Вопросам защиты персональных данных уделяется сегодня особое внимание - ведь это гарантия обеспечения конституционных прав и свобод человека. Подтверждением тому могут служить федеральные законы и другие нормативно-правовые акты, принятые государством в последние годы. Требования законодательства обязаны исполнять все организации, которые обрабатывают персональные данные своих сотрудников, а также клиентов, абонентов и прочих субъектов.
Поскольку обработка любой информации, в том числе и персональных данных, в большинстве случаев осуществляется автоматизированными системами, то и защита персональных данных на предприятии становится одной из важнейших задач, которая должна быть решена с помощью информационных технологий.
Контроль за деятельностью, связанной с обработкой персональных данных, осуществляется государством. За неисполнение требований законодательства в этом вопросе предусматривается дисциплинарная, административная, и даже уголовная ответственность. Вот почему разработку системы защиты персональных данных следует начинать с тщательного изучения требований законов.
Основные этапы, в соответствии с которыми должна строиться защита персональных данных на предприятии, регламентируются руководящими документами. Это во многом облегчает процесс дипломного проектирования – ведь выпускник изначально имеет четкий план действий, от которого нельзя отступать.
Прежде всего, необходимо выделить информационные системы персональных данных (ИСПД) и для каждой из них определить тип и количество субъектов, а также категории обрабатываемых данных. На втором этапе разрабатываются модели угроз и потенциальных нарушителей для каждой ИСПД. Модели должны быть подробно описаны в пояснительной записке. Далее в соответствие с законодательно определенными параметрами, рассчитывается уровень защищенности ИСПД, на основе чего формируется и адаптируется для конкретных условий базовый набор мер защиты.
Следует отметить, что при объективной невозможности реализации тех или иных мер защиты или их экономической нецелесообразности, законодатель дает право предприятию самостоятельно разработать компенсирующие меры. Если такая ситуация возникает в ходе дипломного проектирования, то дипломник должен обосновать свои решения и предложить альтернативные меры.
В пояснительной записке должны быть также отражены технические решения и описаны организационные меры, применяемые на предприятии для защиты персональных данных.