|
Тема данной дипломной работы - "Организация защиты персональных данных в кадровых агентствах". Выбор данной темы обусловлен ее актуальностью в настоящее время. В последние десятилетия мировое сообщество достаточно много внимания уделяет вопросам неприкосновенности частной жизни лица, гарантированные статьей 12 Всеобщей декларации прав человека. Эта статья гласит: "Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств". Безусловно, персональные данные людей составляют немалую часть информации, циркулирующей в обществе. Ни для кого не секрет, что неконтролируемой распространение информации о человеке может нанести непоправимый урон и моральный вред. Информация персонального характера, относится к так называемой чувствительной информации и обращение с ней требует особой регламентации. Проблемы обеспечения неприкосновенности частной жизни становятся острее с развитием современных информационных технологий, которое сопровождается созданием многочисленных и мощных компьютерных баз данных, аккумулирующих информацию о людях. Легкость распространения информации из таких баз (в том числе по Интернету), простота их копирования, объединения , возможность модификации информации и т.п. породили дополнительные угрозы интересам личности, в том числе, угрозу стать "прозрачной" как для государства, так и для общества, то есть возможность лишиться некоторой естественной информационной приватности, что, конечно же, крайне нежелательно.
Притчей во языцех стало беспрецедентное распространение на "черном" рынке компьютерных баз (обычно на CD или DVD), содержащих: адреса и телефоны жителей больших и малых городов, паспортные данные всех прописанных в городе; название, телефон, юридический и фактический адрес юридических лиц, регистрационный номер, данные об учредителях, суммы уставного капитала, номера счетов в банках, фамилии имена и отчества руководителей и главных бухгалтеров; данные на абонентов компаний сотовой связи; реестры акционеров предприятий; адреса и телефоны бизнесменов; данные о владельцах городской недвижимости; медицинские данные; данные ГИБДД.
Немало и других примеров неправомерных действий с персональными данными. Так, например, в начале мая 2009 года администрация известного калифорнийского Университета в Беркли объявила о хакерском вторжении. Неизвестные злоумышленники, предположительно из Китая и других азиатских стран, сумели получить доступ к информационным системам Университета и персональным данным 160 тыс. студентом. Как стало известно, во взломанной системе хранилось как минимум 97 тыс. номеров социального страхования. По утверждению проректора по информационным технологиям университета Ш. Ваггенера, в базе данных также хранились номера медицинского страхования студентов, а также различные не связанные с лечебным процессом данные. Утеска данных вызвала значительное беспокойство среди студентов университета.
Вот еще один пример. В 2007 году Британское правительство сообщило о крупнейшей в истории страны утечке персональных данных: в результате пропажи двух компьютерных дисков в руки злоумышленников могли попасть данные о 7,25 млн. британских семей, всего 25 миллионов человек, из них 10 млн. взрослых и 15 млн. детей, сообщает Reuters.
Во время выступления в британском парламенте министр финансов Великобританиии и глава Казначейства А. Дарлинг вынужден был публично извиниться за "непростительную", как он сам выразился, пропажу данных о примерно половине населения Великобритании. Утечка касается всех, кто получал средства из государственных фондов на содержание детей, сообщает CNN. На дисках были данные персонального характера, в том числе имена, адреса, даты рождения, номера страховок, банковская информация и другие детали. К счастью для британцев, данные на дисках, по заверению властей, были зашифрованы.
Есть также примеры и в России. Так, стало известно, что в июне 2009 года служащие ярославского офиса ВТБ-24 в нарушение всех должностных инструкций и закона "О персональных данных" не уничтожили документы, содержащие персональные данные тысяч клиентов банка. Заместитель начальника главного управления безопасности и защиты информации ЦБ А. Курило в ходе встречи директората ассоциации российских банков с руководством Центробанка сообщил о возмутительном происшествии в Ярославле. Тысячи анкет, заполненных клиентами филиала для получения кредита, содержали информацию об адресах, мобильных телефонах, месте работы и уровне доходов. Так как всем этим заемщикам банк отказал в кредите, то анкеты не были использованы и не были возвращены людям. В соответствии с внутренними инструкциями банка, они подлежали уничтожению. Подобного рода бумаги должны сжигаться, причем в присутствии специальной комиссии с участием руководства филиала. Однако, вместо того чтобы сжечь их или пропустить через устройства по уничтожению документов, сотрудники банка, ответственные за эти операции просто вывезли анкеты на свалку. Документы попали в руки ярославских бомжей, обитавших на свалке. А через некоторое время оказались в распоряжении ярославских СМИ.
Утечками конфиденциальной информации из баз данных банковских или государственных структур происходят регулярно. В феврале 2005 года произошла утечка информации о платежах через расчетно-кассовые центры ЦБ РФ за второй и третий кварталы 2004 года. Госдума инициировала расследование инцидента Генпрокуратурой. Однако в мае 2005 года из базы расчетов ЦБ вновь произошла утечка информации, уже с данными за четвертый квартал 2004 года. ЦБ РФ провел внутреннее расследование, после чего утечки прекратились.
Вышеприведенные примеры свидетельствуют о том, что операторы обязаны обеспечивать более надежную защиту обрабатываемым в их автоматизированных системах персональным данным. В связи с этим федеральный закон № 152-ФЗ "О персональных данных" обязал всех операторов персональных данных привести свои автоматизированные системы обработки данных в соответствие с требованиями, установленными в данном законе, до 1 июля 2011 года ( ранее был установлен срок до 1 января 2010 года, но потом по разным объективным и субъективным причинам продлен).
Из всего сказанного следует, что выбранная тема работы актуальна на сегодняшний день.
Целью данной работы является разработка мер по обеспечению безопасности персональных данных в кадровом агентстве.
Для достижения поставленной цели необходимо решение ряда задач, а именно:
1. Анализ существующей нормативно-правовой базы по персональным данным.
2. Анализ деятельности кадровых агентств, рассмотрение рекрутинга как сферы деятельности.
3. Выявление потоков персональных данных в кадровом агентстве.
4. Проектирование модели ИСПДн кадрового агентства
5. Разработка рекомендаций по составлению основных документов, необходимых для защиты персональных данных, для кадрового агентства.
6. Предложение конкретных решений по внедрению средств защиты.
Дипломная работа состоит из введения, трех глав, заключения, списка источников и использованной литературы и трех приложений.
Во введении обосновывается актуальность выбранной темы, определяются цели и задачи дипломной работы, излагается структура содержания работы, приводится краткий обзор основных используемых нормативных источников и литературы.
В первой главе анализируется сущность понятия "персональные данные", рассматриваются различные категории персональных данных, рассматриваются возможные критерии отнесения сведений к числу персональных данных. Также в первой главе работы проводится анализ существующего законодательства о персональных данных Российской Федерации (в частности, рассматривается Конституция РФ, Трудовой кодекс РФ, ФЗ №152 "О персональных данных", закон "Об архивном деле в Российской Федерации" и ряд других нормативно-правовых документов, регламентирующих вопросы обработки персональных данных и вопросы обеспечения их безопасности) и зарубежной законодательной базы (в том числе международных документов). Для рассмотрения международной практики регламентирования вопросов обращения с персональными данными использованы такие документы как Всеобщая декларация прав человека, Европейская конвенция о защите прав человека и основных свобод, Декларация о праве доступа к информации, Директива 95/46/СЕ "О защите физических лиц в условиях автоматической обработки данных и о свободном обращении этих данных", Директива 96/9/СЕ "О юридической защите баз данных", Конвенция о защите индивидов в связи с автоматической обработкой персональных данных, Конвенция о защите прав и достоинства человека в связи с использованием достижений биологии и медицины, а также ряд других документов. Зарубежная практика национального законодательного регулирования рассматривается на основе анализа законодательства США, Канады и Конституции Португалии.
Вторая глава дипломной работы посвящена рассмотрению кадровых агентств как типа организаций и рекрутмента как сферы деятельности. В ней дается общее представление о рекрутинге как виде деятельности, рассказывается об основных вехах формирования рекрутингового рынка в России и тенденциях его развития в последние годы. В этой же главе приводится определение кадрового агентства, выделяются основные типы кадровых агентств, виды услуг, которые оказывают различные типы кадровых агентств. Также более подробно рассматривается алгоритм работы агентства по подбору персонала, так как агентство именно типа рассматривается в данной работе в аспекте обеспечения персональных данных. В качестве примера из зарубежного опыта рассмотрены кадровые агентства Великобритании, Германии и США, их подходы к подбору персонала и трудоустройству. В конце главы определены потоки персональных данных, которые циркулируют в кадровом агентстве в связи с осуществлением им деятельности по подбору персонала.
В третьей главе проводится построение возможной модели информационной системы персональных данных кадрового агентства для которой далее составлены рекомендации по обеспечению безопасности персональных данных, и ее классификация . Безопасность персональных данных в рассматриваемой ИСПДн обеспечивается комплексом организационно-технических мер. В число организационных мер входит разработка необходимых документов (внутренних положений, инструкций, регламентов и тд). Написана модель угроз безопасности персональных данных в ИСПДн кадрового агентства, проведена актуализация угроз в соответствии с требованиями, определенными в нормативно-методических документах. На основе модели угроз составлено техническое задание, содержащее перечень требований по обеспечению безопасности ПДн для данной ИСПДН. В конце третьей главы представлен список программно-аппаратных средств защиты, рекомендуемых к внедрению в рассматриваемой ИСПДн.
Приложениями к данной работе являются:
" Разрешительная система доступа к ресурсам ИСПДН
" Множество актуальных угроз безопасности ПДн
" Список требований к ИСПДн для обеспечения безопасности ПД.
При выполнении работы использован ряд нормативных источников, в частности:
" Трудовой кодекс РФ;
" Федеральный закон "Об информации, информационных технологиях и о защите информации";
" Федеральный закон "О персональных данных";
" Приказ ФСТЭК РФ № 55, ФСБ РФ №86, Мининформсвязи РФ №20 от 13.02.2008 "Об утверждении порядка проведения классификации информационных систем персональных данных", а также ряд подзаконных нормативных документов Агентства по образованию и Роскомсвязьнадзора.
В числе основной литературы, использованной при выполнении дипломной работы, можно выделить:
" Защита персональных данных: Опыт правого регулирования. / Е. К. Волчинская. - М.: Галерея, 2001. В книге освещаются такие вопросы, как: границы вторжения в частную жизнь, юридическая ответственность за нарушение права личности на неприкосновенность частной жизни, опыт законодательного закрепления права личности на неприкосновенность частной жизни.
" Комментарий к ФЗ "О персональных данных" (постатейный). / М.И.Петров - Юстицинформ, 2007
" Травкин Ю. В. Персональные данные. - М.: Амалданик, 2007. Книга посвящена правовому анализу проблем, связанных с получением, хранением, использованием, распространением персональных данных граждан.
" Статьи в периодических научных изданиях.
|
На уровень вверх
Купить