какие данные может обрабатывать НИ ТГУ и в каких целях. Так же была рассмотрена инструкция по записи читателей. В этом документе отражены основные действия, необходимые для регистрации нового читателя в НБ ТГУ, рассмотрены возможные сценарии по работе с персональными данными. В инструкции раскрывается принцип работы с АБИС Virtua по части работы с персональными данными.
В Научной библиотеке ТГУ реализуется система по обеспечению информационной безопасности и защите персональных данных. Поскольку все компьютеры библиотеки представляют собой локальную вычислительную сеть, то необходимо обеспечивать защиту каждого компонента этой сети.
Технические компоненты защиты включают в себя антивирусную защиту, установленную на каждый компьютер библиотечной сети. Основная роль этого средства защиты заключается в ежедневной проверки ПК на предмет уязвимостей, и, если такие уязвимости будут найдены, то по сценарию компьютер будет отключен от общей сети и будет проведена его диагностика и исправление уязвимостей.
Кроме этого, для защиты ЛВС библиотеки применяется такое средство, как межсетевой экран. Он служит для контроля и фильтрации проходящего через него сетевого трафика. В совокупности с межсетевым экраном осуществляет свою работу прокси-сервер - элемент сетевой инфраструктуры, выполняющий роль посредника между компьютером пользователя и целевым сервером. Совокупность таких средств обеспечивает надежную защиту компьютерной сети при выходе в Интернет.
Соблюдение законодательства Российской Федерации в области работы с персональными данными, принятие локальных нормативных актов, регламентирующих работу с персональными данными и их защиту, использование технических средств, обеспечивающих информационную безопасность и защиту персональных данных - все это свидетельствует о том, что в Научной библиотеке Томского государственного университета реализована комплексная система защиты персональных данных.
Защита персональных данных - очень важный процесс в деятельности любой организации, осуществляющей работу с ПД. Неправильно обработанные или ненадежно защищенные персональные данные могут нанести большой урок как самому субъекту персональных данных, так и организации, обрабатывающей эти ПД. Для обеспечения максимальной надежности, защита персональных данных должна осуществляться комплексно - с применением административных, программных и аппаратных средств защиты персональных данных.
Была рассмотрена нормативно-правовая база, регулирующая работу с персональными данными. Это позволило выявить такие аспекты, как права субъектов персональных данных, обязанности операторов персональных данных. Нормативная база регламентирует общие принципы по работе с персональными данными, в ней рассмотрена ответственность за нарушения в процедурах обработки или хранения ПД. Отдельный вид нормативно-правовой базы - регуляторы. Они направлены на контроль за исполнением основных положений Федерального закона «О персональных данных», а также на создание требований к техническим средствам защиты информации.
Рассмотрение мероприятий и основных принципов по обеспечению информационной безопасности и защиты персональных данных позволило сделать представление по поводу того, как должна выглядеть информационная система.
В Научной библиотеке НИ ТГУ работа с персональными данными осуществляется через автоматизированную библиотечную информационную систему Virtua. Сами персональные данные хранятся в базе данных Oracle. На основании этих тезисов можно сделать вывод, что в НБ осуществляется автоматизированная обработка персональных данных, поскольку присутствуют оба обязательных компонента автоматизированной обработки - наличие АС и хранение персональных данных в цифровом виде.
Была рассмотрена Политика ТГУ в области обработки персональных данных , которой руководствуется и Научная библиотека в вопросах работы с персональными данными. Этот документ закрепляет обязанности оператора по обработке персональных данных, объясняет права субъекта ПД, поясняет какие данные может обрабатывать НИ ТГУ и в каких целях. Так же была рассмотрена инструкция по записи читателей. В этом документе отражены основные действия, необходимые для регистрации нового читателя в НБ ТГУ, рассмотрены возможные сценарии по работе с персональными данными. В инструкции раскрывается принцип работы с АБИС Virtua по части работы с персональными данными.
В Научной библиотеке ТГУ реализуется система по обеспечению информационной безопасности и защите персональных данных. Поскольку все компьютеры библиотеки представляют собой локальную вычислительную сеть, то необходимо обеспечивать защиту каждого компонента этой сети.
Технические компоненты защиты включают в себя антивирусную защиту, установленную на каждый компьютер библиотечной сети. Основная роль этого средства защиты заключается в ежедневной проверки ПК на предмет уязвимостей, и, если такие уязвимости будут найдены, то по сценарию компьютер будет отключен от общей сети и будет проведена его диагностика и исправление уязвимостей.
Кроме этого, для защиты ЛВС библиотеки применяется такое средство, как межсетевой экран. Он служит для контроля и фильтрации проходящего через него сетевого трафика. В совокупности с межсетевым экраном осуществляет свою работу прокси-сервер - элемент сетевой инфраструктуры, выполняющий роль посредника между компьютером пользователя и целевым сервером. Совокупность таких средств обеспечивает надежную защиту компьютерной сети при выходе в Интернет.
Соблюдение законодательства Российской Федерации в области работы с персональными данными, принятие локальных нормативных актов, регламентирующих работу с персональными данными и их защиту, использование технических средств, обеспечивающих информационную безопасность и защиту персональных данных - все это свидетельствует о том, что в Научной библиотеке Томского государственного университета реализована комплексная система защиты персональных данных.
Подобные работы
- РАБОТА С ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫМИ
ДОКУМЕНТАМИ В НАУЧНОЙ БИБЛИОТЕКЕ ТОМСКОГО
ГОСУДАРСТВЕННОГО УНИВЕРСИТЕТА
Бакалаврская работа, документоведение. Язык работы: Русский. Цена: 4440 р. Год сдачи: 2025 - Правовая защита документированной информации в ВУЗе (на примере Национального исследовательского Томского политехнического университета)
Дипломные работы, ВКР, документоведение. Язык работы: Русский. Цена: 4700 р. Год сдачи: 2024 - ТРАНСФОРМАЦИЯ КОММУНИКАТИВНОЙ РОЛИ КИНОЗРИТЕЛЯ В СОВРЕМЕННОЙ КУЛЬТУРЕ (НА ПРИМЕРЕ АЛЬТЕРНАТИВНОГО КИНОПЛАКАТА)
Магистерская диссертация, культурология. Язык работы: Русский. Цена: 4925 р. Год сдачи: 2020 - Искусственный интеллект как правовая проблема
Магистерская диссертация, история . Язык работы: Русский. Цена: 5600 р. Год сдачи: 2021