1. اطلاعات شخصی مبانی نظری
1.1 بودجه قانونگذاری حفاظت از اطلاعات شخصی در فدراسیون روسیه
1.3.1 ویژگی های عمومی منابع تهدیدات دسترسی غیر مجاز در سیستم اطلاعاتی اطلاعات شخصی.
1.3.2 به طور کلی مشخصه دسترسی مستقیم به محیط عملیاتی سیستم اطلاعاتی شخصی
1.3.3 ویژگی های کلی تهدید به امنیت اطلاعات شخصی با استفاده از پروتکل های اتصال
1.4 ویژگی های بانک و فعالیت های آن
1.5 پایگاه داده های شخصی
1.5.1 سیستم اطلاعاتی اطلاعات شخصی کارکنان سازمان
1.5.2 سیستم اطلاعاتی کنترل اطلاعات شخصی و سیستم های کنترل دسترسی
1.5.3 سیستم اطلاعاتی اطلاعات شخصی سیستم بانکی خودکار
1.6 دستگاه و تهدیدات شبکه کامپیوتری محلی بانک
1.7 ابزار امنیتی اطلاعات
2.2 نرم افزار و حفاظت از سخت افزار
2.3 سیاست امنیتی اساسی
2.3.1 سیستم آگاهی اشتغال در امور امنیت اطلاعات
2.3.4 عملیات کارکنان با ایمیل
2.3.5 بانک سیاست رمز عبور
3. توجیه اقتصادی پروژه
نتیجه
برنامه های کاربردی.
معرفی
کامپیوتری همه جا که در پایان قرن بیستم آغاز شد، امروز ادامه داشت. اتوماسیون فرایندها در شرکت ها باعث افزایش بهره وری کارگران می شود. کاربران سیستم های اطلاعاتی می تواند به سرعت اطلاعات لازم را برای انجام وظایف رسمی خود دریافت کند. در عین حال، همراه با تسهیل دسترسی به داده ها، مشکلات مربوط به حفظ این داده ها وجود دارد. داشتن دسترسی به سیستم های اطلاعات مختلف، مهاجمان می توانند از آنها برای اهداف مزدور استفاده کنند: جمع آوری داده ها برای فروش در بازار سیاه، سرقت پول مشتریان سازمان، سرقت از رمز و راز تجاری سازمان.
بنابراین، مشکل حفاظت از اطلاعات مهم مهم برای سازمان ها بسیار حاد است. به طور فزاینده ای، از رسانه ها در مورد تکنیک های مختلف یا روش های سرقت بودجه توسط هک کردن سیستم های اطلاعاتی موسسات مالی شناخته می شود. دسترسی به سیستم های اطلاعاتی اطلاعات شخصی، مهاجم می تواند داده های مشتریان سازمان های مالی، اطلاعات مربوط به معاملات مالی خود را برای توزیع آنها، استفاده از بانک به بانک به عنوان آسیب های مالی و حقوقی گسترش دهد. علاوه بر این، پس از آموختن داده ها در مورد مشتری، کلاهبرداران به طور مستقیم می توانند به طور مستقیم از مشتری، ارائه شده توسط کارکنان بانک ها و تقلب با استفاده از تکنیک مهندسی اجتماعی برای یادگیری کلمه عبور از سیستم های بانکی از راه دور و پول از حساب مشتری.
در کشور ما، مشکل سرقت و توزیع غیرقانونی اطلاعات شخصی بسیار حاد است. تعداد زیادی از منابع در اینترنت در اینترنت وجود دارد که شامل پایگاه های داده شخصی شخصی است که به عنوان مثال، توسط شماره تلفن همراه، شما می توانید بسیار پیدا کنید اطلاعات دقیق به گفته شخص، از جمله اطلاعات پاسپورت او، آدرس های محل اقامت، عکس ها و موارد دیگر.
در این پروژه دیپلم، من فرآیند ایجاد یک سیستم برای محافظت از اطلاعات شخصی در PJSC "Sitibank" را بررسی می کنم.
1. مبانی امنیت اطلاعات شخصی
1.1 قانون اساسی حفاظت از اطلاعات شخصی
تا به امروز، مقررات دولتی در زمینه امنیت اطلاعات شخصی در روسیه انجام می شود. اقدامات قانونی قانونی قانونی تنظیم سیستم حفاظت از اطلاعات شخصی در فدراسیون روسیه، قانون اساسی فدراسیون روسیه و قانون فدرال "در اطلاعات شخصی" ژوئیه 27، 2006 شماره 152-FZ است. این دو اقدام اصلی قانونی، خلاصه اصلی را درباره اطلاعات شخصی در فدراسیون روسیه ایجاد می کنند:
هر شهروند حق حفظ حریم خصوصی، رمز و راز شخصی و خانوادگی، حمایت از افتخار و نام خوب خود را دارد؛
هر کس حق دارد راز مکاتبات، مکالمات تلفنی، پست های پستی، تلگراف و سایر پیام ها داشته باشد. محدودیت این حق تنها بر اساس یک تصمیم دادگاه مجاز است؛
جمع آوری، ذخیره سازی، استفاده و انتشار اطلاعات در مورد حریم خصوصی فرد بدون رضایت آن مجاز نیست؛
پردازش داده های شخصی باید بر اساس یک مبنای مشروع و عادلانه انجام شود؛
پردازش داده های شخصی باید محدود به دستیابی به اهداف خاص، پیش تعیین شده و مشروع باشد. داده های شخصی مجاز نیست، ناسازگار با اهداف جمع آوری اطلاعات شخصی.
پایگاه های داده ای که حاوی اطلاعات شخصی نیستند مجاز نیستند، پردازش آن ها برای اهدافی که ناسازگار هستند انجام می شود.
فقط داده های شخصی که اهداف پردازش آنها را برآورده می کنند، مورد پردازش قرار می گیرند.
هنگام پردازش اطلاعات شخصی، دقت داده های شخصی باید اطمینان حاصل شود، کافی بودن آنها، و در موارد لازم و مربوط به ارتباط با هدف پردازش داده های شخصی. اپراتور باید اقدامات لازم را برای اطمینان از پذیرش آنها برای حذف یا روشن کردن داده های ناقص یا نادرست انجام دهد.
ذخیره سازی اطلاعات شخصی باید به صورت یک فرم برای تعیین موضوع اطلاعات شخصی، طولانی تر از هدف پردازش داده های شخصی، اجرا شود، اگر عمر مفید داده های شخصی توسط قانون فدرال، قرارداد، حزب که ذینفع یا ضامن آن یک اطلاعات شخصی است. داده های شخصی پردازش شده باید نابود شوند یا عایق بندی شوند تا اهداف پردازش را به دست آورند و یا در صورت از دست دادن نیاز به دستیابی به این اهداف، مگر اینکه توسط قانون فدرال ارائه شود.
سایر اقدامات نظارتی که تأثیر قانونی در زمینه حفاظت از اطلاعات شخصی در سازمان ها فراهم می کند بانکداری از فدراسیون روسیه عبارتند از:
قانون فدرال فدراسیون روسیه از 27 ژوئیه 2006 شماره 149 قانون فدرال "در مورد اطلاعات، فن آوری اطلاعات و حفاظت از اطلاعات"؛
کد کار فدراسیون روسیه (فصل 14)؛
قطعنامه دولت فدراسیون روسیه از 01.11.2012 شماره 1119 "در تصویب الزامات حفاظت از داده های شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی"؛
سفارش FSTEC از روسیه از 02/18/2013 شماره 21 "در تصویب ترکیب و نگهداری اقدامات سازمانی و فنی برای اطمینان از ایمنی اطلاعات شخصی زمانی که آنها در سیستم های اطلاعاتی شخصی پردازش می شوند."
تعاریف اصلی مورد استفاده در قانون را در نظر بگیرید.
داده های شخصی - هر گونه اطلاعات مربوط به به طور مستقیم یا غیر مستقیم تعریف شده یا تعیین شده توسط شخص فیزیکی (موضوع داده های شخصی).
اپراتور اطلاعات شخصی - مقامات دولتی، مقامات شهرداری، قانونی یا شخصی، به طور مستقل یا همکاری با سایر افراد سازماندهی و (یا) پردازش اطلاعات شخصی، و همچنین تعیین اهداف پردازش داده های شخصی، ترکیب داده های شخصی برای پردازش، اقدامات (عملیات) با داده های شخصی انجام می شود؛
پردازش اطلاعات شخصی - هر عمل (عملیات) یا مجموعه ای از اقدامات (عملیات) متعهد با استفاده از ابزار اتوماسیون و یا بدون استفاده از چنین بودجه ای با اطلاعات شخصی، از جمله جمع آوری، ضبط، سیستماتیک، انباشت، ذخیره سازی، پالایش (به روز رسانی، تغییر) ، استخراج، استفاده، انتقال (توزیع، ارائه، دسترسی)، کاهش، مسدود کردن، حذف، تخریب داده های شخصی؛
پردازش خودکار اطلاعات شخصی - پردازش داده های شخصی با استفاده از تجهیزات محاسباتی؛
توزیع اطلاعات شخصی - اقدامات با هدف افشای اطلاعات شخصی به دایره نامحدود افراد؛
ارائه اطلاعات شخصی - اقدامات با هدف افشای اطلاعات شخصی به یک فرد خاص یا یک دایره خاص از افراد؛
مسدود کردن داده های شخصی - خاتمه موقت پردازش داده های شخصی (به استثنای زمانی که دستکاری برای روشن شدن داده های شخصی ضروری است)؛
تخریب داده های شخصی - اقدامات ناشی از آن غیر ممکن است برای بازگرداندن محتوای اطلاعات شخصی در سیستم اطلاعات شخصی اطلاعات شخصی و (یا) به عنوان یک نتیجه از آن حامل های مادی داده های شخصی نابود می شود؛
تعریف اطلاعات شخصی - اقدامات، به عنوان یک نتیجه از آن بدون استفاده غیر ممکن است برای اطلاعات بیشتر پرسنل اطلاعات شخصی را به یک نهاد داده شخصی خاص تعیین کنید؛
سیستم اطلاعات شخصی اطلاعاتی مجموعه ای از همکاران در پایگاه های داده های شخصی است و اطمینان از فن آوری های اطلاعات پردازش و فنی آنها؛
انتقال انتقال داده های شخصی انتقال داده های مالیاتی PASCO به قلمرو یک کشور خارجی توسط اقتدار دولت خارجی، یک چهره فیزیکی خارجی یا یک نهاد قانونی خارجی است.
داده های شخصی بیومتریک - اطلاعاتی که ویژگی های فیزیولوژیک و بیولوژیکی یک فرد را مشخص می کنند، بر اساس آن ممکن است هویت خود را (داده های شخصی بیومتریک) ایجاد کند و توسط اپراتور مورد استفاده قرار گیرد تا شخصیت داده های شخصی را شناسایی کند.
امنیت اطلاعات شخصی - وضعیت حفاظت از اطلاعات شخصی مشخص شده توسط توانایی کاربر، ابزار فنی و فناوری اطلاعات حریم خصوصی، یکپارچگی و در دسترس بودن اطلاعات شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی
1.2 طبقه بندی تهدیدات امنیت اطلاعات اطلاعات شخصی.
تحت تهدید امنیت اطلاعات، تهدید تخطی از ویژگی های امنیت اطلاعات - در دسترس بودن، یکپارچگی یا محرمانه بودن دارایی های اطلاعات سازمان است.
لیستی از تهدیدات، ارزیابی احتمال اجرای آنها، و همچنین مدل نقض کننده، به عنوان مبنایی برای تجزیه و تحلیل خطر تهدیدات و فرمول بندی الزامات سیستم حفاظت سیستم خودکار خدمت می کنند. علاوه بر شناسایی تهدیدات احتمالی، لازم است که تهدیدهای شناسایی شده بر اساس طبقه بندی آنها برای تعدادی از علائم، تحلیل شود. تهدیدات مربوط به هر نشانه ای از طبقه بندی به شما اجازه می دهد تا جزئیات مورد نیاز این ویژگی را مشخص کنید.
از آنجایی که اطلاعات ذخیره شده و پردازش شده در سخنرانان مدرن در معرض تعداد زیادی از عوامل است، این کار را برای توصیف یک مجموعه کامل از تهدیدات غیرممکن می شود. بنابراین، برای یک سیستم محافظت شده، معمولا یک لیست از تهدیدات تعیین نمی شود، بلکه یک لیست از کلاس های تهدید است.
طبقه بندی احتمالات احتمالی امنیت اطلاعات AC را می توان با توجه به ویژگی های اساسی زیر انجام داد:
با وقوع طبیعت:
تهدیدات اوراق بهادار ناشی از تاثیرات بر فرایندهای فیزیکی عینی Au یا پدیده های طبیعی؛
تهدیدات امنیتی شغلی ACS ناشی از فعالیت انسان است.
با توجه به درجه هدف از تظاهرات:
Odrozons ناشی از خطاهای یا کارکنان سهل انگاری، مانند استفاده نادرست از تجهیزات حفاظتی، غفلت هنگام کار با داده ها؛
به عنوان مثال، نفوذ عمل عمدی، به عنوان مثال، هک کردن یک سیستم خودکار توسط مزاحمان، تخریب این کارکنان توسط کارکنان سازمان برای انتقام از سوی کارفرمایان.
با منبع مستقیم تهدیدات:
تهدیدات OTABLE، مانند بلایای طبیعی، بلایای طبیعی ساخته شده؛
تهدیدهای Ocheologic، به عنوان مثال: تخریب اطلاعات، افشای اطلاعات محرمانه؛
نرم افزار اوراکل و سخت افزار، مانند تجزیه فیزیکی تجهیزات، خطاهای نرم افزار، درگیری های نرم افزاری؛
نرم افزار سخت افزار، مانند معرفی بوک مارک های سخت افزاری، بوک مارک های نرم افزار.
با موقعیت منبع تهدید:
به گفته منطقه کنترل شده، به عنوان مثال، رهگیری از داده های منتقل شده از طریق کانال های ارتباطی؛
به عنوان مثال، بیش از حد از منطقه کنترل شده، کپی غیر مجاز اطلاعات، دسترسی غیر مجاز به منطقه حفاظت شده؛
به طور آشکار در یک سیستم خودکار، مانند استفاده نادرست از منابع AC.
با توجه به میزان وابستگی به فعالیت AC:
فعالیت AC وابسته به ONEVO، مانند سرقت فیزیکی رسانه؛
تنها در روند پردازش داده ها، مانند عفونت مخرب وجود دارد.
با توجه به درجه تاثیر بر AC:
تهدید بیش از حد که در طی اجرای ساختار و محتوای Au تغییر نکرده است، به عنوان مثال، تهدید کپی داده های مختصر؛
تهدیدات اخیر که، هنگامی که در معرض، تغییرات را به ساختار و محتوای AC، مانند حذف داده ها، اصلاح آنها ایجاد می کند.
پس از مراحل کاربران یا برنامه ها به منابع:
Odrozens، در مرحله دسترسی به منابع AC، به عنوان مثال: تهدیدات دسترسی غیر مجاز به AC؛
Ougroms، پس از حل و فصل دسترسی به منابع AC، به عنوان مثال، استفاده نادرست از منابع AC.
به وسیله دسترسی به منابع AC:
o.grozos با استفاده از مسیر دسترسی استاندارد به منابع AC اجرا شد
Ougroms، انجام شده با استفاده از مسیر دسترسی غیر استاندارد پنهان به منابع AC، به عنوان مثال: دسترسی غیر مجاز به منابع AC با استفاده از قابلیت های غیرقانونی نرم افزار نصب شده.
در محل فعلی اطلاعات، ذخیره شده و پردازش شده در AC:
به عنوان مثال، پرمون های دسترسی به اطلاعات در دستگاه های ذخیره سازی خارجی، به عنوان مثال: کپی اطلاعات محرمانه از اطلاعات رسانه ای؛
پرمون های دسترسی به اطلاعات در حافظه دسترسی تصادفیبه عنوان مثال: خواندن اطلاعات باقی مانده از RAM، دسترسی به فیلد سیستم RAM از برنامه های کاربردی؛
به عنوان مثال، پرمون های دسترسی به اطلاعات گردش در خطوط ارتباطی، به عنوان مثال: اتصال غیرقانونی به خطوط ارتباطی به منظور انتخاب اطلاعات، ارسال داده های اصلاح شده؛
تاثیرات خطرناک بر سیستم خودکار به طور تصادفی و عمدی تقسیم می شود.
علل تأثیرات تصادفی در طول عملیات Au ممکن است:
شرایط اضطراری به علت بلایای طبیعی و قطع برق؛
شکست در خدمت؛
خطاهای نرم افزار؛
خطاهای کار پرسنل خدمات و کاربران؛
تداخل در خطوط ارتباطی به علت اثرات محیط خارجی.
استفاده از خطاهای نرم افزاری رایج ترین راه برای نقض سیستم های اطلاعات امنیتی اطلاعات است. بسته به پیچیدگی نرم افزار، تعداد اشتباهات افزایش می یابد. Malorfactors ممکن است این آسیب پذیری ها را پیدا کند و از طریق آنها برای دسترسی به سیستم اطلاعات سازمان. برای به حداقل رساندن این تهدیدات ضروری است که به طور مداوم ارتباطات نسخه های نرم افزاری را حفظ کنید.
تهدیدات عمدی با اقدامات هدفمند مهاجمان همراه است. مهاجمان به دو نوع تقسیم می شوند: مهاجم داخلی و مهاجم خارجی. مهاجم درونی اقدامات غیرقانونی را در حالی که در ناحیه کنترل شده سیستم خودکار انجام می شود، می تواند از قدرت های رسمی برای دسترسی مجاز به سیستم خودکار استفاده کند. مهاجم بیرونی دسترسی به محدودیت های منطقه کنترل شده را ندارد، اما می تواند به طور همزمان با مهاجم داخلی عمل کند تا اهداف خود را به دست آورد.
سه تهدید عمده امنیت اطلاعاتی به طور مستقیم به اطلاعات محافظت شده ارسال می شود:
نقض حریم خصوصی - اطلاعات محرمانه تغییر نمی کند، اما در دسترس برای اشخاص ثالث مجاز به اطلاعات نیست. هنگام اجرای این تهدید، احتمال ابتلا به مهاجم اطلاعات به سرقت رفته وجود دارد که ممکن است به آسیب های مالی یا حقوقی منجر شود. نقض یکپارچگی اطلاعات محافظت شده، اعوجاج، تغییر یا تخریب اطلاعات است. یکپارچگی اطلاعات ممکن است به طور عمدی نقض شود، اما به عنوان یک نتیجه از بی کفایتی یا غفلت یک کارمند شرکت. همچنین، یکپارچگی را می توان توسط یک مهاجم به دست آورد تا اهداف خود را به دست آورد. به عنوان مثال، تغییر در جزئیات حساب در یک سیستم بانکی خودکار به منظور انتقال بودجه به مهاجم یا جایگزینی داده های شخصی سازمان برای به دست آوردن اطلاعات در مورد همکاری مشتری با سازمان.
نقض دسترسی به اطلاعات محافظت شده یا امتناع از تعمیر و نگهداری - اقداماتی که تحت آن یک کاربر مجاز نمی تواند به اطلاعات محافظت شده دسترسی پیدا کند، به دلیل دلایل: شکست تجهیزات، نرم افزار، شکست یک شبکه کامپیوتری محلی.
پس از در نظر گرفتن تهدیدات سیستم های خودکار، می توانید به تجزیه و تحلیل تهدیدات سیستم اطلاعات شخصی اطلاعات ادامه دهید.
سیستم اطلاعات شخصی اطلاعات مجموعه ای از اطلاعات شخصی موجود در پایگاه های داده و تضمین فناوری اطلاعات پردازش و ابزار فنی است.
سیستم های اطلاعاتی اطلاعات شخصی ترکیبی از اطلاعات و عناصر نرم افزاری و سخت افزاری و همچنین فن آوری های اطلاعاتی مورد استفاده در پردازش داده های شخصی است.
عناصر اصلی keenns هستند عبارتند از:
اطلاعات شخصی موجود در پایگاه های داده؛
فن آوری اطلاعات مورد استفاده در پردازش PDN ها؛
ابزار فنی انجام داده های شخصی (تجهیزات محاسبات، مجتمع های اطلاعات و محاسبات و شبکه ها، وسایل و سیستم های انتقال، پذیرش و پردازش اطلاعات شخصی، معنی و سیستم ضبط صدا، صدا، تولید صدا، تولید، تکثیر اسناد و سایر ابزارهای فنی پردازش سخنرانی، گرافیک، ویدئو و اطلاعات الفبایی)؛
نرم افزار (سیستم عامل، سیستم های کنترل پایگاه داده، و غیره)؛
ابزار حفاظت از اطلاعات Cadn؛
ابزار و سیستم های فنی کمکی - ابزار و سیستم های فنی، ارتباطات آنها که برای پردازش اطلاعات شخصی در نظر گرفته نشده اند، اما در محل قرار می گیرند، که در آن کوین ها قرار دارند.
امنیت اطلاعات شخصی مجموعه ای از شرایط و عواملی است که خطر غیر مجاز، از جمله تصادفی، دسترسی به اطلاعات شخصی را ایجاد می کند، نتیجه تخریب، تغییر، مسدود کردن، کپی کردن، انتشار اطلاعات شخصی، و همچنین دیگر غیر مجاز اقدامات هنگام پردازش اطلاعات سیستم اطلاعات شخصی.
ویژگی های سیستم اطلاعات شخصی اطلاعات شخصی، به دلیل ظهور UBPDN، می تواند به رده و مقدار داده های شخصی پردازش شده در سیستم اطلاعاتی، ساختار سیستم اطلاعات شخصی اطلاعات، در دسترس بودن اتصالات تحت تاثیر قرار گیرد شبکه های استفاده عمومی و (یا) شبکه های تبادل اطلاعات بین المللی، ویژگی های زیرسیستم ایمنی اطلاعات شخصی پردازش شده به حالت های پردازش داده های شخصی، حالت تعریف کاربران از کاربران دسترسی کاربر، محل و شرایط برای قرار دادن فنی فنی Phdn.
خواص محیط توزیع سیگنال های آموزنده حاوی اطلاعات محافظت شده با نوع محیط فیزیکی مشخص می شود که PDN ها توزیع می شوند و تعیین می شوند در هنگام ارزیابی امکان اجرای UBDN. امکانات منابع UPPDN به دلیل ترکیبی از روش های غیر مجاز و غیر مجاز به PDS، به دلیل اینکه محرمانه بودن امکان پذیر است (کپی کردن، توزیع غیرقانونی)، یکپارچگی (تخریب، تغییر) و دسترسی (مسدود کردن) از PD
تهدید به ایمنی اطلاعات شخصی به عنوان یک نتیجه از تشکیل کانال CBBDNA بین منبع تهدید و حامل (منبع) PDN اجرا می شود که شرایطی را برای نقض ایمنی PDN ها ایجاد می کند.
عناصر اصلی پیاده سازی کانال CBPDN (شکل 1) عبارتند از:
منبع UCPDN - موضوع، شیء مواد یا پدیده فیزیکی ایجاد UBRDN؛
محیط توزیع PDN یا تاثیرات که در آن میدان فیزیکی، سیگنال، داده ها یا برنامه ها را می توان توزیع و تحت تأثیر خواص محافظت شده از داده های شخصی توزیع و تحت تاثیر قرار داد.
حامل داده های شخصی یک جسم فردی یا مادی است، از جمله زمینه فیزیکی که در آن PDN در قالب نمادها، تصاویر، سیگنال ها، راه حل های فنی و فرآیندهای، ویژگی های کمی از مقادیر فیزیکی منعکس شده است.
شکل 1. سیستم کانال عمومی برای کانال امنیتی اطلاعات شخصی
حامل های PDN ممکن است حاوی اطلاعات ارائه شده در انواع زیر باشند:
اطلاعات صوتی (صدای) که به طور مستقیم در سخنرانی گرافیکی کاربر به طور مستقیم در نظر گرفته می شود، زمانی که توسط تابع ورودی صوتی PDN در سیستم اطلاعات اطلاعات شخصی انجام می شود یا به این معنی است که به وسیله تکنولوژی پردازش PD ارائه می شود)، به عنوان به خوبی موجود در زمینه های الکترومغناطیسی و سیگنال های الکتریکی که ناشی از تحول اطلاعات آکوستیک بوجود می آیند؛
اطلاعات گونه ها (VI)، به عنوان متن و تصاویر دستگاه های مختلف برای نمایش اطلاعات تجهیزات محاسبات، اطلاعات و محاسبات محاسبات، ابزار فنی پردازش اطلاعات گرافیک، ویدئو و الفبایی موجود در ترکیب CAD نمایش داده می شود؛
اطلاعات پردازش شده (گردش خون) به گول زدن، به شکل الکتریکی، الکترومغناطیسی، سیگنال های نوری؛
اطلاعات پردازش شده به نگهدارنده ارائه شده در قالب بیت، بایت، فایل ها و سایر ساختارهای منطقی پردازش شده است.
به منظور ایجاد یک لیست ICPDN سیستماتیک، زمانی که آنها به CPT پردازش می شوند و توسعه بر اساس مدل های خصوصی، تهدیدات بر اساس علائم زیر طبقه بندی می شوند (شکل 2):
با نوع اطلاعات محافظت شده از UBRDN حاوی PDN؛
با انواع منابع احتمالی UBPDN؛
با نوع مرگ، که به اجرای UBPDN هدایت می شود؛
با روش اجرای UBRDN؛
با توجه به نقض مالکیت اطلاعات (نوع اقدامات غیر مجاز انجام شده با PDN ها)؛
با توجه به آسیب پذیری استفاده شده؛
با هدف قرار گرفتن در معرض
با نوع منابع احتمالی UCPDN، موارد زیر اختصاص داده شده است
کلاس های تهدید:
تهدیدات مرتبط با اقدامات عمدی یا غیرقابل پیش بینی افرادی که دسترسی به ساکنان دارند، از جمله کاربران سیستم اطلاعات شخصی اطلاعات، تهدیدهای مستقیما به داخل داخلی (نفوذ داخلی) را اجرا می کنند؛
تهدیدات مرتبط با اقدامات عمدی یا غیر عمدی افرادی که دسترسی به خانه های پیاده سازی Ugr-Roses را از شبکه های روابط عمومی خارجی و (یا) شبکه های تبادل اطلاعات بین المللی (یا مزاحم خارجی) ندارند.
علاوه بر این، تهدیدات ممکن است به عنوان یک نتیجه از معرفی بوک مارک های سخت افزاری و برنامه های مخرب بوجود آید.
با نوع، کلاس های زیر تهدیدات به اجرای UBRDN اختصاص داده می شود؛
UBPDN بر اساس یک محل کار خودکار خودکار (AWP) به پایگاه داده پردازش می شود؛
UBPDN بر اساس AWP به پایگاه داده پردازش شده، متصل به شبکه عمومی (به شبکه تبادل اطلاعات بین المللی)؛
UBPDN بر اساس سیستم های اطلاعات محلی بدون اتصال به یک شبکه مشترک (به شبکه تبادل اطلاعات بین المللی) به پایگاه داده پردازش می شود.
UBPDN به پایگاه داده بر اساس سیستم های اطلاعات محلی با اتصال به شبکه عمومی (به شبکه متابولیسم بین المللی اطلاعات) پردازش می شود.
UBPDN بر اساس سیستم های اطلاعات توزیع شده بدون اتصال به یک شبکه مشترک (به شبکه تبادل اطلاعات بین المللی) به پایگاه داده پردازش می شود.
UBPDN، پردازش شده در پایگاه داده بر اساس سیستم های اطلاعات توزیع شده با اتصال به شبکه عمومی (به شبکه تبادل اطلاعات بین المللی).
با توجه به روش های اجرای UBRDN، کلاس های تهدید زیر اختصاص داده می شود:
تهدیدات مرتبط با NSDS به PDN ها (از جمله تهدید به اجرای برنامه های مخرب)؛
تهدیدات نشت اطلاعات شخصی در کانال های نشت فنی؛
تهدیدات تأثیرات ویژه در نقطه.
در قالب اقدامات غیر مجاز انجام شده با PDN ها، کلاس های تهدید زیر اختصاص داده شده است:
تهدیداتی که منجر به نقض حریم خصوصی PDN ها می شود (توزیع هماهنگ یا توزیع غیر مجاز)، که به طور مستقیم تحت تاثیر محتوای اطلاعات قرار نمی گیرند؛
تهدیدات منجر به غیر مجاز، از جمله تصادفی، تاثیر بر محتوای اطلاعات، به عنوان یک نتیجه از آن تغییر در PDS یا تخریب آنها انجام می شود؛
تهدیدات منجر به غیر مجاز، از جمله تصادفی، قرار گرفتن در معرض نرم افزار یا عناصر نرم افزاری و سخت افزاری PDN، به عنوان یک نتیجه از مسدود کردن PD انجام می شود.
با توجه به آسیب پذیری استفاده شده، کلاس های تهدید زیر اختصاص داده شده است:
تهدیدات با استفاده از آسیب پذیری های نرم افزاری سیستم اجرا می شود؛
تهدیدات با استفاده از آسیب پذیری نرم افزار کاربردی اجرا می شود؛
تهدیدات ناشی از استفاده از آسیب پذیری های ناشی از حضور در Bookmark Hardware Au؛
تهدیدات با استفاده از آسیب پذیری های پروتکل های تعامل شبکه و کانال های انتقال داده ها اجرا می شود؛
تهدیدات ناشی از استفاده از آسیب پذیری ناشی از معایب سازمان TZI از NSD؛
تهدیدات با استفاده از آسیب پذیری های ناشی از دسترسی به کانال های نشت کانال فنی؛
تهدیدات با استفاده از آسیب پذیری های SZI اجرا شد.
کلاس های زیر تهدیدها به هدف قرار گرفتن در معرض قرار می گیرند:
تهدیدات ایمنی PDN پردازش شده به بازو؛
تهدیدات ایمنی PDN پردازش شده در ابزار پردازش برجسته (پرینتر، پلاتر، نمودار، مانیتور رندر، پروژکتور های ویدئویی، ابزارهای تولید مثل صدا، و غیره)؛
تهدیدهای ایمنی PDN در شبکه های ارتباطی منتقل می شود؛
تهدید به برنامه های کاربردی، که PDN پردازش می شود؛
تهدیدات با نرم افزار سیستم که عملکرد CDN را تضمین می کند.
پیاده سازی یکی از UBRD های کلاس های ذکر شده یا مفاصل آنها می تواند به نوع زیر پیامدهای زیر برای اشخاص PD منجر شود:
پیامدهای منفی منفی برای اشخاص PD؛
پیامدهای منفی برای اشخاص PD؛
پیامدهای منفی جزئی برای اشخاص PD.
تهدیدات نشت اطلاعات شخصی در کانال های فنی، یکی شناخته شده است که توسط ویژگی های منبع اطلاعات، محیط زیست چشمک زدن و گیرنده یک سیگنال آموزنده توصیف شده است، یعنی ویژگی های نشت کانال فنی PDN ها تعیین می شود .
تهدیدات مرتبط با دسترسی غیر مجاز (NSDs) به شکل مجموعه ای از کلاس های عمومی از منابع احتمالی تهدیدات NSD، آسیب پذیری های نرم افزاری و سخت افزاری CDN، روش هایی برای اجرای تهدیدات، اشیاء تاثیر (حامل اطلاعات محافظت شده، دایرکتوری ها، ارائه می شود ، فایل ها با PDN ها یا خود PDN ها) و اقدامات مخرب احتمالی. چنین دیدگاه توسط رکورد رسمی زیر شرح داده شده است (شکل 2).
1.3 ویژگی های ارتباطی منابع تهدید در سیستم های اطلاعاتی شخصی
تهدیدات NSD در ساکنین با استفاده از نرم افزار و نرم افزار و سخت افزار در اجرای غیر مجاز، از جمله تصادفی، دسترسی، به عنوان یک نتیجه از محرمانه بودن، یکپارچگی و دسترسی PDN ها انجام می شود، اجرا می شود و شامل موارد زیر است:
تهدیدات دسترسی غیر مجاز به محیط عملیاتی کامپیوتر با استفاده از نرم افزار استاندارد (بودجه سیستم عامل یا برنامه های کاربردی کاربردی)؛
تهدیدات برای ایجاد حالت های غیرطبیعی نرم افزار (نرم افزار و سخت افزار) به دلیل تغییرات عمدی در داده های خدمات، نادیده گرفتن محدودیت های ارائه شده در شرایط کارکنان برای ترکیب و ویژگی های پردازش اطلاعات، اعوجاج (اصلاحات) داده های خود را نادیده می گیرند و غیره.؛
شکل 2 طبقه بندی UBRDS پردازش شده در سیستم های اطلاعاتی شخصی
تهدیدات برای اجرای برنامه های مخرب (نرم افزار و تاثیر ریاضی).
ترکیب عناصر شرح تهدیدات NSD به اطلاعات در مرگ در شکل 3 نشان داده شده است.
علاوه بر این، تهدیدات ترکیبی ممکن است، که ترکیبی از این تهدیدات است. به عنوان مثال، به دلیل اجرای برنامه های مخرب، شرایط ممکن است برای NSD به محیط عملیاتی کامپیوتر، از جمله تشکیل کانال های اطلاعاتی غیر سنتی ایجاد شود.
تهدید دسترسی غیر مجاز به محیط عملیاتی با استفاده از نرم افزار استاندارد به تهدیدات دسترسی مستقیم و از راه دور تقسیم می شود. تهدیدات دسترسی مستقیم با استفاده از نرم افزار و نرم افزار و سخت افزار ورودی / خروجی کامپیوتر انجام می شود. تهدیدات دسترسی از راه دور با استفاده از پروتکل های تعامل شبکه اجرا می شود.
چنین تهدیدهای مربوط به پایگاه داده بر اساس محل کار خودکار اجرا می شود، که در شبکه ارتباطات عمومی و در ارتباط با تمام بی قراری برای ارتباط با روابط عمومی و شبکه های تبادل اطلاعات بین المللی وجود دارد.
شکل 3 طبقه بندی UBRDS پردازش شده در سیستم های اطلاعاتی شخصی
1.3.1 ویژگی های کلی منابع تهدیدات غیر مجاز در سیستم اطلاعاتی اطلاعات شخصی.
منابع تهدیدها در سیستم اطلاعاتی اطلاعات شخصی می توانند عبارتند از:
نقض کننده؛
حامل نرم افزارهای مخرب؛
تب سخت افزار
تهدیدات ایمنی PDN مرتبط با اجرای بوک مارک های سخت افزاری مطابق با اسناد قانونی خدمات امنیتی فدرال فدراسیون روسیه در روش تعیین شده توسط آن تعیین می شود.
با توجه به حضور حقوق دائمی یا یک بار دسترسی به منطقه کنترل شده، مزاحمان به دو نوع تقسیم می شوند:
متخلفانی که دسترسی به خانه هایی ندارند که تهدیدهای شبکه های ارتباطی عمومی خارجی را اجرا می کنند و (OR) شبکه های تبادل اطلاعات بین المللی، مهاجمان خارجی هستند؛
متخلفانی که دسترسی به گول زدن دارند، از جمله کاربران نقطه، تهدیدهای را به طور مستقیم به مزاحمان داخلی اعمال می کنند.
متخلفان خارجی می توانند عبارتند از:
سازمان های رقابتی؛
همکاران ناعادلانه؛
افراد خارجی (افراد).
مزاحم خارجی دارای ویژگی های زیر است:
ورزش دسترسی غیر مجاز به کانال های ارتباطی، خارج از محل خدمات؛
دسترسی غیر مجاز را از طریق مشاغل خودکار متصل به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی انجام دهید؛
دسترسی غیر مجاز به اطلاعات را با استفاده از اثرات نرم افزاری ویژه از طریق ویروس های نرم افزاری، نرم افزارهای مخرب، الگوریتم یا بوک مارک های نرم افزاری انجام دهید.
دسترسی غیر مجاز را از طریق عناصر زیرساخت اطلاعات سیستم اطلاعاتی اطلاعات شخصی که در فرآیند آن هستند، انجام دهید چرخه زندگی (مدرنیزاسیون، تعمیر و نگهداری، تعمیر، بازیافت، بازیافت) خارج از منطقه کنترل شده؛
تأثیر دسترسی غیر مجاز از طریق سیستم های اطلاعاتی بخش های تعامل، سازمان ها و موسسات زمانی که آنها به CD متصل هستند.
متخلفان بالقوه بالقوه به هشت دسته تقسیم می شوند، بسته به روش دسترسی و مجوز دسترسی به PDN ها.
اولین رده شامل افرادی با دسترسی مجاز به گول زدن، اما دسترسی به PDN ها نیست. این نوع نقض کنندگان شامل مقامات است که عملکرد طبیعی ناخوشایند را تضمین می کنند.
دسترسی به قطعات اطلاعاتی حاوی PDN ها را داشته باشید و از طریق کانال های ارتباطی داخلی CDM گسترش دهید؛
قطعاتی از اطلاعات مربوط به توپولوژی CDN و پروتکل های ارتباطی مورد استفاده و خدمات آنها استفاده می شود؛
نام محل و شناسایی رمزهای عبور کاربران ثبت نام شده؛
پیکربندی ابزار فنی CDN را تغییر دهید تا بوک مارک های نرم افزاری و سخت افزاری را تهیه کنید و اطلاعات را با استفاده از اتصال مستقیم به ابزار فنی CD ارائه دهید.
دارای تمام امکانات افراد اول رده اول است؛
حداقل یک نام دسترسی قانونی را می داند؛
دارای تمام ویژگی های لازم است که دسترسی به یک زیر مجموعه خاص از PDN را فراهم می کند؛
این اطلاعات محرمانه ای دارد که دسترسی دارد.
دسترسی آن، احراز هویت و دسترسی به حقوق دسترسی به یک زیر مجموعه خاص PDN ها باید توسط دسترسی مربوط به حذف دسترسی اداره شود.
همه امکانات مربوط به اشخاص اول و دوم را دارد؛
اطلاعاتی در مورد توپولوژی پایگاه داده بر اساس یک سیستم اطلاعاتی محلی و (یا) توزیع شده است که از طریق آن دسترسی به آن انجام می شود و ترکیب ابزار فنی CDN؛
این توانایی به طور مستقیم (فیزیکی) دسترسی به قطعات فنی فنی CDN دارد.
این اطلاعات کامل در مورد سیستم و نرم افزار کاربردی مورد استفاده در بخش (قطعه) CDM است.
این اطلاعات کامل در مورد ابزار فنی و پیکربندی بخش (قطعه) CDN است.
دسترسی به وسیله حفاظت از اطلاعات و ورود به سیستم، و همچنین عناصر فردی مورد استفاده در بخش (قطعه) CDN.
این دسترسی به تمام بخش های فنی (قطعه) CETS است؛
او دارای حقوق پیکربندی و پیکربندی اداری یک زیر مجموعه خاص از ابزار فنی بخش (قطعه) CDN است.
قدرت مدیریت سیستم CDN.
همه امکانات مربوط به افراد از دسته های قبلی دارد؛
اطلاعات کامل در مورد سیستم و نرم افزار منبع کاربردی دارد؛
اطلاعات کامل در مورد وسایل فنی و پیکربندی دارد.
دسترسی به تمام ابزار فنی پردازش اطلاعات و داده های ناخوشایند دارد؛
او دارای حقوق پیکربندی و تنظیم اداری ابزار فنی است.
مدیر سیستم پیکربندی و مدیریت نرم افزار و تجهیزات را انجام می دهد، از جمله تجهیزات مسئول ایمنی شیء محافظت شده: ابزار حفاظت رمزنگاری اطلاعات، نظارت، ثبت نام، بایگانی، حفاظت در برابر NSD.
همه امکانات مربوط به افراد از دسته های قبلی دارد؛
اطلاعات کامل در مورد Dodge؛
دسترسی به امنیت اطلاعات و ورود به سیستم و بخش است عناصر کلیدی گرفتار؛
این دسترسی به پیکربندی ابزار فنی شبکه را به استثنای کنترل (بازرسی) ندارد.
اطلاعات مربوط به الگوریتم ها و برنامه های پردازش اطلاعات برای Dodge؛
امکان ایجاد اشتباهات، قابلیت های غیرقانونی، بوک مارک های نرم افزاری، نرم افزارهای مخرب در نرم افزار CDN در مرحله توسعه، معرفی و نگهداری آن را دارد.
این می تواند هر قطعه ای از اطلاعات مربوط به توپولوژی DNT و ابزار فنی پردازش و حفاظت از PDS پردازش شده را به CAD داشته باشد.
دارای امکانات ساخت بوک مارک ها به معنی فنی Phdn در مرحله توسعه، پیاده سازی و نگهداری آنها؛
این می تواند هر قطعه ای از اطلاعات مربوط به توپولوژی شأن و ابزار فنی پردازش و حفاظت از اطلاعات را در خانه داشته باشد.
حامل یک برنامه مخرب می تواند یک عنصر سخت افزاری رایانه یا یک ظرف نرم افزاری باشد. اگر برنامه مخرب با هیچ برنامه کاربردی مرتبط نباشد، پس به عنوان حامل آن در نظر گرفته شده است:
محیط قابل فروش، یعنی فلاپی دیسک، دیسک نوری، حافظه فلش؛
داخلی ساخته شده ( دیسکهای سخت، Microcircuits RAM، پردازنده، تراشه های هیئت مدیره سیستم، تراشه های دستگاه تعبیه شده در واحد سیستم، - آداپتور ویدئو، هیئت مدیره شبکه، کارت صدا، مودم، دستگاه های ورودی / خروجی از دیسک های سفت و سخت مغناطیسی، منبع تغذیه، و غیره، دسترسی مستقیم به Microcircuits، تایرهای انتقال داده ها، پورت های I / O)؛
مدارهای دستگاه های خارجی (مانیتور، صفحه کلید، چاپگر، مودم، اسکنر، و غیره).
اگر برنامه مخرب با هر برنامه کاربردی مرتبط باشد، با فایل هایی که دارای پسوندهای خاص یا ویژگی های دیگر هستند، پیام های ارسال شده در شبکه، سپس حامل های آن عبارتند از:
بسته های انتقال شده توسط شبکه ی کامپیوتری پیام ها؛
فایل ها (متن، گرافیک، اجرایی، و غیره).
1.3.2 به طور کلی مشخصه دسترسی مستقیم به محیط عملیاتی سیستم اطلاعاتی شخصی
تهدیدات دسترسی غیر مجاز به محیط عملیاتی کامپیوتر و دسترسی غیر مجاز به PDN مربوط به دسترسی است:
به اطلاعات و دستورات ذخیره شده در سیستم هسته / خروجی / خروجی، با توانایی رهگیری مدیریت سیستم عامل و دریافت حقوق کاربر مورد اعتماد؛
در محیط عملیاتی، یعنی، بر عملکرد سیستم عامل محلی یک ابزار فنی جداگانه، میزان امکان دسترسی غیر مجاز را با فراخوانی کارکنان سیستم عامل یا راه اندازی برنامه های ویژه توسعه یافته که چنین اقداماتی را اجرا می کنند، امکان پذیر است ؛
در روز چهارشنبه، برنامه های کاربردی (به عنوان مثال، سیستم محلی مدیریت پایگاه داده)؛
به طور مستقیم به اطلاعات کاربر (به فایل ها، اطلاعات متنی، صوتی و گرافیک، زمینه ها و مطالب در پایگاه های داده های الکترونیکی) و به دلیل امکان نقض محرمانه بودن، یکپارچگی و دسترسی آن، به دلیل امکان نقض محرمانه بودن، یکپارچگی و دسترسی آن است.
این تهدید ها را می توان در مورد به دست آوردن دسترسی فیزیکی به ساکنان یا حداقل به وسیله ورود به اطلاعات در CD اجرا کرد. آنها را می توان تحت شرایط پیاده سازی به سه گروه ترکیب کرد.
گروه اول شامل تهدیدات اجرا شده در بوته سیستم عامل است. این تهدیدات امنیتی اطلاعاتی برای رهگیری رمزهای عبور یا شناسه ها، اصلاح سیستم نرم افزاری نرم افزاری / خروجی نرم افزار، از دست دادن کنترل دانلود با تغییر در اطلاعات تکنولوژیکی لازم برای به دست آوردن NSD به روز چهارشنبه عملیاتی است. اغلب چنین تهدیدها با استفاده از رسانه های بیگانه اجرا می شود.
گروه دوم - تهدیدات پس از بارگیری محیط عملیاتی بدون در نظر گرفتن برنامه کاربردی آغاز می شود. این تهدیدات معمولا با هدف دسترسی مستقیم به اطلاعات غیر مجاز به اطلاعات می پردازد. هنگام دریافت دسترسی به محیط عملیاتی، مجرم می تواند از آن استفاده کند توابع استاندارد سیستم عامل یا هر برنامه کاربردی عمومی (به عنوان مثال، سیستم های مدیریت پایگاه داده) و برنامه های خاص ایجاد شده مانند دسترسی غیر مجاز، به عنوان مثال:
مشاهده برنامه و اصلاح رجیستری؛
برنامه های جستجوی متن در فایل های متنی توسط کلید واژه ها و کپی کردن؛
برنامه های مشاهده ویژه و کپی های کپی در پایگاه های داده؛
برنامه های مشاهده سریع فایل های گرافیکی، ویرایش یا کپی کردن؛
برنامه های پشتیبانی از فرصت ها برای تنظیم مجدد نرم افزار (تنظیمات نگهداری شده در منافع نقض کننده).
در نهایت، گروه سوم شامل تهدیدات، پیاده سازی آن تعیین می شود که توسط کدام برنامه های کاربردی توسط کاربر تعیین می شود یا واقعیت راه اندازی هر یک از برنامه های کاربردی است. اکثر این تهدیدات تهدیدی برای معرفی برنامه های مخرب است.
1.3.3 ویژگی های کلی تهدید به امنیت اطلاعات شخصی با استفاده از پروتکل های اتصال
اگر پایگاه داده بر اساس یک سیستم اطلاعات محلی یا توزیع شده اجرا شود، می توان آن را در تهدیدات ایمنی به استفاده از پروتکل های اتصال متصل کرد. این ممکن است توسط NSD به PDN ها یا تهدید امتناع از حفظ ارائه شود. تهدیدات به ویژه هنگامی که در حال مرگ یک سیستم اطلاعات توزیع شده متصل به شبکه های استفاده عمومی و (یا) شبکه های تبادل اطلاعات بین المللی است، خطرناک است. طرح طبقه بندی تهدیدها در سراسر شبکه در شکل 4 نشان داده شده است. این بر اساس هفت نشانه اولیه طبقه بندی زیر است.
شکل 4 طرح طبقه بندی تهدیدات با استفاده از پروتکل های تعامل بین تیراندازی
1. ماهیت تهدید. بر این اساس، تهدید می تواند منفعل و فعال باشد. تهدید منفعل تهدیدی است، و پیاده سازی آن تاثیر مستقیمی بر عملکرد CDN ندارد، اما قوانین جداسازی دسترسی به PDN ها یا منابع شبکه را می توان نقض کرد. یک نمونه از چنین تهدیدها تهدید "تجزیه و تحلیل ترافیک شبکه" است، با هدف گوش دادن به کانال های ارتباطی و اطلاعات انتقال داده شده است. تهدید فعال تهدیدی است که با تأثیرات بر منابع CDN همراه است، با اجرای آن، تاثیر مستقیمی بر عملکرد سیستم (تغییر در پیکربندی، اختلال عملکرد و غیره)، و با نقض قوانین ایجاد شده برای تشخیص دسترسی به PDN ها یا منابع شبکه. یک نمونه از چنین تهدیدها تهدید "امتناع از نگهداری" است که به عنوان "طوفان پرس و جو TCP" اجرا می شود.
2. هدف از تحقق تهدید. بر این اساس، تهدید می تواند با هدف نقض محرمانه بودن، یکپارچگی و دسترسی به اطلاعات (از جمله نقض عملکرد CAD یا عناصر آن)، هدف قرار گیرد.
3. وضعیت شروع به اجرای روند تحقق تهدید کرد. بر این اساس، تهدید می تواند اجرا شود:
بر اساس درخواست یک جسم نسبت به آن تهدید اجرا می شود. در این مورد، متخلفان انتظار می رود انتقال یک نوع خاص از درخواست، که شرط شروع دسترسی غیر مجاز خواهد بود؛
در وقوع رویداد مورد انتظار در تسهیلات، نسبت به آن تهدیدی اجرا می شود. در این مورد، نقض کننده نظارت دائمی از وضعیت سیستم عامل Cadov را انجام می دهد و زمانی که یک رویداد خاص در این سیستم اتفاق می افتد، دسترسی غیر مجاز آغاز می شود؛
تاثیر بی قید و شرط. در این مورد، آغاز پیاده سازی دسترسی غیر مجاز، بدون قید و شرط نسبت به هدف دسترسی است، یعنی تهدید بلافاصله و بی اهمیت به وضعیت سیستم اجرا می شود.
4. دسترسی بازخورد با مشتاق بر این اساس، روند اجرای تهدید می تواند با بازخورد و بدون بازخورد باشد. تهدید انجام شده در حضور بازخورد به سیستم اطلاعاتی اطلاعات شخصی، با این واقعیت مشخص می شود که برخی از درخواست ها به تراکم منتقل می شوند، متخلفان باید پاسخی دریافت کنند. در نتیجه، بازخورد بین سیستم نقض کننده و سیستم اطلاعاتی اطلاعات شخصی وجود دارد که اجازه می دهد تا نقض کننده به طور کامل به تمام تغییرات رخ داده در CDM پاسخ دهد. در مقابل تهدیدها در حضور بازخورد از سیستم اطلاعاتی اطلاعات شخصی، هنگام اجرای تهدیدات بدون بازخورد، لازم نیست به هر گونه تغییری که در CDN اتفاق می افتد پاسخ دهیم.
5. محل مزاحم نسبتا رنگ شده است. مطابق با این علامت، تهدید هر دو در گوهر و integnetivity اجرا می شود.
بخش شبکه یک ارتباط فیزیکی میزبان (ابزار فنی دوج یا عناصر ارتباطی با آدرس شبکه) است. به عنوان مثال، بخش سیستم اطلاعاتی اطلاعات شخصی، مجموعه ای از میزبان های متصل به سرور را با توجه به طرح "کل اتوبوس" تشکیل می دهد. در مورد زمانی که یک تهدید درونی بارور می شود، نقض کننده دسترسی فیزیکی به عناصر سخت افزاری CAD دارد. اگر یک تهدید متقابل اتفاق بیافتد، مزاحم در خارج از شرافت قرار دارد، تهدیدی از یک شبکه دیگر یا بخش دیگری از سیستم اطلاعاتی اطلاعات شخصی را اجرا می کند.
6. سطح مدل مرجع تعامل سیستم های باز (ISO / OSI)، که در آن تهدید اجرا می شود. بر این اساس، تهدید را می توان بر روی فیزیکی، کانال، شبکه، حمل و نقل، جلسه، نماینده و سطح برنامه مدل ISO / OSI اجرا کرد.
7. نسبت تعداد متخلفان و عناصر شأن و منزلت نسبت به آن تهدیدی اجرا می شود. بر این اساس، تهدید را می توان به طبقه تهدیداتی که توسط یک ویولون با توجه به یک ابزار فنی CDN (تهدید "یک تا یک") اعمال می شود، نسبت به چندین ابزار فنی CAD (تهدید " یکی به بسیاری از ") یا چندین متخلف از رایانه های مختلف نسبت به یک یا چند مورد فنی، چادا (تهدیدهای توزیع شده یا ترکیبی).
با توجه به طبقه بندی انجام شده، انواع اصلی حملات را بر روی سیستم اطلاعات شخصی اطلاعات انتخاب کنید:
1. تجزیه و تحلیل ترافیک شبکه.
این تهدید با استفاده از نرم افزار تجزیه و تحلیل ویژه بسته بندی شده، از بین بردن تمام بسته های منتقل شده از طریق بخش شبکه، و تخصیص در میان آنها کسانی که در آن شناسه کاربر و رمز عبور آن منتقل می شود، تخصیص می دهد. در طی اجرای تهدید، متخلفان منطق عملیات شبکه را بررسی می کنند - یعنی، به دنبال آن است که به دست آوردن انطباق یکپارچه از وقایع موجود در سیستم، و دستورات ارسال شده با تمام این میزبان ها در زمان داده های رویداد به نظر می رسد. در آینده، این اجازه می دهد تا یک مهاجم بر اساس وظیفه دستورات مربوطه برای به دست آوردن، حقوق ممتاز به اقدامات در سیستم و یا گسترش قدرت های خود را در آن، جریان داده های انتقال داده شده است که ارتباط اجزای سیستم عامل شبکه را برای استخراج انتقال می دهد اطلاعات محرمانه یا شناسایی، جایگزینی و اصلاح آن.
2. شبکه ورود به سیستم.
ماهیت فرایند اجرای تهدید این است که انتقال درخواست ها به خدمات شبکه های کلید های میزبان و تجزیه و تحلیل پاسخ ها از آنها. هدف این است که شناسایی پروتکل های مورد استفاده در دسترس برای پورت خدمات شبکه، قوانین تشکیل شناسه های اتصال، تعریف خدمات شبکه فعال، انتخاب شناسه ها و کلمه عبور کاربر.
3. تشخیص رمز عبور.
هدف از اجرای تهدید، بدست آوردن NSD با غلبه بر حفاظت از رمز عبور است. یک مهاجم می تواند تهدیدی را با کمک تعدادی از روش ها، مانند یک مجتمع ساده، نیروی بی رحم با استفاده از لغت نامه های ویژه، تهدیدی را اجرا کند، نصب یک برنامه مخرب برای شناسایی رمز عبور، جایگزینی یک شیء شبکه مورد اعتماد و بسته های دستگیر. به طور عمده برای اجرای تهدیدات توسط برنامه های ویژه ای که در حال تلاش برای دسترسی به میزبان توسط یک انتخاب سازگار از کلمه عبور استفاده می شود استفاده می شود. در صورت موفقیت، مهاجم می تواند نقطه ورودی را برای دسترسی به آینده ایجاد کند، حتی اگر شما باید رمز عبور دسترسی را در میزبان تغییر دهید.
4. خالی از یک شیء شبکه قابل اعتماد و انتقال از طریق کانال های ارتباطی پیام های خود را از طرف خود را با تخصیص حقوق دسترسی خود را.
چنین تهدیدی به طور موثر در سیستم هایی که الگوریتم های شناسایی ناپایدار و الگوریتم های احراز هویت میزبان و کاربر تایید شده اند، اجرا می شود. تحت شی مورد اعتماد به عنوان شیء شبکه (کامپیوتر، فایروال، روتر، و غیره) درک می شود، به طور قانونی به سرور متصل می شود. دو نوع فرآیند اجرای تهدید مشخص می تواند جدا شود: با استقرار و بدون ایجاد یک اتصال مجازی. فرآیند پیاده سازی با ایجاد یک ترکیب مجازی، تعیین حقوق یک نهاد قابل اعتماد تعامل است که اجازه می دهد تا متخلفان بتوانند جلسه ای را با هدف شبکه از طرف نهاد مورد اعتماد انجام دهند. پیاده سازی تهدید این نوع نیاز به غلبه بر سیستم شناسایی و احراز هویت دارد. فرآیند اجرای تهدید بدون ایجاد یک اتصال مجازی ممکن است در شبکه هایی که پیام های منتقل شده را فقط از طریق آدرس شبکه فرستنده شناسایی می کنند، رخ دهد. این نهاد انتقال پیام های خدماتی از طرف دستگاه های کنترل شبکه (به عنوان مثال، از طرف روترها) در تغییر داده های مسیر است.
به عنوان یک نتیجه از تهدید یک تهدید، نقض کننده حقوق دسترسی دریافت شده توسط کاربر را برای یک مشترک معتبر به ابزار فنی سرشماری دریافت می کند.
5. نصب مسیر نادرست شبکه.
این تهدید توسط یکی از دو روش اجرا می شود: با اعمال درونی بارور یا تقلید. توانایی تحمیل یک مسیر نادرست به دلیل معایب ناشی از الگوریتم های مسیریابی است (به ویژه، به دلیل مشکل شناسایی دستگاه های کنترل شبکه)، به عنوان مثال ممکن است، به عنوان مثال، به میزبان یا در شبکه مهاجم، جایی که شما می توانید محیط عملیاتی ابزار فنی را در محیط عملیاتی CDN وارد کنید. پیاده سازی تهدید بر اساس استفاده غیر مجاز از مسیریابی شبکه و پروتکل های مدیریت شبکه برای ایجاد تغییرات در جداول رتبه بندی است. در این مورد، متخلف باید از طرف دستگاه کنترل شبکه (به عنوان مثال، یک روتر) پیام کنترل شود.
6. دیدگاه شیء شبکه دروغین.
این تهدید بر اساس استفاده از کمبودهای الگوریتم های جستجو از راه دور است. اگر اشیاء شبکه در ابتدا اطلاعات آدرس را در مورد یکدیگر ندارند، پروتکل های جستجوی مختلف از راه دور استفاده می شوند که به شبکه درخواست های خاص منتقل می شوند و پاسخ به آنها را با جستجوی اطلاعات دریافت می کنند. در این مورد، می توان از نقض کننده پرس و جو جستجو و صدور پاسخ نادرست به آن عبور کرد، استفاده از آن منجر به تغییر مطلوب در داده های آدرس مسیر می شود. در آینده، کل جریان اطلاعات مربوط به فداکاری شیء از طریق هدف نادرست شبکه عبور می کند
7. قدرت در خدمت
این تهدیدات بر اساس کمبودهای نرم افزار شبکه، آسیب پذیری های آن است که اجازه می دهد که متخلفان اجازه ایجاد شرایط زمانی که سیستم عامل قادر به پردازش بسته های دریافتی نیست. انواع مختلفی از چنین تهدیدی ها می توانند جدا شوند:
امتناع از تعمیر و نگهداری ناشی از جذب بخشی از منابع CDN برای رسیدگی به بسته های منتقل شده توسط مهاجم با کاهش پهنای باند کانال های ارتباطی، دستگاه های شبکه، نقض الزامات درخواست درخواست درخواست. نمونه هایی از اجرای تهدیدها این نوع می تواند باشد: درخواست های ECHO توسط پروتکل ICMP، طوفان درخواست ها برای ایجاد اتصالات TCP، پرس و جو طوفان به سرور FTP؛
امتناع از حفظ، ناشی از خستگی منابع، هنگام پردازش بسته های ارسال شده توسط مهاجم (اشغال کل پهنای باند پهنای باند، صف های پرس و جو خدمات)، که در آن درخواست های قانونی را نمی توان از طریق شبکه به دلیل عدم دسترسی به انتقال انتقال داد متوسط \u200b\u200bیا دریافت نارسایی در تعمیر و نگهداری به علت صف های پرس و جو سرریز، فضای دیسک حافظه و غیره نمونه هایی از تهدید به این نوع می تواند به عنوان طوفان پخش ICMP-echoes پخش شود، که توسط یک پیام طوفان، طوفان به سرور ایمیل هدایت می شود؛
امتناع صریح برای حفظ نقض ارتباط منطقی بین ابزارهای فنی CPF هنگام انتقال نقض کننده پیام های کنترل از طرف دستگاه های شبکه که منجر به تغییر داده ها یا اطلاعات شناسایی و احراز هویت می شود؛
امتناع صریح تعمیر و نگهداری ناشی از مهاجم توسط مهاجم با ویژگی های غیر استاندارد و یا داشتن طول بیش از حداکثر اندازه مجاز، که می تواند به مجموعه ای از دستگاه های شبکه ای که در پردازش پرس و جو منجر می شود، ارائه می دهد که در برنامه های پیاده سازی برنامه ها خطایی وجود دارد پروتکل های تبادل نتیجه اجرای این تهدید می تواند عملکرد سرویس مربوطه را برای ارائه دسترسی از راه دور به PDN ها به PDN، انتقال از یک آدرس به چنین تعدادی از درخواست ها به ابزار فنی در ترکیب CADN، که حداکثر ترافیک را می توان تحت درمان قرار داد، که مستلزم سرریز صف پرس و جو و شکست یکی از خدمات شبکه یا توقف کامل کامپیوتر به علت عدم امکان پذیر بودن سیستم به تعامل با هر گونه دیگر، به جز پردازش پرس و جو است.
8. برنامه های کاربردی راه اندازی
تهدید در تمایل به راه اندازی یک نرم افزار مخرب مختلف پیش اجرا شده در میزبان است: برنامه های نشانه گذاری، ویروس ها، "جاسوسی شبکه"، هدف اصلی آن نقض محرمانه بودن، یکپارچگی، دسترسی اطلاعات و کنترل کامل بر کار است از میزبان علاوه بر این، راه اندازی غیر مجاز برنامه های کاربردی کاربر برای به دست آوردن داده های غیر مجاز از طریق نقض کننده امکان پذیر است تا فرآیندهای مدیریت شده توسط برنامه کاربردی و دیگران را اجرا کند. این توسط سه پایگاه داده تهدید داده شده متمایز است:
توزیع فایل های حاوی کد اجرایی غیر مجاز؛
راه اندازی از راه دور برنامه های کاربردی با استفاده از بافر های برنامه کاربردی-سرور؛
راه اندازی برنامه از راه دور با استفاده از ویژگی های سیستم کنترل از راه دور ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری و یا استفاده شده توسط استاندارد راه اندازی شده است.
تهدیدات معمول اول از زیر کلاس های مشخص شده بر اساس فعال سازی فایل های توزیع شده در صورت دسترسی تصادفی به آنها است. نمونه هایی از چنین فایل هایی می توانند خدمت کنند: فایل های حاوی کد اجرایی در قالب یک ماکروکامند (اسناد مایکروسافت ورد، اکسل)، اسناد HTML حاوی کد اجرایی به عنوان عناصر ActiveX، اپلت های جاوا، اسکریپت های تفسیر شده (به عنوان مثال، نرم افزار مخرب در جاوا اسکریپت)؛ فایل های حاوی کدهای برنامه اجرایی.
خدمات ایمیل، انتقال فایل، شبکه ها می توانند برای توزیع فایل ها استفاده شوند. سیستم فایل.
در تهدیدات زیر کلاس دوم، معایب برنامه های اجرای خدمات شبکه (به طور خاص، بدون کنترل کنترل سرریز کنترل) استفاده می شود. تنظیم ثبت سیستم ها گاهی اوقات ممکن است پردازنده را پس از وقفه ناشی از سرریز بافر، به اجرای کد موجود در خارج از بافر تغییر دهید.
در تهدیدات زیر کلاس سوم، مجرم توانایی از راه دور مدیریت سیستم ارائه شده توسط اجزای پنهان یا کنترل های منظم و مدیریت شبکه های کامپیوتری استفاده می کند. به عنوان یک نتیجه از استفاده از آنها، امکان دستیابی به کنترل از راه دور بر ایستگاه در شبکه وجود دارد. به صورت مقدم، مراحل اصلی کار این برنامه ها به شرح زیر است: نصب در حافظه؛ در انتظار یک پرس و جو میزبان از راه دور که برنامه مشتری در حال اجرا است، و تبادل پیام های آمادگی با آن؛ انتقال اطلاعات متوقف شده به مشتری یا ارائه او با کنترل بر روی کامپیوتر مورد حمله. پیامدهای احتمالی فروش تهدیدات کلاس های مختلف در جدول 1 نشان داده شده است
جدول 1. پیامدهای احتمالی اجرای تهدیدات کلاس های مختلف
|
№
p / P. |
نوع حمله | پیامدهای احتمالی | |
| 1 | تجزیه و تحلیل ترافیک شبکه | بررسی ویژگی های ترافیک شبکه، رهگیری از داده های منتقل شده، از جمله شناسه ها و کاربران رمز عبور | |
| 2 | شبکه اسکن | تعریف پروتکل های موجود برای پورت خدمات شبکه، قوانین تشکیل شناسه اتصالات، خدمات شبکه فعال، شناسه ها و کلمه عبور کاربر | |
| 3 | "رمز عبور" حمله | انجام هر گونه اقدام مخرب مرتبط با به دست آوردن دسترسی غیر مجاز | |
| 4 | جایگزینی یک شیء قابل اعتماد | تغییر گذر از پیام ها، تغییر غیر مجاز در داده های مسیر. دسترسی غیر مجاز به منابع شبکه، تحمیل اطلاعات نادرست | |
| 5 | تحمیل مسیر نادرست | تغییر غیر مجاز در داده های مسیر، تجزیه و تحلیل و اصلاح داده های منتقل شده، اعمال پیام های نادرست | |
| 6 | پیاده سازی یک شیء دروغین | رهگیری و مشاهده ترافیک دسترسی غیرمجاز به منابع شبکه، اطلاعات نادرست را اعمال می کند | |
| 7 | عدم خدمات | خستگی جزئی از منابع | کاهش پهنای باند کانال های ارتباطی، دستگاه های شبکه. برنامه های سرور را کاهش داد. |
| خستگی کامل از منابع | ناتوانی در انتقال پیام ها به دلیل عدم دسترسی به رسانه انتقال، امتناع از برقراری ارتباط. امتناع از ارائه خدمات | ||
| نقض ارتباط منطقی بین صفات، داده ها، اشیاء | ناتوانی در انتقال پیام ها به دلیل فقدان داده های آدرس صحیح صحیح. عدم امکان اخذ خدمات به دلیل اصلاح غیر مجاز شناسه ها، رمزهای عبور و غیره | ||
| استفاده از اشتباهات در برنامه ها | نقض دستگاه های شبکه. | ||
| 8 | حذف برنامه های کاربردی | با ارسال فایل های حاوی کد اجرایی مخرب، عفونت ویروس. | نقض محرمانه بودن، یکپارچگی، دسترسی به اطلاعات. |
| با فشار بیش از حد برنامه سرور | |||
| با استفاده از امکانات کنترل از راه دور سیستم ارائه شده توسط نرم افزار پنهان و بوک مارک های سخت افزاری و یا توسط کارکنان استفاده می شود | سیستم مدیریت پنهان | ||
فرایند اجرای تهدید در مورد کلی شامل چهار مرحله است:
مجموعه اطلاعات؛
تهاجم (نفوذ به محیط عملیاتی)؛
استفاده از دسترسی غیر مجاز؛
از بین بردن آثار دسترسی غیر مجاز.
در مرحله جمع آوری اطلاعات، متخلفان ممکن است علاقه مند به اطلاعات متنوع در مورد چگالی، از جمله:
در توپولوژی شبکه، که در آن سیستم کار می کند. این ممکن است منطقه را در اطراف شبکه بررسی کند (به عنوان مثال، مزاحم ممکن است علاقه مند به آدرس های میزبان مورد اعتماد، اما کمتر محافظت شده باشد). خدماتی وجود دارد که تعریف موازی از دسترسی به میزبان را انجام می دهند که قادر به اسکن منطقه بزرگ فضای آدرس برای دسترسی میزبان در یک دوره کوتاه مدت هستند.
در نوع سیستم عامل (OS) در CPF. ممکن است روش تعیین نوع سیستم عامل را به عنوان ساده ترین درخواست برای برقراری ارتباط با استفاده از پروتکل دسترسی از راه دور Telnet، به عنوان نتیجه توسط " ظاهر»پاسخ شما می توانید نوع سیستم عامل میزبان را تعیین کنید. حضور خدمات خاص همچنین می تواند به عنوان یک ویژگی اضافی برای تعیین نوع سیستم عامل میزبان خدمت کند؛
در خدمات عملیاتی میزبان. تعریف خدمات انجام شده بر روی میزبان بر اساس روش تشخیص "پورت های باز" با هدف جمع آوری اطلاعات در مورد دسترسی به میزبان است.
در مرحله تهاجم، حضور آسیب پذیری های معمول در خدمات سیستم یا خطاهای سیستم در اداره سیستم مورد بررسی قرار گرفته است. نتیجه موفقیت آمیز استفاده از آسیب پذیری ها معمولا توسط فرایند یک حالت اعدام ممتاز (دسترسی به حالت پردازنده ممتاز) به دست می آید، وارد حساب کاربری حساب کاربری غیرقانونی، دریافت فایل رمز عبور یا ظرفیت کاری میزبان حمله شد .
این مرحله از توسعه تهدید معمولا چند فاز است. مراحل فرآیند اجرای تهدیدی ممکن است شامل موارد زیر باشند: ایجاد ارتباط با میزبان، نسبی که تهدید به آن می شود؛ شناسایی آسیب پذیری؛ معرفی یک برنامه مخرب در منافع گسترش حقوق و دیگران.
تهدیدات اجرا شده در مرحله نهایی به سطوح پشته پروتکل TCP / IP تقسیم می شوند، زیرا آنها بر روی شبکه، حمل و نقل یا سطح کاربردی بسته به مکانیزم تهاجم مورد استفاده تشکیل می شوند. نوع تهدیدات در سطح شبکه و انتقال شامل موارد زیر است:
تهدید با هدف جایگزینی یک شیء مورد اعتماد؛
تهدید به ایجاد یک مسیر نادرست در شبکه؛
تهدیدات با هدف ایجاد یک شیء نادرست با استفاده از کمبودهای الگوریتم های جستجو از راه دور؛
تهدید "امتناع از نگهداری".
تهدیدات معمولی که در سطح برنامه اجرا شده اند عبارتند از تهدیدات با هدف راه اندازی غیر مجاز برنامه های کاربردی، تهدیدات، پیاده سازی، با اجرای بوک مارک های نرم افزاری، با تشخیص گذرواژه های دسترسی به شبکه یا یک میزبان خاص و غیره مرتبط است. اگر تحقق این تهدید، متخلفان بالاترین حقوق دسترسی را در این سیستم نیاورد، تلاش کرد تا این حقوق را به بالاترین سطح ممکن گسترش دهد. برای این، آسیب پذیری های نه تنها خدمات شبکه را می توان مورد استفاده قرار داد، بلکه آسیب پذیری میزبان نرم افزار سیستم است.
در اجرای دسترسی غیر مجاز، تهدید به دست می آید:
نقض محرمانه (کپی کردن، توزیع غیرقانونی)؛
نقض یکپارچگی (تخریب، تغییر)؛
نقض در دسترس بودن (مسدود کردن).
در همان مرحله، پس از این اقدامات، به عنوان یک قاعده، به اصطلاح "ورودی سیاه" به شکل یکی از خدمات خدمت به برخی از پورت و اجرای دستورات مزاحم تشکیل شده است. "ورود سیاه و سفید" در سیستم به منافع وثیقه به دست می آید: فرصت هایی برای دسترسی به میزبان، حتی اگر مدیر آسیب پذیری را از بین ببرد، به طور موفقیت آمیز برای اجرای تهدید استفاده می شود؛ فرصت ها برای دسترسی به میزبان به همان اندازه که ممکن است؛ فرصت ها برای دسترسی به میزبان به سرعت (بدون تکرار روند تحقق تهدید). به عنوان مثال، "ورودی سیاه" اجازه می دهد تا متخلف برای پیاده سازی یک برنامه مخرب به یک شبکه یا یک میزبان خاص، به عنوان مثال، یک "تجزیه و تحلیل رمز عبور" یک برنامه است که شناسایی شناسه های کاربر و رمز عبور از ترافیک شبکه زمانی که پروتکل های سطح بالا کار می کنند) . اشیاء پیاده سازی بدافزار ممکن است احراز هویت و برنامه های شناسایی، خدمات شبکه، هسته سیستم عامل، سیستم فایل، کتابخانه ها و غیره باشند.
در نهایت، در مرحله از بین بردن آثار تهدید، تلاش برای از بین بردن آثار از اعمال نقض کننده ساخته شده است. در عین حال، نوشته های مناسب از همه سیاهههای مربوط به حسابرسی ممکن، از جمله سوابق مربوط به واقعیت جمع آوری اطلاعات حذف می شوند.
1.4 ویژگی های بانک و فعالیت های آن
PJSC "Sitibank" سازمان مالی و اعتباری سیستم بانکی فدراسیون روسیه است و معاملات مالی را با پول و اوراق بهادار انجام می دهد. این بانک خدمات مالی را به افراد و اشخاص حقوقی ارائه می دهد.
فعالیت های اصلی، وام دادن به اشخاص حقوقی و افراد، تعمیر و نگهداری حساب های شرکت ها، جذب بودجه به سپرده، عملیات بر روی بازارهای ارز و بین بانکی، سرمایه گذاری در اوراق قرضه و صورتحساب.
این بانک فعالیت های مالی خود را از 1 اوت 1990 انجام می دهد، بر اساس مجوز عمومی بانک روسیه برای فعالیت های بانکی شماره 356.
این بانک دارای سه سیستم اطلاعاتی از اطلاعات شخصی است:
سیستم اطلاعاتی اطلاعات شخصی کارکنان بانک - به شما اجازه می دهد تا 243 موضوع اطلاعات شخصی را شناسایی کنید؛
سیستم اطلاعاتی اطلاعات شخصی سیستم کنترل و کنترل دسترسی - به شما امکان می دهد تا 243 موضوع اطلاعات شخصی را شناسایی کنید؛
سیستم اطلاعاتی اطلاعات شخصی سیستم بانکی خودکار - به شما اجازه می دهد تا 9681 نفر از داده های شخصی را شناسایی کنید.
1.5 پایگاه داده شخصی
در بانک لازم است که چندین اطلاعات شخصی را در یک زمان دفاع کنید، یعنی:
سیستم اطلاعاتی اطلاعات شخصی کارکنان بانک؛
سیستم اطلاعاتی اطلاعات شخصی سیستم های کنترل و کنترل دسترسی؛
سیستم اطلاعاتی اطلاعات شخصی سیستم بانکی خودکار.
1.5.1 سیستم اطلاعاتی اطلاعات شخصی کارکنان سازمان
لغو کارکنان بانک برای اتخاذ کارکنان بانک بانک، اتوماسیون کارکنان کارکنان بخش پرسنل، اتوماسیون کارکنان حسابداری بانک و حل سایر پرسنل و مسائل مربوط به حسابداری استفاده می شود. این شامل یک پایگاه داده از 1C "مدیریت حقوق و دستمزد و پرسنل"، واقع در یک محل کار اتوماتیک جداگانه با امکان اتصال به محل کار در شبکه است. AWP در دفتر بخش پرسنل واقع شده است. در یک محل کار خودکار، سیستم عامل مایکروسافت ویندوز XP نصب شده است. هیچ ارتباطی با شبکه وجود ندارد.
نام و نام خانوادگی؛
تاریخ تولد؛
تعداد سری و گذرنامه؛
شماره تلفن؛
حق کار با مدیریت حقوق و مدیریت و مدیریت پرسنل و نرم افزار مدیریت پرسنل و پایگاه داده های اطلاعات شخصی:
سر حسابدار؛
دستیار حسابدار ارشد؛
رئیس بخش منابع انسانی؛
یک کارمند مسئول پرداخت دستمزد به کارمندان بانک.
تغییر داده های دستی؛
1.5.2 سیستم اطلاعاتی کنترل اطلاعات شخصی و سیستم های کنترل دسترسی
سیستم اطلاعاتی کنترل اطلاعات شخصی و سیستم های کنترل دسترسی برای ذخیره اطلاعات شخصی کارکنان و بازدید کنندگان به بانک استفاده می شود که دسترسی به محل های مختلف بانک دارد. توزیع سیستم کنترل و کنترل دسترسی توسط بخش امنیت بانک استفاده می شود. پایگاه داده پایگاه داده به AWP تنظیم شده است، که در اتاق امنیتی برای امنیت است. سیستم عامل مایکروسافت ویندوز 7 بر روی هنر نصب شده است، مایکروسافت SQL Server 2012 DBMS به عنوان یک سیستم مدیریت پایگاه داده استفاده می شود. هنر DVN دسترسی ندارد شبکه محلیو همچنین دسترسی به اینترنت ندارد.
اطلاعات شخصی زیر در DM ذخیره می شود
نام و نام خانوادگی؛
عکاسی کارمند
حق کار با شرافت سیستم کنترل و کنترل دسترسی دارد:
رئیس بخش امنیت بانک؛
معاون وزارت امنیت بانک؛
کارکنان بخش امنیتی بانک.
دسترسی به ایستگاه کاری اتوماتیک و سیستم کنترل دسترسی:
مدیران سیستم، برای مدیریت محل کار و نرم افزار 1C حقوق و مدیریت پرسنل و مدیریت پایگاه داده های شخصی؛
کارکنان بخش مسئول امنیت اطلاعات بانک برای مدیریت سیستم حفاظت از اسلحه.
توابع زیر را می توان در کرامت کارکنان بانک انجام داد:
حذف خودکار داده های شخصی؛
حذف دستی اطلاعات شخصی؛
تغییر داده های دستی؛
دستی اضافه کردن اطلاعات شخصی؛
جستجوی خودکار برای اطلاعات شخصی.
سیستم اطلاعاتی شخصی اطلاعات داده ها را ذخیره می کند که به شما امکان می دهد 243 کارمند بانک را شناسایی کنید.
پس از رسیدن به اهداف پردازش اطلاعات شخصی کارمند، اطلاعات شخصی او از CD حذف می شود.
1.5.3 سیستم اطلاعاتی اطلاعات شخصی سیستم بانکی خودکار
سیستم اطلاعاتی اطلاعات شخصی سیستم بانکی خودکار طراحی شده است تا کار اکثر کارکنان بانک را به صورت خودکار انجام دهد. این اجازه می دهد تا شما را به افزایش بهره وری از کارکنان. به عنوان یک سیستم بانکی خودکار، مجموعه ای از محصولات نرم افزاری "CFT-Bank"، تولید شده توسط مرکز مرکز فن آوری های مالی، استفاده می شود. به عنوان یک سیستم مدیریت پایگاه داده، نرم افزار اوراکل استفاده می شود. Caiden در سرور بانک مستقر شده است، سیستم عامل نصب شده بر روی سرور مایکروسافت ویندوز سرور 2008 R2 است. خانه سازی سیستم بانکی خودکار به شبکه کامپیوتری محلی بانک متصل است، اما به اینترنت دسترسی ندارد. اتصال کاربران به پایگاه داده از پایگاه داده با استفاده از محصولات نرم افزاری "CFT-Bank" از پایانه های مجازی انتخاب شده ساخته شده است. هر کاربر دارای نام کاربری و رمز عبور خود است.
داده های شخصی پردازش شده در دوج:
نام و نام خانوادگی؛
تاریخ تولد؛
تعداد سری و گذرنامه؛
شماره تلفن؛
حق کار با نرم افزار "CTT-Bank" و پایگاه داده اطلاعات شخصی:
کارکنان حسابداری؛
کارکنان بخش اعتباری؛
کارکنان بخش مدیریت ریسک؛
افسران ادارات؛
مدیران شخصی؛
مدیران مشتری؛
بخش امنیتی
دسترسی به محل کار خودکار:
مدیران سیستم، برای مدیریت سرور، پایگاه داده اطلاعات شخصی و نرم افزار "CFT-Bank"؛
کارکنان بخش مسئول امنیت اطلاعات بانک، مدیریت سرور، پایگاه داده اطلاعات شخصی و نرم افزار "CFT-Bank".
توابع زیر را می توان در کرامت کارکنان بانک انجام داد:
حذف خودکار داده های شخصی؛
حذف دستی اطلاعات شخصی؛
دستی اضافه کردن اطلاعات شخصی؛
تغییر داده های دستی؛
جستجوی خودکار برای اطلاعات شخصی.
سیستم اطلاعاتی اطلاعات شخصی داده های ذخیره شده داده شده است که به شما اجازه می دهد تا 243 کارمند بانک و 9438 مشتری را شناسایی کنید.
پس از رسیدن به اهداف پردازش اطلاعات شخصی کارمند، اطلاعات شخصی او از CD حذف می شود.
1.6 دستگاه و تهدیدات شبکه کامپیوتری محلی بانک
سرور نوع شبکه نوع شبکه، سرور مشتری مستقر است. نام دامنه که در آن ایستگاه های کاری کاربر Vitabank.ru است. مجموع در بانک 243 شغل کاربر خودکار، و همچنین 10 سرور مجازی و 15 ایستگاه کاری مجازی. شبکه نظارت می کند مدیریت سیستم. این شبکه به طور عمده بر روی تجهیزات شبکه Cisco شرکت ساخته شده است. ارتباط با دفاتر اضافی با استفاده از کانال های VPN با استفاده از اینترنت از طریق کانال های ارائه دهنده اینترنت فعلی و پشتیبان پشتیبانی می شود. تبادل اطلاعات با بانک مرکزی از طریق کانال اختصاصی، و همچنین از طریق کانال های ارتباطی متعارف رخ می دهد.
دسترسی به اینترنت دارای همه کاربران در ایستگاه های کاری محلی است، اما کار با اسناد و سیستم های اطلاعاتی بانک تنها با استفاده از ایستگاه های کاری مجازی انجام می شود که تنها منابع بانکی محلی محدود و بارگذاری شده و بارگیری می شوند.
دسترسی به اینترنت از ایستگاه های کاری محلی توسط گروه های دسترسی جدا شده است:
حداقل دسترسی - دسترسی فقط به منابع خدمات فدرال، به وب سایت بانک روسیه؛
دسترسی طبیعی - تمام منابع مجاز به جز سرگرمی هستند شبکه های اجتماعی، برای مشاهده فایل های ویدئویی و دانلود ممنوع است.
دسترسی کامل - تمام منابع و فایل های دانلود مجاز هستند؛
فیلتر کردن منابع در سراسر گروه های دسترسی توسط سرور پروکسی اجرا می شود.
در زیر طرح شبکه PJSC Sitibank است (شکل 5).
1.7 ابزار امنیتی اطلاعات
ابزار حفاظت از اطلاعات ترکیبی از مهندسی و فنی، الکتریکی، الکترونیکی، دستگاه های نوری و دیگر دستگاه ها و دستگاه ها، دستگاه ها و سیستم های فنیو همچنین عناصر دیگر مورد استفاده برای حل وظایف حفاظت از اطلاعات مختلف، از جمله نشت هشدارها و امنیت اطلاعات محافظت شده.
ابزار حفاظت از اطلاعات از لحاظ پیشگیری از اقدامات عمدی بسته به روش پیاده سازی می تواند به گروه ها تقسیم شود:
فنی (سخت افزار) بودجه. این ها در نوع دستگاه (مکانیکی، الکترومکانیکی، الکترونیک، الکترونیک و غیره) متفاوت هستند، که سخت افزار را حل وظایف حفاظت از اطلاعات را حل می کند. آنها با دسترسی به اطلاعات، از جمله استفاده از پوشش آن دخالت می کنند. سخت افزار شامل: ژنراتورهای نویز، فیلترهای شبکه، رادیو اسکن و بسیاری از دستگاه های دیگر، "همپوشانی" کانال های نشت کانال بالقوه یا شناسایی آنها. مزایای استفاده از ابزار فنی با قابلیت اطمینان، استقلال از عوامل ذهنی، بسیار مقاوم در برابر اصلاح ارتباط دارد. ضعف ها انعطاف پذیری کافی، حجم نسبتا بزرگ و وزن، هزینه بالا هستند.
شکل 5 شبکه PJSC Situbank
ابزارهای نرم افزاری شامل برنامه ها برای شناسایی کاربران، کنترل دسترسی، اطلاعات رمزگذاری، حذف اطلاعات باقی مانده (کار) مانند فایل های موقت، سیستم کنترل تست، و غیره. مزایای نرم افزار - قابلیت انعطاف پذیری، قابلیت اطمینان، سادگی نصب، توانایی تغییر و توسعه معایب - قابلیت محدود شبکه، استفاده از بخشی از سرور منبع و ایستگاه های کاری، حساسیت بالا به تغییرات تصادفی یا عمدی، وابستگی احتمالی به انواع رایانه ها (سخت افزار آنها).
سخت افزار و نرم افزار مخلوط همان عملکردهایی را که سخت افزار و نرم افزار به طور جداگانه و خواص متوسط \u200b\u200bدارند، اجرا می کند.
تمام دفتر های دفتر بانک توسط سرویس امنیتی با استفاده از سیستم مدیریت مدیریت و دسترسی، و همچنین سیستم های نظارت تصویری کنترل می شود. ورود به محل دفتر بانک در حضور مجوز های مناسب در سیستم کنترل و کنترل دسترسی انجام می شود. یک کارمند، با یک دستگاه برای کار، یا یک بازدید کننده به بانک، در صورت لزوم، دسترسی به محل اداری بانک داده شده است کارت های مجاورت بدون تماس، که ضبط شناسه کاربر و هنگام تلاش برای دسترسی به اتاق خدمات، این شناسه است انتقال به سیستم کنترل و دسترسی به سیستم کنترل. این سیستم لیستی از اتاق هایی را که در آن ورودی کارت کاربر با اتاق است که می خواهد دریافت کند، مقایسه می کند و اجازه می دهد عبور را به اتاق برساند.
Kaspersky Endpoint Security 10 نرم افزار ضد ویروس، که دارای گواهینامه انطباق با روسیه شماره 3025 است، بر روی ایستگاه های کاری بانک نصب شده است، که تا تاریخ 25 نوامبر 2019 معتبر است، به روز رسانی پایگاه های امضای ویروس توسط بخشی از سرور مرکزی آنتی ویروس نصب شده بر روی سرور در بانک است.
برای سازماندهی مدیریت اسناد الکترونیکی با اجسام بانک مرکزی، این بانک یک پیوند اختصاصی انجام داد.
برای سازمان مدیریت اسناد الکترونیکی با خدمات فدرال (خدمات مالیاتی فدرال، صندوق بازنشستگی روسیه، خدمات نظارت مالی، و غیره) از امضای الکترونیکی استفاده می کند. برای کار با یک امضای الکترونیکی در ایستگاه های کاری محلی از هنرمندان مسئول جریان سند با خدمات فدرال، نرم افزار تخصصی تاسیس شده است:
Crypto-Pro CSP؛
رمزنگاری باز
skji verba-ow؛
Ski Validat؛
سیگنال CSP
استفاده از نرم افزارهای خاص توسط پیمانکار بستگی به الزامات یک بدن فدرال خاص دارد.
در مرز شبکه محلی بانک، فایروال سیسکو ASA 5512 نصب شده است، تولید شرکت سیسکو. همچنین، سیستم های بحرانی بانکداری (مشتری ARS از بانک روسیه، Swift، توزیع بانک) علاوه بر این از شبکه محلی فایروال های سیسکو جدا شده است. تونل های VPN برای ارتباط با یک دفتر اضافی با استفاده از فایروال های سیسکو سازماندهی می شوند.
1.8 اقدامات حفاظت از سازمانی
بر اساس این مطالعه انجام شده توسط شرکت مشاوره ای از حسابرسی بریتانیا Ernst & Yong در سال 2014، 69 درصد از شرکت های تحقیقاتی، کارکنان شرکت را به عنوان منبع اصلی تهدیدات امنیتی اطلاعات در نظر می گیرند.
کارکنان شرکت ممکن است اطلاعات بحرانی مورد نیاز نادانی یا عدم صلاحیت آنها را در زمینه امنیت اطلاعات مورد نیاز برای ارتکاب حملات هدفمند به سازمان افشا کنند. همچنین، مهاجمان پیام های فیشینگ را با نرم افزار مخرب توطئه ارسال می کنند، به این معناست که مزاحمان اجازه می دهد تا کنترل خود را بر روی محل کار کارمند و از این محل کار کنترل کنند تا به سیستم های اطلاعاتی بانکی حمله کنند.
بنابراین، بانک بخش امنیت اطلاعات موظف به انجام کار بر روی آموزش کارکنان بانک به اصول اساسی امنیت اطلاعات، نظارت بر انطباق با الزامات امنیتی در هنگام کار در محل کار، اطلاع رسانی به کارکنان بانک در مورد تهدیدات امنیتی جدید اطلاعات جدید است آنها ممکن است روبرو شوند
در PJSC "Citibank"، تمام کارکنان در هنگام کار بر روی دستورالعمل های مقدماتی تحت نظارت قرار می گیرند. همچنین کارکنان جدید، کارمندان جدید از سایر بخش های ساختاری منتقل شدند و در طی آن کارکنان قوانین اساسی امنیت اطلاعات را در هنگام کار با سیستم های اطلاعات بانکی، قوانین امنیتی در هنگام کار در اینترنت، قوانین امنیتی را توضیح می دهند بانک پست الکترونیکی، سیاست رمز عبور بانک.
کارکنان بخش امنیت اطلاعات بانک در توسعه و پیاده سازی سیستم های اطلاعاتی جدید بانک در تمام سطوح توسعه سیستم شرکت می کنند.
در طراحی سیستم و تهیه پیش نویس کار فنی در توسعه سیستم اطلاعات، بخش امنیت اطلاعات، الزامات ایمنی را برای سیستم قرار می دهد.
در مرحله توسعه سیستم اطلاعاتی، کارکنان بخش امنیت اطلاعات، مستندات فعلی را مطالعه می کنند، نرم افزار تست را برای آسیب پذیری های احتمالی در کد برنامه بررسی می کنند.
در مرحله تست و راه اندازی، بخش امنیت اطلاعات به طور فعال در آزمایش سیستم اطلاعاتی شرکت می کند، آزمایشات را برای نفوذ به سیستم اطلاعاتی و آزمایش های ارجاع انجام می دهد، همچنین حقوق دسترسی به سیستم اطلاعات را توزیع می کند.
در مرحله عملکرد سیستم اطلاعاتی که قبلا سفارش داده شده، بخش امنیت اطلاعات نظارت را انجام می دهد، فعالیت های مشکوک را شناسایی می کند.
در نهایی شدن سیستم اطلاعات، بخش امنیت اطلاعات، بر اساس داده های به دست آمده در طول عملیات سیستم اطلاعات، نیازهای جدیدی را برای سیستم اطلاعاتی ایجاد می کند.
بخش امنیت اطلاعات در PJSC "Sitibank" تمام برنامه های کاربردی را برای دسترسی به منابع در اینترنت، و همچنین منابع داخلی بانک را مختل می کند.
1.9 چرخه پردازش داده های شخصی
اطلاعات شخصی ذخیره شده در بانک تنها راه مشروع را دریافت کرد.
اطلاعات شخصی دریافت شده از کارمند بانک تنها برای انجام وظایف خود در قرارداد با یک کارمند پردازش می شود. اطلاعات شخصی کارمند بانک از خود کارمند دریافت شده است. تمام کارکنان بانک با بانک ها با اسناد بانک آشنا هستند، که روش پردازش اطلاعات شخصی کارکنان بانک، و همچنین حقوق و تعهدات خود را در این زمینه ایجاد می کند.
داده های شخصی کارکنان بانک های ذخیره شده در شرافت کنترل و سیستم کنترل دسترسی در نظر گرفته شده برای پذیرش یک کارمند به محل کار.
داده های شخصی از مشتریان بانک ذخیره شده در خانه های سیستم بانکی اتوماتیک در آن فقط برای اجرای وظایف تحت قرارداد که با مشتری بانک تعیین شده است، پردازش می شود. همچنین در مسکونی سیستم بانکی خودکار، اطلاعات شخصی افرادی که توافقنامه ای با بانک را تصویب نکرده بودند، پردازش شدند، اما داده های شخصی به دست آمده از طریق قانونی، به عنوان مثال، داده های شخصی به دست آمده و به درخواست قانون فدرال به دست آمده و پردازش شده است . 115-FZ روز 7 اوت 2001 "در مقابله با قانونی کردن (شستشو) درآمد حاصل از تروریسم جنایی و تامین مالی.
پس از رسیدن به اهداف پردازش داده های شخصی، آنها نابود یا تخریب می شوند.
2. توسعه اقدامات حفاظت از اطلاعات شخصی در بانک
در PJSC "Sitibank"، سیستم حفاظت از اطلاعات شخصی توسط هر دو قانون سطح دولت و اقدامات نظارتی محلی تنظیم می شود (به عنوان مثال، قوانین خدمات بانکی از راه دور از اشخاص حقوقی و کارآفرینان فردی در PJSC "Sitibank" در ضمیمه 1) .
PJSC "Sitibank" سیستم حفاظت از اطلاعات شخصی به اندازه کافی کافی برای جلوگیری از حملات ساده نوع فیشینگ و عفونت ایستگاه های کاری با ویروس های رمزنگاری کافی نیست، اما قادر به مقاومت در برابر حملات هدفمند برای سرقت اطلاعات شخصی نیست.
من کار خود را در بازسازی و ارتقاء سیستم حفاظت از اطلاعات شخصی انجام دادم.
2.1 فعالیت برای حفاظت از شبکه کامپیوتری محلی بانک و سیستم اطلاعاتی اطلاعات شخصی
در شبکه PJSC "Citibank" ضعف های تلفظ شده است که با استفاده از آن مهاجمان می توانند دسترسی کامل به شبکه بانک را دریافت کنند و کنترل آن را کنترل کنند، پس از آن قادر به سرقت آزادانه، تغییر یا حذف اطلاعات شخصی مشتریان یا کارمندان بانک می شود.
از آنجایی که شبکه بانک یک بخش واحد است، سپس برای به حداقل رساندن خطرات نفوذگران به شبکه بانک، باید به چندین بخش با استفاده از تکنولوژی شبکه مجازی تقسیم شود.
مفهوم فناوری ساخت شبکه های مجازی (VLAN) این است که مدیر شبکه می تواند گروه های کاربر منطقی را بدون در نظر گرفتن اینکه آیا آنها به کدام منطقه از شبکه متصل هستند ایجاد می کنند. شما می توانید کاربران را به گروه های کاری منطقی ترکیب کنید، به عنوان مثال، در نشانه های جامعه کار انجام شده یا به طور مشترک حل شده است. در عین حال، گروه های کاربر می توانند با یکدیگر ارتباط برقرار کنند یا به طور کامل برای یکدیگر نامرئی باشند. عضویت در گروه می تواند تغییر کند، و کاربر می تواند عضو چندین گروه منطقی باشد. شبکه های مجازی شامل دامنه های پخش منطقی هستند، محدود کردن گذرگاه های پخش در شبکه، و همچنین روترها، عایق بندی ترافیک پخش بین بخش های شبکه را محدود می کنند. بنابراین، شبکه مجازی مانع ظهور طوفان های پخش می شود، چرا که پیام های پخش محدود به اعضای شبکه مجازی محدود می شوند و نمی توانند توسط اعضای دیگر شبکه های مجازی دریافت شوند. شبکه های مجازی می توانند دسترسی به اعضای یک شبکه دیگر مجازی را در مواردی که لازم است برای دسترسی به منابع مشترک، مانند سرورهای فایل یا سرورهای برنامه کاربردی، دسترسی داشته باشید، یا جایی که کار کلی نیاز به تعامل خدمات مختلف مانند تقسیمات اعتباری و حل و فصل دارد. شبکه های مجازی را می توان با استفاده از پورت های سوئیچ، آدرس های فیزیکی دستگاه های موجود در شبکه و آدرس های منطقی پروتکل های سطح سوم مدل OSI ایجاد کرد. مزیت شبکه های مجازی شامل سرعت بالا سوئیچ ها است، زیرا سوئیچ های مدرن شامل یک مجموعه تخصصی از مدارهای مجتمع به طور خاص طراحی تعویض در سطح دوم مدل OSI است. شبکه های مجازی سطح سوم در بزرگترین مروارید در نصب، اگر سرویس گیرنده شبکه شبکه مورد نیاز نیست، عمدتا در مدیریت، به دلیل هر گونه اقدام با شبکه مشتری نیاز به تنظیم مجدد مشتری خود و یا روتر، و حداقل خم شدن، به عنوان مسیریابی مورد نیاز برای برقراری ارتباط شبکه های مجازی، که هزینه سیستم را افزایش می دهد و عملکرد آن را کاهش می دهد.
بنابراین، ایجاد شبکه های مجازی در بانک از نوع حمله ARP-Spoofing جلوگیری خواهد کرد. مهاجمان قادر به انتقال اطلاعات بین سرور و مشتری نخواهند بود. هنگام نفوذ به شبکه، مهاجمان قادر نخواهند بود کل شبکه بانک را اسکن کنند، بلکه تنها بخش شبکه ای که دسترسی آنها را دریافت کرده اند.
هنگامی که بانک به بانک نفوذ می کند، مهاجمان ابتدا شبکه را برای جستجوی گره های شبکه بحرانی اسکن می کنند. این گره ها عبارتند از:
کنترل کننده دامنه؛
سرور پروکسی؛
سرور ایمیل؛
سرور فایل؛
برنامه های کاربردی سرور
از آنجا که در بانک شبکه محلی با استفاده از تکنولوژی شبکه مجازی سازماندهی خواهد شد، مهاجمان قادر به شناسایی این گره ها بدون اقدامات اضافی نخواهند بود. به منظور پیچیدگی مهاجمان برای پیدا کردن جستجو برای واحدهای بحرانی شبکه محلی و اشتباه آنها، و در آینده برای مطالعه استراتژی مزاحمان هنگام انجام حمله به شبکه شما نیاز به استفاده از اشیاء نادرست که جذب مزاحمان را جذب می کند. این اشیاء Honeypot نامیده می شوند.
وظیفه Honeypot این است که تحت حمله یا یک مطالعه غیر مجاز قرار گیرد، که بعدا اجازه می دهد که استراتژی مزاحمان را مطالعه کند و لیستی از وجوه را تعیین کند که می تواند بر اساس اشیاء امنیتی موجود در واقع ذخیره شود. پیاده سازی Honeypot ممکن است به عنوان یک سرور اختصاصی اختصاصی و یکی باشد خدمات شبکهوظیفه این است که توجه هکرها را جلب کند.
Honeypot یک منبع است که هیچ کاری را بدون هیچ گونه تأثیری بر آن ندارد. Honeypot مقدار کمی اطلاعات را جمع آوری می کند، پس از تجزیه و تحلیل آمار روش هایی که از هکرها استفاده می کنند، و همچنین با حضور راه حل های جدیدی که بعدا در مبارزه علیه آنها اعمال می شود، تعیین می شود.
به عنوان مثال، یک وب سرور که نامی ندارد و تقریبا هیچ کس نمی داند، نباید، به ترتیب، مهمانان به او می آیند، بنابراین همه افرادی که سعی در نفوذ به آن دارند، هکرهای بالقوه هستند. Honeypot اطلاعاتی در مورد ماهیت رفتار این هکرها و راه های تاثیر آنها بر روی سرور را جمع آوری می کند. پس از آن، کارشناسان وزارت امنیت اطلاعات اطلاعاتی در مورد حمله به مهاجمان به منابع جمع آوری می کنند و استراتژی هایی را برای بازتاب حملات در آینده توسعه می دهند.
برای کنترل اطلاعاتی که از شبکه دریافت می شود و تهدیدات امنیتی اطلاعات را در مرحله انتقال آنها بر روی شبکه شناسایی می کند، و همچنین تشخیص فعالیت مهاجمان که به شبکه محلی بانک نفوذ کرده اند، لازم است ایجاد یک سیستم پیشگیری از نفوذ در مرز شبکه.
سیستم پیشگیری از نفوذ یک سیستم نرم افزاری یا سخت افزاری از شبکه و امنیت کامپیوتر است که تشخیص تهاجم یا اختلال امنیتی را تشخیص می دهد و به طور خودکار آنها را محافظت می کند.
سیستم های پیشگیری از نفوذ را می توان به عنوان ادامه سیستم های تشخیص نفوذ در نظر گرفت، زیرا وظیفه ردیابی حملات باقی می ماند. در عین حال، آنها در این واقعیت متفاوت هستند که سیستم پیشگیری از نفوذ در زمان واقعی عمل می کند و به سرعت اقدامات را برای جلوگیری از حملات اجرا می کند.
سیستم های تشخیص و پیشگیری از نفوذ به موارد زیر تقسیم می شوند:
سیستم های پیشگیری از نفوذ شبکه - تجزیه و تحلیل ترافیک هدایت شده به شبکه ای از یک سازمان که در شبکه خود را منتقل می کند یا به یک کامپیوتر خاص هدایت می شود. سیستم های تشخیص نفوذ و پیشگیری را می توان با استفاده از نرم افزار یا روش های نرم افزاری و سخت افزاری اجرا کرد، بر روی محیط شبکه شرکت ها نصب شده و گاهی اوقات در داخل آن نصب شده است.
سیستم های پیشگیری از نفوذ شخصی نرم افزاری هستند که بر روی ایستگاه های کاری یا سرورها نصب شده اند و به شما امکان نظارت بر فعالیت های برنامه، و همچنین فعالیت شبکه را برای حملات احتمالی می دهد.
برای استقرار در بانک بانک، سیستم پیشگیری از نفوذ شبکه انتخاب شد.
تهاجم نفوذ شبکه IBM، نقطه چک، Palo Alto در نظر گرفته شد، از آنجا که عملکرد اعلام شده تولید کنندگان این سیستم ها به الزامات بخش امنیت اطلاعات بانک رسید.
پس از استقرار ایستگاه های آزمون و تست سیستم های پیشگیری از نفوذ، نقطه چک انتخاب شد، همانطور که نشان داد بهترین سرعت، بهترین زیرسیستم برای تشخیص نرم افزار ویروسی منتقل شده در شبکه محلی، بهترین ابزار برای از بین بردن و مجله رویدادهای مهم و قیمت خرید.
سیستم پیشگیری از نفوذ IBM به دلیل هزینه دستگاه های بیش از بودجه بخش امنیت اطلاعات برای خرید سیستم پیشگیری از نفوذ درمان شد.
سیستم پیشگیری از نفوذ Fortinet به دلیل پاسخ نیمه وقت در هنگام اجرای کارکنان بخش امنیت اطلاعات برای انتقال فایل های آلوده و ابزارهای آموزنده کافی برای مجله رویدادهای مهم، اشاره شده است.
سیستم پیشگیری از نفوذ Palo Alto به دلیل ابزارهای ناکافی برای اطلاع رسانی به رویدادهای مهم، دشواری بیش از حد کار با سیستم و کار به درجه بالاتر به عنوان یک روتر پخته شده بود.
برای معرفی به یک شبکه محلی، یک سیستم نفوذ نقطه چک انتخاب شد. این سیستم نشان داده است سطح بالایی از تشخیص تهدید امنیت اطلاعات، تنظیمات انعطاف پذیر، توانایی گسترش عملکرد با خرید ماژول های نرم افزاری اضافی، دارای یک سیستم ثبت نام قدرتمند از رویدادهای مهم و یک ابزار قدرتمند برای ارائه گزارش های حادثه است که بسیار زیاد است آسان تر به بررسی حوادث امنیتی اطلاعاتی که رخ داده است.
طرح شبکه PJSC "Citibank" با یک معماری اصلاح شده در شکل 6 ارائه شده است.
2.2 نرم افزار و حفاظت از سخت افزار
از آنجا که امنیت اطلاعات شخصی تنها توسط شبکه محافظت نمی شود، زیرا مزاحمان، علیرغم تمام اقدامات مورد نظر برای محافظت از شبکه، می تواند به شبکه بانک دسترسی داشته باشد.
شکل 6 طرح شبکه Pao Sitibank با سیستم های حفاظت اضافی
برای حفاظت از مقاومت بیشتر حمله، شما باید به دستگاه های طراحی شده برای محافظت از شبکه، نرم افزار و دستگاه های حفاظت از سخت افزار ایستگاه های کاری محلی، ایستگاه های کاری مجازی، سرورهای مجازی و متعارف اضافه کنید.
معروف برنامه های آنتی ویروس به طور کامل در برابر نرم افزار مخرب محافظت نکنید، زیرا آنها بر اساس اصل تجزیه و تحلیل امضا کار می کنند. توسعه دهنده نرم افزار ضد ویروس دارای کارشناسان در کارکنان خود است که فعالیت های ویروسی را در اینترنت دنبال می کند، رفتار نرم افزار ویروسی را بر روی ایستگاه های تست مطالعه کرده و امضا هایی را ایجاد می کند که بعدها به رایانه های پایگاه داده های نرم افزاری ضد ویروس ارسال می شوند. آنتی ویروس، پس از دریافت یک پایگاه داده امضای نرم افزار ضد ویروس به روز شده فایل ها را بر روی ایستگاه کاری کاربر بررسی می کند و به دنبال نشانه هایی از نرم افزارهای مخرب است، اگر چنین ویژگی هایی در طول تأیید شناسایی شود، آنتی ویروس این را درک می کند و مطابق با تنظیمات نصب شده عمل می کند توسط کاربر یا مدیر آنتی ویروس. بنابراین، اگر نرم افزار مخرب شناسایی نشده و توسط کارشناسان شرکت نرم افزاری ضد ویروس مورد تجزیه و تحلیل قرار نگرفته باشد، آنتی ویروس قادر به شناسایی نرم افزارهای مخرب نخواهد بود و هیچ اقداماتی را انجام نمی دهد، شمارش فایل های اثبات شده را کنترل نمی کند. بنابراین، در بانک، برای کاهش احتمال پرش و راه اندازی نرم افزار مخرب، یک مدار حفاظت از ضد ویروس دوم نصب شد. از آنجا که توسعه دهندگان نرم افزار ضد ویروس عمدتا به طور جداگانه از یکدیگر کار می کنند، نرم افزارهای مخرب که هنوز توسط یک توسعه دهنده نرم افزار ضد ویروس شناسایی نشده است، می تواند توسط یکی دیگر از شرکت های توسعه دهنده شناسایی شود و امضاء می توانند در یک تهدید شناسایی ایجاد شوند.
برای پیاده سازی چنین طرح، یک ایستگاه کاری مجازی ایجاد شد، که در آن دکتر دکترای امنیت شرکت امنیتی ضد ویروس نصب شده بود، که دارای گواهینامه انطباق FSTEC از روسیه شماره 2446، معتبر تا 20 سپتامبر 2017 است. تمام فایل هایی که کارمندان بانک را در طول کار خود بارگذاری می کنند، در این ایستگاه قرار می گیرند و توسط آنتی ویروس بررسی می شوند. در صورت تشخیص بدافزار، ضد ویروس نامه ای به کارکنان بخش امنیت اطلاعات را با نام تهدید و نحوه ذخیره فایل آلوده می فرستد. کارکنان بخش امنیت اطلاعات اقدامات لازم را برای حذف نرم افزارهای مخرب انجام می دهند. اگر کاربران بارگذاری شده توسط کاربران توسط نرم افزار ضد ویروس تست شده، کاربر که فایل را دانلود کرده است، یک برنامه را به بخش امنیت اطلاعات می دهد و کارکنان بخش فایل دانلود شده را به کاربر تحمل می کنند.
همچنین تعداد زیادی از نرم افزارهای مخرب به ایمیل کارمندان بانک می آید. این می تواند هر دو ویروس های رمزنگاری متعارف و نرم افزارهای مخرب باشد، اجازه می دهد مزاحمان به نفوذ به کامپیوتر عفونی از کارمند بانک با استفاده از یک اتصال از راه دور.
برای به حداقل رساندن خطرات چنین تهدیدهای به سرور ایمیل بانک، نرم افزار ضد ویروس Clamaw نصب شده است، طراحی شده برای محافظت از سرورهای پست الکترونیکی.
برای محافظت در برابر دسترسی غیر مجاز از مزاحمان داخلی، به هر نحوی که رمز عبور کاربر یک ایستگاه محلی را یاد گرفت، که دسترسی به سیستم های اطلاعاتی شخصی را داشته است، شما باید کاربران را با سیستم های اطلاعاتی اطلاعات شخصی به سیستم حفاظت از سیستم از غیر مجاز نصب کنید دسترسی
.آموزش کارکنان بانک توسط متخصص وزارت امنیت اطلاعات انجام می شود.
کارمند بخش امنیت اطلاعات آموزش را در یک طرح خاص از بخش بانک آموزش می دهد. پس از فارغ التحصیلی، کارکنان بخش تحت آزمایشاتی قرار می گیرند که در آن دانش آنها را تایید می کنند.
سیاست امنیتی اساسی با یادگیری در هر واحد حداقل چهار بار در سال تنظیم می شود.
همچنین به موازات آموزش کارکنان، کارکنان بخش امنیت اطلاعات حداقل یک بار در ماه موظف هستند تا نامه های اطلاعاتی را به تمام کارکنان ارسال کنند، که اگر چنین چیزی یافت می شود، قوانین امنیتی اساسی، تهدیدات جدیدی را برای امنیت اطلاعات بانک توصیف کنند.
2.3.2 روش دسترسی کارکنان برای منابع اینترنتی
3 گروه از گروه های دسترسی به اینترنت در بانک ایجاد شده است، اما چنین جدایی دسترسی ناکارآمد است، زیرا یک کارمند نیاز به انجام وظایف رسمی خود دارد، نیاز به کسب اطلاعات از منابع شبکه موجود در گروه دسترسی کامل سپس او مجبور به دسترسی کامل به اینترنت است که ناامن است.
گروه 6: دانلود آرشیو - گروه دسترسی به منابع اینترنتی را فراهم نمی کند؛گروه 7: دانلود فایل های اجرایی - گروه دسترسی به منابع اینترنتی را فراهم نمی کند؛
گروه 8: دسترسی کامل به اینترنت - دسترسی کامل به منابع اینترنتی، هر فایل را دانلود کنید.
برای به دست آوردن دسترسی به منابع اینترنتی، یک کارمند یک برنامه کاربردی را از طریق سیستم ServiceDesk ایجاد می کند و پس از تصویب افسر سر یا مدیریت و یک افسر امنیت اطلاعات، یک کارمند با دسترسی به منابع اینترنتی با توجه به گروه درخواست شده ارائه می شود.
2.3.3 روش های دسترسی کارکنان برای منابع IntraBank
اسناد اساسی در کار کارمند در محل کار محلی و یا در سیستم خودکار که در آن کار می کند. همچنین، هر بخش بانک در سرور فایل بانک دارای بخش است که در آن اطلاعات مورد نیاز چند کارمند واحد واحد است و برای انتقال ایمیل از بانک بزرگ است.
هنگامی که یک کارمند جدید برای کار در بانک تنظیم می شود، رهبر مستقیم او درخواست را از طریق سیستم سرویس خدمات به اداره سیستم ارسال می کند تا دسترسی به منابع IntraBank را فراهم کند و پس از تصویب برنامه توسط یک افسر امنیتی اطلاعاتی، کارمند اداره سیستم مدیریت یک کارمند جدید دسترسی به منابع درخواست شده را باز می کند.
اغلب شرایطی وجود دارد که در آن کار چندین بخش از بانک تقاطع و تبادل اطلاعات این بخش ها نیاز به جداگانه در سرور فایل بانک دارد.
برای ایجاد این بخش، مدیر پروژه، رئیس یکی از ادارات شرکت در این پروژه، یک برنامه را از طریق سیستم ServiceDesk ایجاد می کند تا یک منبع مشترک و دسترسی به این منبع کارکنان خاصی از واحدهای خود را که بر روی یک مفصل کار می کنند، ایجاد کند پروژه و رئیس واحد که این پروژه در چارچوب این پروژه همکاری می کند. پس از تصویب یک کارمند بخش اطلاعات، یک کارمند اداره اداری سیستم، منابع درخواست شده را ایجاد می کند و دسترسی به کارمندان اعلام شده را فراهم می کند. هر سر این بخش شرکت کننده در درخواست پروژه تنها به کارکنانی که در زیرمجموعه هستند، دسترسی پیدا می کنند.
2.3.4 عملیات کارکنان با ایمیل
پیش از این، قبل از ایجاد یک سیاست امنیتی اساسی، هر کارمند خود را درجه خطر از حروف و فایل هایی را که با ایمیل از سرورهای ایمیل خارجی وارد شده بود تعیین کرد.
پس از ایجاد یک سیاست امنیتی اساسی، هر کاربر با هر فایل دریافت شده توسط ایمیل از سرورهای ایمیل خارجی برای ارسال به بخش امنیتی اطلاعاتی متهم شده است تا بتواند آن را برای نرم افزار مخرب بررسی کند، میزان خطر نامه های یک کارمند به طور مستقل تعیین می کند. اگر کارمند بانک مظنون است که یک اسپم یا فیشینگ در پیام ورودی وجود دارد، موظف است به طور کامل نامه ای ارسال کند، یعنی حاوی تمام اطلاعات سرویس در مورد فرستنده، صندوق پستی و آدرس IP آن، به بخش امنیت اطلاعات. پس از تجزیه و تحلیل یک نامه مشکوک و، هنگام تایید تهدید این نامه، ارسال امنیت اطلاعات آدرس فرستنده نامه را به بخش مدیریت سیستم ارسال می کند و کارمند اداره اداره سیستم به آدرس فرستنده نامه وارد می شود به لیست سیاه
همیشه محل کار را در هنگام وزن کردن آن مسدود کنید.
2.3.6 قوانین دسترسی کارکنان برای اطلاعات شخصی
طبق ماده 89 فصل 14 قانون کار فدراسیون روسیه، کارمند بانک حق دارد به دسترسی به اطلاعات شخصی خود دسترسی داشته باشد، اما مجاز به پردازش اطلاعات شخصی از سایر کارکنان بانک یا مشتریان بانک تنها برای انجام وظایف رسمی خود است.
برای اطمینان از کنترل دسترسی در سیستم های اطلاعاتی اطلاعات شخصی، قوانین زیر برای دسترسی به سیستم های اطلاعاتی اطلاعات شخصی در بانک نصب شده است:
تنها کارکنانی که وظایف شغلی آنها شامل پردازش داده های شخصی هستند، دسترسی به گول زدن دارند؛
دسترسی به ساکنان تنها از محل کار محلی کارمند که با داده های شخصی کار می کنند مجاز است.
یک سند در بانک ایجاد شده است که کارکنان شخصا را تعیین می کند که اجازه دسترسی به اطلاعات شخصی کارکنان و مشتریان بانک را با نشانه ای از سیستم اطلاعات شخصی داده ها و لیستی از داده های شخصی که توسط کارمند مجاز است، مجاز می دانند.
3. توجیه اقتصادی پروژه
برای پیاده سازی سیستم حفاظت از اطلاعات شخصی، لازم است خرید:
تجهیزات برای محافظت از شبکه بانک؛
حفاظت از اطلاعات سخت افزاری؛
نرم افزار امنیتی اطلاعات.
برای بازسازی شبکه سازمان، لازم است که Cisco Catalyst 2960 سوئیچ را در مبلغ 3 نسخه خریداری کنید. یک سوئیچ لازم است که در سطح هسته بانک کار کند، 2 نفر دیگر برای کار در سطح توزیع کار می کنند. تجهیزات شبکه قبل از بازسازی نیز در بانک کار می کنند.
کل هزینه (مالش) 9389159 613
دکتر وب سایت شرکت Suit15005500
کل هزینه 1 371 615
نتیجه
در پروژه فارغ التحصیلی خود، چارچوب نظارتی را برای حفاظت از اطلاعات شخصی بررسی کردم. من منابع اصلی تهدیدات امنیتی اطلاعات شخصی را بررسی کردم.
بر اساس تهدیدات به تهدید شخصی، سیستم حفاظت از اطلاعات شخصی موجود در PJSC "Citibank" را تجزیه و تحلیل کرد و به این نتیجه رسیدیم که او نیاز به پالایش جدی دارد.
در روند پروژه فارغ التحصیلی، نقاط ضعف در شبکه محلی بانک یافت شد. با توجه به شناسایی مکان های ضعیف در شبکه محلی بانک، اقدامات برای به حداقل رساندن خطرات امنیت اطلاعات شبکه بانک تعریف شده است.
همچنین دستگاه ها و نرم افزار های انتخاب شده و انتخاب شده برای محافظت از محل کار محلی کارکنان پردازش اطلاعات شخصی کارکنان و مشتریان بانک.
با مشارکت من، یک سیستم افزایش آگاهی کارکنان در امنیت اطلاعات ایجاد شد.
دستور دسترسی به کارکنان بانک به اینترنت عمیقا دوباره کار کرد، گروه دسترسی به اینترنت دوباره طراحی شد. گروه های دسترسی به اینترنت جدید به شما این امکان را می دهند که به دلیل کاربران محدود دانلود فایل ها، خطرات امنیتی اطلاعات را به حداقل برسانید، منابع باور نکردنی را وارد کنید.
محاسبات هزینه بازسازی شبکه و ایجاد یک سیستم قابل قبول برای محافظت از اطلاعات شخصی را قادر می سازد که بیشتر تهدیدات امنیت اطلاعات را منعکس کنند.
فهرست ادبیات مورد استفاده
1. "قانون اساسی فدراسیون روسیه" (تصویب شده توسط رای گیری ملی 12.12.1993) (با توجه به اصلاحیه های اصلاح شده توسط قوانین فدراسیون روسیه در اصلاح قانون اساسی فدراسیون روسیه 30.12.2008 N 6-FKZ ، از 30.12.2008 N 7-FKZ، از 02/02/2014 N 2-FCZ، از 07.21.2014 N 11-FKZ) // متن رسمی قانون اساسی فدراسیون روسیه با اصلاحیه 21.07.2014 در اینترنت رسمی منتشر شد پورتال اطلاعات حقوقی http://www.pravo.gov.ru، 08/01/2014
2. "مدل پایه تهدید به امنیت اطلاعات شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی" (استخراج) (تایید شده. FSTEC RF 15.02.2008)
3. قانون فدرال 27 ژوئیه 2006 N 149-FZ (از تاریخ 06.07.2016) "در اطلاعات، فناوری اطلاعات و حفاظت اطلاعات" // در این فرم، سند منتشر نشد. متن سریال سند در روزنامه روسی، N 165، 29.07.2006 منتشر شده است
4. "کد کار فدراسیون روسیه" تاریخ 30 دسامبر 2001 N 197-FZ (ED 0.07.2016) (با اصلاح و اضافه کردن، کل، متن اولیه سند در Gazeta روسیه، N 256 منتشر شده است ، 12/31/2001
5. توصیه دولت فدراسیون روسیه از 01.11.2012 N 1119 "در تصویب الزامات حفاظت از داده های شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی" // "Gazeta روسیه"، N 256، 07.11.2012
6. FSTEC از روسیه از تاریخ 18.02.2013 شماره 21 "در تصویب ترکیب و نگهداری اقدامات سازمانی و فنی برای اطمینان از ایمنی اطلاعات شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی" (ثبت شده در وزارت دادگستری روسیه 05/14/2013 N 28375) // "روزنامه روسی"، N 107، 05/22/2013
7. "بانک استاندارد روسیه" اطمینان از امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه. مقررات عمومی "STR BR IBBS-1.0-2014" (تصویب شده و به ترتیب توسط سفارش بانک روسیه از تاریخ 17.05.2014 N R-399) // "بولتن بانک روسیه"، N 48-49، 05/30/2014
8. "مقررات مربوط به الزامات حفاظت از اطلاعات در اجرای انتقال پول نقد و در روش اجرای آن توسط بانک روسیه کنترل بر انطباق با الزامات برای ارائه حفاظت از اطلاعات در اجرای انتقال پول نقد" (تایید شده است. بانک روسیه 09.06.2012 N 382-P) (اد. از 14.08.2014) (ثبت شده در وزارت دادگستری روسیه 14.06.2012 N 24575) // در این فرم، این سند منتشر نشد، متن اولیه منتشر نشد این سند در "بولتن بانک روسیه" منتشر شد، N 32، 22.06.2012
9. "مقررات مربوط به روش ارائه شده توسط موسسات اعتباری به یک سازمان مجاز از اطلاعات ارائه شده توسط قانون فدرال" در مقابله با قانونی کردن (شستشو) درآمد حاصل شده توسط معیارهای جنایی و تامین مالی تروریسم "(تصویب شده توسط بانک روسیه 29.08. 2008 n 321-P) (اد. از 15.10.2015) (همراه با "سفارش امنیت اطلاعات در پذیرش انتقال OES"، "قوانین برای تشکیل OES و پر کردن زمینه های فردی سوابق OES" ) (ثبت شده در وزارت دادگستری روسیه 16.09.2008 n 12296) // در این فرم، سند منتشر شده بود، متن اولیه سند در "بولتن بانک روسیه" منتشر شد، N 54 ، 26.09.2008
10. ارث از FSTEC از روسیه از سال 18.02.2013 شماره 21 "در تصویب ترکیب و محتوای اقدامات سازمانی و فنی برای اطمینان از ایمنی اطلاعات شخصی هنگام پردازش در سیستم های اطلاعاتی اطلاعات شخصی" (ثبت شده در وزارت دادگستری از روسیه 05/14/2013 n 28375) // "روزنامه روسی"، n 107، 05/22/2013
11. Averchenkov v.I.، RYT M.Yu.، Gainulin T.R. حفاظت از اطلاعات شخصی در سازمان ها. m: flint، 2018
12.Agapov A. B. پایه های مدیریت عمومی در زمینه اطلاع رسانی در فدراسیون روسیه. متر: وکیل، 2012
13.Things A. A.، Kostina A. A.، Latyshev D. M. M.، Moldova A. A. مجموعه های نرم افزاری سری Aura برای محافظت از سیستم های اطلاعاتی اطلاعات شخصی // IZV. دانشگاه ها. ساخت ابزار 2012. T. 55، № 11
14. Moldovyan A. A. Cryptography برای محافظت از اطلاعات کامپیوتر (قسمت 1) // انتگرال. 2014. № 4 (18)
15.Rodanov O.A.، بابین S.A.، Zhdanov S.G. پشتیبانی سازمانی امنیت اطلاعات. - m :: آکادمی، 2016
16. Shultz V.L.، Rudchenko A.D.، Yurchenko A.V. امنیت فعالیت های تجاری. متر: انتشارات خانه "یووری"، 2017
برنامه های کاربردی (آرشیو با کار وجود دارد).
موقعیت
درباره حفاظت از اطلاعات شخصی
مشتریان (مشترکین)
در LLC Ortes امور مالی
اصطلاحات و تعاریف
1.1. اطلاعات شخصی- هر گونه اطلاعات مربوط به یک فرد فیزیکی خاص یا تعریف شده بر اساس چنین اطلاعاتی (موضوع اطلاعات شخصی)، از جمله نام خانوادگی، نام، نام خانوادگی، سال، ماه، تاریخ و محل تولد، آدرس، آدرس ایمیل، شماره تلفن، خانواده، اجتماعی، وضعیت اموال، آموزش، حرفه، درآمد، اطلاعات دیگر.
1.2. پردازش اطلاعات شخصی- اقدامات (عملیات) با اطلاعات شخصی، از جمله جمع آوری، سیستماتیک، انباشت، ذخیره سازی، پالایش (به روز رسانی، تغییر)، استفاده، توزیع (از جمله انتقال)، کاهش، مسدود کردن.
1.3. سیاست حفظ حریم خصوصی- اجباری برای تطبیق با شخص تعیین شده مسئول که دسترسی به اطلاعات شخصی را به دست آورده است، نیاز به جلوگیری از انتشار آنها بدون رضایت موضوع یا سایر زمینه های قانونی است.
1.4. توزیع اطلاعات شخصی- اقدامات با هدف انتقال اطلاعات شخصی به یک دایره خاص از افراد (انتقال اطلاعات شخصی) و یا آشنا شدن با اطلاعات شخصی یک دایره نامحدود از افراد، از جمله انتشار داده های شخصی در ابزار رسانه های جمعی، اقامت در شبکه های اطلاعاتی و مخابرات یا ارائه دسترسی به اطلاعات شخصی به هیچ وجه.
1.5. با استفاده از اطلاعات شخصی- اقدامات (عملیات) با اطلاعات شخصی متعهد شده در تصمیم گیری یا انجام اقدامات دیگر که پیامدهای قانونی را در رابطه با موضوعات شخصی و یا در غیر این صورت تأثیر می گذارد، بر حقوق و آزادی ها یا حقوق و آزادی دیگران تأثیر می گذارد.
1.6. مسدود کردن اطلاعات شخصی- خاتمه موقت جمع آوری، سیستماتیک، انباشت، استفاده، انتشار اطلاعات شخصی، از جمله انتقال آنها.
1.7. تخریب داده های شخصی- اقدامات، به عنوان یک نتیجه از آن غیر ممکن است برای بازگرداندن محتوای اطلاعات شخصی در سیستم اطلاعاتی اطلاعات شخصی و یا به عنوان یک نتیجه از آن حمل کننده مواد نابود می شود.
1.8. تعریف اطلاعات شخصی- اقدامات، به عنوان یک نتیجه از آن غیر ممکن است بدون استفاده از اطلاعات اضافی برای تعیین وابستگی داده های شخصی به یک موضوع خاص غیر ممکن است.
1.9. اطلاعات شخصی شخصی- اطلاعات شخصی، دسترسی به محدوده نامحدودی از افرادی که با رضایت موضوع ارائه می شود یا مطابق با قوانین فدرال، به نیاز محرمانه اعمال نمی شود.
1.10. اطلاعات- داده ها (پیام ها، داده ها)، صرف نظر از فرم ارائه آنها.
1.11. مشتری (موضوع اطلاعات شخصی)- خدمات شخصی فیزیکی خدمات مصرف کننده امور مالی، بیشتر "سازمان".
1.12. اپراتور- بدن دولتی، بدن شهرداری، حقوقی یا فردی، مستقل یا همراه با سازماندهی دیگران و (یا) پردازش اطلاعات شخصی، و همچنین تعیین اهداف پردازش داده های شخصی، ترکیب اطلاعات شخصی برای پردازش، اقدامات (عملیات) انجام شده با اطلاعات شخصی. تحت این مقررات، اپراتور شرکت مسئولیت محدود مالی Ortes-Finance را به رسمیت می شناسد؛
2. مقررات عمومی
2.1. این مقررات مربوط به پردازش داده های شخصی (به ترتیب به عنوان مقررات) مطابق با قانون اساسی فدراسیون روسیه، قانون مدنی فدراسیون روسیه، قانون فدرال "در اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" توسعه یافت، قانون فدرال 152-FZ "بر روی اطلاعات شخصی"، سایر قوانین فدرال.
2.2. هدف از توسعه وضعیت این است که تعیین روش پردازش و حفاظت از اطلاعات شخصی همه سازمان های سازمان، داده های آن بر اساس قدرت های اپراتور، پردازش شود. تضمین حمایت از حقوق بشر و آزادی ها و شهروندان در پردازش اطلاعات شخصی خود، از جمله حفاظت از حقوق حریم خصوصی، اسرار شخصی و خانوادگی، و همچنین ایجاد مسئولیت مقامات که دسترسی به اطلاعات شخصی را دارند عدم تحقق الزامات قوانین تنظیم و حفاظت از داده های شخصی.
2.3. روش برای راه اندازی و تغییر موقعیت.
2.3.1 این مقررات از لحاظ تصویب آن توسط مدیر کل سازمان، به طور نامحدود عمل می کند، قبل از جایگزینی آن با یک وضعیت جدید، به طور نامحدود عمل می کند.
2.3.2 تغییرات در مقررات بر اساس دستورات مدیر کل سازمان صورت می گیرد.
3. ترکیب اطلاعات شخصی.
3.1 ترکیب اطلاعات شخصی مشتریان، از جمله:
3.1.1. نام و نام خانوادگی.
3.1.2. سال تولد.
3.1.3. ماه تولد
3.1.4 تاریخ تولد.
3.1.5. محل تولد.
3.1.6. جزئیات پاسپورت
3.1.7. آدرس ایمیل.
3.1.8. شماره تلفن (خانه، تلفن همراه).
3.2. سازمان ها را می توان ایجاد کرد (ایجاد شده، جمع آوری شده) و اسناد و اطلاعات زیر ذخیره می شود، از جمله در قالب الکترونیکیحاوی داده های مشتری:
3.2.1 درخواست برای بررسی امکان اتصال یک فرد.
3.2.2. پیمان (پیشنهاد عمومی).
3.2.3. تایید پیوستن به قرارداد.
3.2.5. اسناد هویت کپی، و همچنین اسناد دیگر ارائه شده توسط مشتری و حاوی اطلاعات شخصی.
3.2.6. اطلاعات در مورد اتهامات سفارشات (کالا / خدمات) حاوی پرداخت و سایر جزئیات مشتری.
4. هدف پردازش داده های شخصی.
4.1. هدف پردازش اطلاعات شخصی، اجرای مجموعه ای از اقدامات با هدف دستیابی به هدف، از جمله:
4.1.1 ارائه خدمات مشاوره ای و اطلاعاتی.
4.1.2 معاملات دیگر که توسط قانون ممنوع نیست، و همچنین مجموعه ای از اقدامات با اطلاعات شخصی لازم برای انجام معاملات فوق.
4.1.3. به منظور تحقق الزامات قانون فدراسیون روسیه.
4.2. شرط متوقف کردن پردازش داده های شخصی حذف سازمان، و همچنین نیاز مشتری مناسب است.
5. جمع آوری، پردازش و حفاظت از اطلاعات شخصی.
5.1. روش برای به دست آوردن (جمع آوری) داده های شخصی:
5.1.1 تمام اطلاعات شخصی مشتری باید از شخصا با رضایت کتبی خود به دست آید، به جز موارد تعریف شده در بند 5.1.4 و 5.1.6 از این شرایط و موارد دیگر که توسط قوانین فدراسیون روسیه ارائه شده است.
5.1.2 رضایت مشتری به استفاده از داده های شخصی خود در سازماندهی و / یا فرم الکترونیکی نگهداری می شود.
5.1.3. رضایت موضوع برای پردازش اطلاعات شخصی در طول دوره قرارداد معتبر است، و همچنین به مدت 5 سالاز تاریخ خاتمه رابطه قراردادی مشتری با سازمان. پس از انقضای دوره مشخص شده، این توافقنامه برای هر پنج سال آینده در غیاب اطلاعات در مورد فراخوانی او معاف است.
5.1.4 اگر اطلاعات شخصی مشتری تنها از یک شخص ثالث حاصل شود، مشتری باید در مورد آن پیش از آن مطلع شود و رضایت کتبی باید از آن به دست آید. شخص ثالث که اطلاعات شخصی مشتری را ارائه می دهد، باید رضایت بخش انتقال اطلاعات شخصی سازمان را داشته باشد. این سازمان موظف است تأیید را از یک شخص ثالث انتقال دهنده مشتری انتقال دهد که اطلاعات شخصی به رضایت خود منتقل می شود. این سازمان در هنگام تعامل با اشخاص ثالث برای پایان دادن به توافق درباره محرمانه بودن اطلاعات مربوط به اطلاعات شخصی مشتریان، لازم است.
5.1.5. این سازمان موظف به اطلاع مشتری در مورد هدف منابع و روش های مورد نظر برای به دست آوردن اطلاعات شخصی، و همچنین ماهیت داده های شخصی به دست آمده و پیامدهای عدم موفقیت مشتری به رضایت کتبی برای رسید خود را مطلع می کند.
5.1.6. پردازش اطلاعات شخصی مشتریان بدون رضایت آنها در موارد زیر انجام می شود:
5.1.6.1 داده های شخصی به طور عمومی در دسترس هستند.
5.1.6.2. به درخواست سازمان های دولتی مجاز در مواردی که توسط قانون فدرال ارائه شده است.
5.1.6.3. پردازش داده های شخصی بر اساس یک قانون فدرال، ایجاد هدف خود، شرایط برای به دست آوردن اطلاعات شخصی و دایره موضوعاتی که اطلاعات شخصی آنها مورد پردازش قرار می گیرد، و همچنین تعیین قدرت اپراتور انجام می شود.
5.1.6.4. پردازش داده های شخصی به منظور نتیجه گیری و اجرای قرارداد انجام می شود، یکی از طرفین که موضوع آن اطلاعات شخصی است - مشتری.
5.1.6.5. پردازش داده های شخصی برای اهداف آماری مورد بررسی قرار گرفته است.
5.1.6.6. در موارد دیگر توسط قانون ارائه شده است.
5.1.7. این سازمان حق دریافت و رسیدگی به اطلاعات شخصی مشتری در مورد نژادی، ملیت، دیدگاه های سیاسی، باورهای مذهبی یا فلسفی، سلامت، زندگی صمیمی ندارد.
5.2. روش پردازش داده های شخصی:
5.2.1. نهاد داده های شخصی سازمان ها را با اطلاعات قابل اطمینان در مورد خود فراهم می کند.
5.2.2. فقط کارکنان سازمان مجاز به کار با داده های شخصی مشتری می توانند به مدیریت اطلاعات شخصی مشتریان دسترسی پیدا کنند و اطلاعات شخصی مشتری را امضا کنند.
5.2.3. حق دسترسی به اطلاعات شخصی مشتری در سازمان:
مدیر کل سازمان؛
کارمندان مسئول محاسبات مالی (مدیر، حسابدار).
کارکنان خدمات مشتری (رئیس بخش فروش، مدیر).
کارکنان فناوری اطلاعات (مدیر فنی، مدیر سیستم).
مشتری به عنوان یک نهاد داده شخصی شخصی.
5.2.3.1 فهرست برآورد شده کارکنان سازمان، با دسترسی به اطلاعات شخصی مشتریان، به ترتیب مدیر کل سازمان تعیین می شود.
5.2.4 پردازش اطلاعات شخصی مشتری می تواند صرفا برای اهداف تعیین شده و انطباق با قوانین و سایر اقدامات قانونی قانونی فدراسیون روسیه انجام شود.
5.2.5. در تعیین حجم و محتوای اطلاعات شخصی پردازش شده، سازمان توسط قانون اساسی فدراسیون روسیه، قانون اطلاعات شخصی و سایر قوانین فدرال هدایت می شود.
5.3. حفاظت از اطلاعات شخصی:
5.3.1 تحت حفاظت از اطلاعات شخصی مشتری، مجموعه ای از اقدامات (سازمانی و اداری، فنی، قانونی) با هدف جلوگیری از دسترسی غیرقانونی یا تصادفی به آنها، تخریب، تغییرات، مسدود کردن، کپی کردن، انتشار اطلاعات شخصی افراد و سایر موارد غیر قانونی است اقدامات.
5.3.2. حفاظت از اطلاعات شخصی مشتری در هزینه سازمان به نحوی که توسط قانون فدرال فدراسیون روسیه تجویز شده است، انجام می شود.
5.3.3. سازمان حفاظت از اطلاعات شخصی مشتریان تمام اقدامات لازم سازمانی و اداری، قانونی و فنی را شامل می شود، از جمله:
حفاظت از آنتی ویروس.
تجزیه و تحلیل حفاظت.
پیشگیری از تشخیص و تهاجم.
کنترل دسترسی
ثبت نام و حسابداری
اطمینان از یکپارچگی.
سازماندهی اقدامات قانونی و روش شناختی محلی حاکم بر حفاظت از اطلاعات شخصی.
5.3.4 سازمان کلی حفاظت از اطلاعات شخصی مشتریان توسط مدیر کل سازمان انجام می شود.
5.3.5. دسترسی به اطلاعات شخصی مشتری، کارکنان سازمان را دارد که اطلاعات شخصی در ارتباط با عملکرد وظایف کار ضروری است.
5.3.6 تمام کارکنان مربوط به رسید، پردازش و حفاظت از اطلاعات شخصی مشتریان مورد نیاز برای امضای قرارداد در مورد عدم افشای اطلاعات شخصی مشتریان است.
5.3.7. روش برای دسترسی به اطلاعات شخصی مشتری شامل موارد زیر است:
آشنایی از کارمند تحت نقاشی با این مقررات. اگر سایر اقدامات نظارتی دیگر (سفارشات، سفارشات، دستورالعمل ها، و غیره) وجود داشته باشد، تنظیم پردازش و حفاظت از اطلاعات شخصی مشتری، با این اقدامات نیز با نقاشی آشناست.
محاسبه از یک کارمند (به استثنای مدیر کل) از یک تعهد کتبی برای تطبیق با محرمانه بودن اطلاعات شخصی مشتریان و پیروی از قوانین پردازش آنها مطابق با اقدامات محلی داخلی سازمان حاکم بر اطلاعات محرمانه مسائل امنیتی.
5.3.8. یک کارمند یک سازمان که دسترسی به اطلاعات شخصی مشتریان را در ارتباط با اجرای وظایف استخدامی دارد:
ذخیره اطلاعات حاوی اطلاعات شخصی مشتری را فراهم می کند، از بین بردن دسترسی شخص ثالث به آنها.
در غیاب یک کارمند، هیچ اسنادی حاوی اطلاعات شخصی مشتریان در محل کار وجود ندارد.
هنگام ترک ترک، در طول سفر کسب و کار و در موارد دیگر کمبود طولانی یک کارمند در محل کار، موظف به انتقال اسناد و سایر حاملان، حاوی اطلاعات شخصی مشتریان به فردی که قانون محلی جامعه است (به ترتیب، سفارشات) به اعدام وظایف کار خود سپرده می شود.
اگر چنین شخصی منصوب نشده باشد، اسناد و سایر حاملان حاوی اطلاعات شخصی مشتریان به کارمند دیگری منتقل می شوند که دسترسی به اطلاعات شخصی مشتریان برای نشان دادن مدیر کل سازمان است.
هنگام اخراج یک کارمند که دسترسی به اطلاعات شخصی مشتریان، اسناد و سایر رسانه های حاوی داده های مشتری شخصی را به یک کارمند دیگر منتقل می کند که دسترسی به اطلاعات شخصی مشتریان برای نشان دادن مدیر کل است.
به منظور انجام وظیفه اختصاص داده شده و بر اساس یک یادداشت دفتر با وضوح مثبت مدیر کل، دسترسی به اطلاعات شخصی مشتری را می توان با یک کارمند مختلف ارائه داد. پذیرش اطلاعات شخصی مشتری از سایر کارکنان سازمان که دسترسی به اندازه کافی تزئین نشده اند ممنوع است.
5.3.9. مدیر کار پرسنل فراهم می کند:
آشنایی از کارکنان تحت نقاشی با این مقررات.
محاسبه با کارکنان نوشته شده بر اساس انطباق با محرمانه بودن اطلاعات شخصی مشتری (توافقنامه عدم افشای) و انطباق با قوانین پردازش آنها.
کنترل کلی بر انطباق با کارکنان برای محافظت از اطلاعات شخصی مشتری.
5.3.10. حفاظت از اطلاعات شخصی مشتریان ذخیره شده در پایگاه داده های الکترونیکی سازمان، از دسترسی غیر مجاز، اعوجاج و تخریب اطلاعات، و همچنین سایر اقدامات غیرقانونی، توسط مدیر سیستم ارائه شده است.
5.4. ذخیره سازی داده های شخصی:
5.4.1. اطلاعات شخصی مشتریان بر روی کاغذ ذخیره شده در سفس.
5.4.2 مشتریان شخصی در فرم الکترونیکی در شبکه کامپیوتری محلی سازمان، در پوشه های الکترونیکی و فایل های الکترونیکی در رایانه های شخصی مدیر کل و کارکنان مجاز به پردازش اطلاعات شخصی مشتریان ذخیره می شوند.
5.4.3. اسناد حاوی اطلاعات شخصی مشتریان در کابین های قفل شده (SAFES) نگهداری می شود که حفاظت در برابر دسترسی غیر مجاز را فراهم می کند. در پایان روز کاری، تمام اسناد حاوی اطلاعات شخصی مشتریان در کابینت ها (سفس) قرار می گیرند که حفاظت از دسترسی غیر مجاز را فراهم می کنند.
5.4.4 حفاظت از دسترسی به پایگاه های الکترونیکی حاوی اطلاعات مشتری شخصی ارائه شده است:
استفاده از برنامه های آنتی ویروس مجاز و ضد چیکرهای که اجازه ورود غیر مجاز را به شبکه محلی سازمان نمی دهد.
بازگرداندن حقوق دسترسی با استفاده از یک حساب کاربری.
دو سیستم رمز عبور مرحله ای: در سطح شبکه محلی کامپیوتر و سطح پایگاه داده. گذرواژهها توسط مدیر سیستم سازمان ایجاد می شود و به طور جداگانه به کارکنانی که به اطلاعات شخصی مشتریان دسترسی دارند، ارتباط برقرار می کنند.
5.4.4.1 ورودی غیر مجاز به رایانه های شخصی حاوی اطلاعات شخصی مشتریان توسط یک رمز عبور است که توسط مدیر سیستم نصب شده است و به افشای افشا نمی شود.
5.4.4.2 تمام پوشه های الکترونیکی و فایل های حاوی اطلاعات شخصی مشتری توسط یک رمز عبور محافظت می شود که مسئول کارمند کامپیوتر سازمان است و به مدیر سیستم گزارش شده است.
5.4.4.3. تغییر رمز عبور توسط مدیر سیستم حداقل 1 بار در 3 ماه انجام می شود.
5.4.5. کپی و ساخت گفتمان اطلاعات شخصی مشتری به طور انحصاری برای اهداف رسمی با اجازه کتبی مدیر کل سازمان مجاز است.
5.4.6 پاسخ به درخواست های نوشته شده برای سازمان های دیگر و مؤسسات مربوط به اطلاعات شخصی مشتری تنها با رضایت کتبی مشتری خود، مگر اینکه توسط قانون تاسیس شود. پاسخ ها به صورت کتبی، به صورت سازمان، و در حجم ساخته می شود که اجازه می دهد تا مقدار بیش از حد اطلاعات شخصی مشتری را افشا کند.
6. قفل، حذف، تخریب داده های شخصی
6.1 سفارش مسدود کردن و باز کردن قفل اطلاعات شخصی:
6.1.1. مسدود کردن اطلاعات شخصی مشتریان با استفاده کتبی از مشتری انجام می شود.
6.1.2 مسدود کردن اطلاعات شخصی نشان می دهد:
6.1.2.2. ممنوعیت انتشار اطلاعات شخصی به هر وسیله ای (ایمیل، سلولی، حامل های مواد).
6.1.2.4. اسناد کاغذی مربوط به مشتری و حاوی اطلاعات شخصی خود را از گردش کار داخلی سازمان و ممنوعیت استفاده آنها.
6.1.3. مسدود کردن اطلاعات شخصی مشتری می تواند به طور موقت حذف شود، اگر لازم باشد که با قانون فدراسیون روسیه مطابقت داشته باشد.
6.1.4 باز کردن اطلاعات شخصی مشتری با رضایت کتبی خود انجام می شود (اگر نیاز به دریافت رضایت) یا کاربرد مشتری وجود داشته باشد.
6.1.5. مصالحه مشتری برای پردازش اطلاعات شخصی خود (در صورت لزوم دریافت شده) مستلزم باز کردن اطلاعات شخصی خود است.
6.2 روش برای بازیابی و تخریب داده های شخصی:
6.2.1 کاهش اطلاعات شخصی مشتری در بیانیه کتبی مشتری صورت می گیرد، در صورتی که تمام روابط قراردادی تکمیل شود و حداقل 5 سال به پایان برسد.
6.2.2 در صورت حذف، اطلاعات شخصی در سیستم های اطلاعاتی با مجموعه ای از کاراکترها جایگزین می شود که نمی تواند توسط شخصیت داده های شخصی به یک مشتری خاص تعیین شود.
6.2.3. سخنرانان کاغذی برای کاهش اطلاعات شخصی تخریب می شوند.
6.2.4 این سازمان موظف است که در صورت لزوم برای تست سیستم های اطلاعاتی در قلمرو توسعهدهنده و داده های شخصی شخصی در سیستم های اطلاعاتی که به توسعه دهنده منتقل می شود، محرمانه بودن را با توجه به اطلاعات شخصی محرمانه نگه دارد.
6.2.5. تخریب داده های شخصی مشتری به معنای خاتمه هر گونه دسترسی به اطلاعات شخصی مشتری است.
6.2.6. هنگام از بین بردن اطلاعات شخصی مشتری، کارکنان سازمان نمی توانند به اطلاعات شخصی از موضوع در سیستم های اطلاعات دسترسی پیدا کنند.
6.2.7. سخنرانان کاغذی کاغذی در تخریب داده های شخصی نابود می شوند، اطلاعات شخصی در سیستم های اطلاعاتی قابل دانلود است. بازیابی اطلاعات شخصی موضوع نیست.
6.2.8. عملیات تخریب داده های شخصی غیر قابل برگشت است.
6.2.9. دوره پس از آن عملیات تخریب داده های شخصی مشتری ممکن است توسط انقضای دوره مشخص شده در بند 7.3 این مقررات تعیین شود.
7. انتقال و ذخیره سازی اطلاعات شخصی
7.1 انتقال اطلاعات شخصی:
7.1.1. انتقال اطلاعات شخصی موضوع به معنی انتشار اطلاعات در مورد کانال های ارتباطی و حامل های مادی است.
7.1.2. هنگام انتقال اطلاعات شخصی، کارکنان سازمان باید با الزامات زیر مطابقت داشته باشند:
7.1.2.1. اطلاعات شخصی مشتری را برای اهداف تجاری اطلاع ندهید.
7.1.2.2. داده های شخصی مشتری را با یک شخص ثالث بدون رضایت کتبی از مشتری، به جز مواردی که توسط قانون فدرال فدراسیون روسیه تعیین شده است، بگویید.
7.1.2.3. برای هشدار دادن به افرادی که اطلاعات شخصی مشتری را دریافت می کنند که این داده ها را می توان تنها برای اهداف مورد استفاده قرار داد و به این افراد نیاز دارد تا تأیید کنند که این قانون مطابق با آن است؛
7.1.2.4. اجازه دسترسی به اطلاعات شخصی از مشتریان را فقط به افراد مجاز، در حالی که این افراد باید حق دریافت تنها داده های شخصی مشتریانی را داشته باشند که برای انجام وظایف خاص لازم است.
7.1.2.5. انتقال اطلاعات شخصی مشتری در سازمان مطابق با این مقررات، مستندات نظارتی و تکنولوژیکی و شرح شغلی.
7.1.2.6. هنگام تماس با درخواست مشتری، دسترسی مشتری به اطلاعات شخصی خود را ارائه دهید. این سازمان موظف است اطلاعات مشتری را در مورد دسترسی به اطلاعات شخصی در مورد او مطلع سازد و همچنین فرصتی را برای خود در ده روز کاری از لحظه درخواست تجدید نظر به آنها آشنا کند.
7.1.2.7. برای انتقال اطلاعات شخصی مشتری به نمایندگان مشتری به نحوی که توسط قانون و مستندات قانونی و تکنولوژیکی تجویز شده است و این اطلاعات را فقط با اطلاعات شخصی موضوع محدود کنید، که لازم است برای انجام نمایندگان مشخص شده از عملکرد آنها ضروری باشد.
7.2. ذخیره سازی و استفاده از داده های شخصی:
7.2.1. تحت ذخیره سازی داده های شخصی به معنای وجود ورودی ها در سیستم های اطلاعاتی و حامل های مادی است.
7.2.2 مشتریان شخصی در سیستم های اطلاعاتی پردازش و ذخیره می شوند و همچنین بر روی کاغذ در سازمان ذخیره می شوند. داده های مشتری شخصی نیز به صورت الکترونیکی ذخیره می شود: در شبکه کامپیوتری محلی سازمان، در پوشه های الکترونیکی و فایل های الکترونیکی در کامپیوتر مدیر کل و کارگران ساخته شده به پردازش اطلاعات شخصی مشتریان.
7.2.3. ذخیره سازی اطلاعات شخصی مشتری می تواند طولانی تر از هدف پردازش باشد، مگر اینکه در غیر این صورت توسط قوانین فدرال فدراسیون روسیه ارائه شود.
7.3. شرایط ذخیره سازی داده های شخصی:
7.3.1 مهلت های ذخیره سازی قراردادهای قانون مدنی حاوی اطلاعات شخصی مشتریان، و همچنین نتیجه گیری آنها، اجرای اسناد - 5 سال از پایان قراردادها.
7.3.2. در طول دوره ذخیره سازی، اطلاعات شخصی نمی تواند غیر شخصی یا نابود شود.
7.3.3. پس از انقضای ذخیره سازی، اطلاعات شخصی ممکن است در سیستم های اطلاعاتی غیر شخصی باشد و بر اساس روش تعیین شده در موقعیت و قوانین فعلی فدراسیون روسیه، بر روی کاغذ نابود شود. (قانون برنامه در تخریب داده های شخصی)
8. حقوق اپراتور اطلاعات شخصی
سازمان حق دارد:
8.1 دفاع از منافع خود را در دادگاه.
8.2 ارائه اطلاعات شخصی مشتریان به اشخاص ثالث، اگر آن را برای قانون فعلی (مالیات، سازمان های اجرای قانون، و غیره) ارائه شده است.
8.3. حاضر به ارائه اطلاعات شخصی در مواردی که توسط قانون ارائه شده است.
8.4 از اطلاعات شخصی مشتری بدون رضایت خود استفاده کنید، در مواردی از قوانین ارائه شده توسط قانون فدراسیون روسیه.
9. حقوق مشتری
مشتری حق دارد:
9.1 نیاز به توضیح داده های شخصی خود، مسدود کردن یا تخریب آنها اگر داده های شخصی ناقص، قدیمی، غیر قابل اعتماد، غیرقانونی دریافت یا برای هدف اعلام شده پردازش، و همچنین استفاده از قانون برای محافظت از حقوق خود را لازم نیست؛
9.2 نیاز به لیستی از اطلاعات شخصی پردازش شده موجود در سازمان و منبع دریافت آنها.
9.3. دریافت اطلاعات در مورد زمان پردازش داده های شخصی، از جمله زمان ذخیره سازی آنها.
9.4 نیاز به اطلاع از همه کسانی که قبلا اطلاعات شخصی نادرست یا ناقص را گزارش کرده اند، در مورد تمام استثنائات ساخته شده در آنها، اصلاحات و یا اضافه شدن.
9.5. درخواست تجدید نظر به یک بدن مجاز برای محافظت از حقوق نهادهای داده های شخصی و یا در دادگاه اقدامات غیرقانونی یا بی عدالتی در پردازش داده های شخصی خود.
10. مسئولیت نقض هنجارها تنظیم پردازش و حفاظت از اطلاعات شخصی
10.1 کارکنان سازمان، متهم به نقض هنجارهای تنظیم، پردازش و حفاظت از داده های شخصی، مسئولیت انضباطی، اداری، مدنی یا کیفری را مطابق با قوانین فعلی فدراسیون روسیه و اقدامات داخلی داخلی سازمان می دانند.
احتمالا هر کسی که یک بار وام را دریافت کرد یا HR-OHM با چنین شرایطی مواجه شد که نمایندگان بانک به کارفرمایان فراخوانی می کنند و اطلاعات مربوط به کارمند سازمان را درخواست می کنند.
در همان زمان، اغلب در عمل، کارفرما با الزامات قانون 152 فدرال در حفاظت از اطلاعات شخصی مطابقت ندارد و اطلاعات مربوط به کارمند را از طریق تلفن افشا می کند. دریافت کننده این اطلاعات را بررسی کنید، کارفرمایان نمی توانند و اغلب رضایت کتبی کارمند برای استفاده از داده های خود را ندارند.
چه کسی در این وضعیت قانون را مختل می کند: کسی که می پرسد یا کسی که مسئول است؟
در این وضعیت، همه چیز بستگی به اسناد از موضوعات بسیار اطلاعات شخصی دارد. وضعیتی وجود دارد که نه کسی که از کسی که به قانون پاسخ می دهد، نقض نمی کند، بلکه این اتفاق می افتد، اما این اتفاق می افتد که هر دو.
بیایید با آن برخورد کنیم.
بنابراین ما یک بانک هستیم. یک فرد به ما آمد و به منظور دستیابی به وام، کل بسته لازم از اسناد را شامل می شود، از جمله گواهی درآمد، که توسط امضاء افراد مسئول کارفرمایان و مهر و موم، و همچنین سایر اصل های لازم و نسخه های اسناد گواهی شده است.
اما، با وجود گواهینامه اصلی درآمد ارائه شده، ما می خواهیم بررسی کنیم که آیا متقاضی در مورد اعتبار در این سازمان کار می کند و درآمد واقعی در گواهی ارائه شده مشخص شده است. در عدالت باید بگویم که اخیرا بانک ها هنوز اغلب فقط اطلاعاتی در مورد این که آیا این شخص در سازمان مشخص شده کار می کند، درخواست می کند. برای این واقعیت که ما به عنوان یک بانک، این درخواست را به صورت کتبی، با مهر و موم های ما و نشانه ای از اطلاعات شناسایی ما ارسال نمی کنیم و هدف از اهداف درخواست ما را مشخص نمی کنیم، و برای سرعت بخشیدن به این روش، فقط با تلفن تماس بگیرید مشخص شده در اسناد که یک مشتری بالقوه بانک را فراهم کرد.
که من همیشه در این روش شگفت زده شدم، بنابراین این یک بدرفتاری خاص از مراحل تأیید صحت صحت داده های ارائه شده است.
به این معناست که سند با مهر و موم و امضا، به ما مناسب نیست، اما پاسخ از طریق تلفن، مشخص شده توسط کارمند، به دلایلی بیشتر ترتیب خواهد داد.
و چه نوع تلفن به کارمند اشاره کرد؟ آیا این تلفن متعلق به این سازمان است؟ چه کسی در انتهای دیگر سیم به من پاسخ خواهد داد: مدیرعامل؟ سر حسابدار؟ مدیر کارکنان؟ چگونه می توانم شناسایی کنم که این مقامات داده است؟ و شاید دبیرخانه که برای یک هفته کار می کند و هیچ کس نمی داند؟ یا تمیز کننده؟ یا گارد؟ و شاید در اصل، کسی که خود کارمند از او خواسته بود به ترتیب به درخواست بانک پاسخ دهد؟ و اگر تلفن مشخص شده توسط کارمند پاسخ نخواهد داد، چه چیزی برای بانک معنی دارد؟ آیا او بررسی خواهد کرد، شاید یک فرد در یک رقم اشتباه گرفته شود؟ آیا می توانم وقفه از شرکت تلفن؟ شاید این گوشی دیگر استفاده نمی کند، و کارمند در مورد آن نمی دانست؟
اما وظیفه ما این است که درک کنیم که آیا اقدامات احزاب قانونی قانونی هستند: بانک و کارفرمایان در این مورد اصل؟
اگر بانک دارای رضایت کتبی از موضوع برای تأیید اطلاعات خود و کسب اطلاعات از کارفرمای خود، پس از آن عمل بانک قانونی است.
در مورد کارفرما چه خبر؟
کارفرما ممکن است به طور قانونی اطلاعاتی در مورد کارمند به بانک را در موارد زیر ارسال کند:
2. کارگر اجازه داده شد به نوشتن به یک نهاد قانونی خاص. اما در این مورد، کارفرما موظف است تا اطمینان حاصل شود که درخواست از آن بانک که کارمند مجاز به ارائه اطلاعات بود (یعنی پاسخ فقط برای یک درخواست کتبی) آمده است.
و اگر چنین رضایت از کارفرما وجود نداشته باشد؟
این حق ندارد اطلاعاتی در مورد کارمند ارائه دهد. سپس کارفرما تعهدات خود را تحت قانون حفاظت از اطلاعات شخصی انجام خواهد داد؟ آره. آیا کارمند اعتبار می دهد اگر کارفرمای حاضر به ارائه اطلاعات کارمند خودداری کند؟ ناشناس.
علاوه بر این، اگر سازمان بزرگ باشد و دارای شبکه گسترده ای از واحدهای جداگانه باشد، همیشه چنین رضایت نمی تواند چنین رضایت داشته باشد. به خصوص در مورد زمانی که کارگر خود به خود تصمیم به دریافت وام دریافت کرد. و در حال حاضر در همان روز یا بعد، کارکنان بانک از کارفرما برای بررسی صحت اطلاعات ارائه شده استفاده می کنند.
علاوه بر این، توافقنامه باید به صورت کتبی صادر شود، کافی نیست که کارمند، به عنوان مثال، به بخش پرسنل تماس بگیرد و از درخواست یک بانک خاص پاسخ داد.
همه چیز کاملا درک می شود که زمانی که کارفرما اطلاعاتی در مورد کار یک کارمند خاص بانک را در یک درخواست تلفنی ارائه می دهد، او این کار را برای محافظت از منافع کارمند برای اولین بار به منظور از دست دادن وام از وام استفاده می کند. اما به طور خودکار در این مورد، قانون حفاظت از اطلاعات شخصی را نقض می کند، اگر کارفرمایان در مورد دریافت رضایت کتبی از خود کارمند نگران نباشند.
ممکن است که بانک ها متوقف عمل چک های غیر قانونی تلفن، چنین نقض و از کارفرما کمتر تبدیل شود.
به تازگی، نامه ای از بانک روسیه از روز 14 مارس 2014، 42-T "در حال تقویت کنترل ریسک ناشی از اطلاعات مربوط به اطلاعات شخصی شهروندان"، که توصیه موسسات اعتباری را برای تقویت خطرات ناشی از پردازش ( به هر حال مجموعه ای از اطلاعات حاوی اطلاعات شخصی نیز اعمال می شود، و همچنین برای به دست آوردن اسناد داخلی تعریف می شود: مسئولیت شخصی کارکنان موسسات اعتباری که در پردازش مستقیم اطلاعات شخصی (شامل مجموعه)، برای صرفه جویی و تضمین محرمانه بودن، از اطلاعات تولید شده در طول خدمات مشتری.
در عین حال، در نامه فوق، به طور مستقیم نشان داد که بانک روسیه در اجرای نظارت بر بانک ها، موارد شناسایی کمبودهای را در اجرای قوانین مربوط به حفاظت از داده های شخصی در نظر می گیرد و آنها را در نظر می گیرد یک عامل منفی در ارزیابی کیفیت مدیریت یک نهاد اعتباری، از جمله ارزیابی سازمان کنترل سازمان داخلی.
این امیدوار است که بانک ها در نهایت به قانون حفاظت از داده های شخصی تبدیل شوند، بدون استفاده از کارفرمایان به نقض اجباری قانون.
معرفی
ارتباط. در دنیای مدرن، اطلاعات به یک منبع استراتژیک تبدیل می شود، یکی از ثروت اصلی دولت توسعه اقتصادی اقتصادی. بهبود سریع اطلاعات در روسیه، نفوذ آن به تمام زمینه های منافع حیاتی فرد، جامعه و ایالت ها علاوه بر مزایای بدون شک و ظهور تعدادی از مشکلات مهم، منجر شد. یکی از آنها نیاز به محافظت از اطلاعات بود. با توجه به این که پتانسیل اقتصادی در حال حاضر به طور فزاینده ای توسط سطح توسعه تعیین می شود ساختار اطلاعاتآسیب پذیری بالقوه اقتصاد از تأثیرات اطلاعاتی به طور نسبی افزایش می یابد.
توزیع سیستم های کامپیوتری، ترکیب آنها به شبکه های ارتباطی، امکان نفوذ الکترونیکی را به آنها افزایش می دهد. مشکل جرم کامپیوتر در همه کشورهای جهان، صرف نظر از موقعیت جغرافیایی آنها، نیاز به جذب همه را دارد توجه بیشتر و نیروهای دولتی برای سازماندهی مبارزه علیه این نوع جرم. به خصوص انواع گسترده، جنایات را در سیستم های بانکی خودکار و تجارت الکترونیک دریافت کردند. طبق داده های خارجی، تلفات بانکی به عنوان یک نتیجه از جرایم کامپیوتری هر ساله تعداد زیادی میلیارد دلار را تشکیل می دهند. اگر چه سطح معرفی آخرین فن آوری های اطلاعاتی به عمل در روسیه بسیار مهم نیست، جرایم کامپیوتری خود را بیشتر و بیشتر در مورد خود، و حفاظت از دولت و جامعه از آنها تبدیل به Superzadach برای مقامات صالح است.
ارتباط مسئله حفاظت از اطلاعات شخصی بدون شک است. اول از همه، این به دلیل اصطلاح تعریف شده است که سیستم های اطلاعاتی اطلاعات شخصی (AHD) را مطابق با قانون فدرال ژوئیه 27، 2006 شماره 152-FZ "در اطلاعات شخصی" ارائه می دهد. این دوره بی وقفه در حال نزدیک شدن است، و در عین حال پیچیدگی آشکاری از برآورده کردن الزامات اسناد فرماندهی رگولاتورها موجب توده های اختلافات و تفسیرهای مبهم می شود. در عین حال، نزدیکی برخی از دستورالعمل ها، وضعیت قانونی نامحدود خود، و همچنین تعدادی از مسائل دیگر، به حل مشکل کمک نمی کند. همه اینها شرایطی را ایجاد می کند که در آن چارچوب نظارتی در نهایت تعیین نمی شود و الزامات قانون در حال حاضر ضروری است.
مه 2009 اولین جلسه گروه کاری را در اطلاعات شخصی در اربس گذراند. این رویداد در حین بحث های باز به وضوح به وضوح توسط مناطق مشکل که جامعه بانکی هیجان انگیز بود، نشان داد. ما عمدتا دقیقا به دقت حفاظت فنی اطلاعات شخصی و تعامل آینده بین موسسات اعتباری و مالی و FSTEC مربوط می شود. نمایندگان بانک روسیه در سخنرانی خود در مورد تحولات خود در سازماندهی اعدام قانون "در اطلاعات شخصی" ابراز کردند. اساسا جدید و مهم می تواند تلاش های بانک روسیه را برای پیدا کردن یک سازش با تنظیم کننده ها برای فرمول بندی نامیده شود الزامات فنی برای جامعه بانکی به خصوص من می خواهم فعالیت بانک مرکزی فدراسیون روسیه را در کار با FSTEC روسیه یاد بگیرم. با توجه به کل اکثریت قریب به اتفاق مشکلات در انجام الزامات دستورالعمل های FSTEC، بانک روسیه تصمیم به تهیه اسناد خود (پیش نویس اسناد)، که در حال حاضر با FSTEC سازگار است. می توان تصور کرد که احتمال ظهور یک استاندارد جدید صنعت برای اعتبار و موسسات مالی برای اطلاعات شخصی بالا است.
هدف از این دوره، مطالعه راه های محافظت از اطلاعات شخصی در سیستم های آنلاین بانک است.
برای رسیدن به هدف، وظایف زیر حل شد:
مطالعه رویکردها، اصول اساسی امنیتی؛
تعيين روش ها و ابزارهاي امنيت؛
شناسایی ویژگی های اطمینان از اطلاعات شخصی در سیستم های آنلاین بانکداری؛
توسعه فعالیت های امنیتی اطلاعات شخصی در سیستم های آنلاین بانکداری.
هدف تحقیقات کار سیستم های بانکی اطلاعات است.
موضوع مطالعه امنیت اطلاعات شخصی در سیستم های بانکی آنلاین است.
اساس نظری و روش شناختی این مطالعه، مقررات نظری، آثار دانشمندان، تحقیق متخصصان در ارائه اطلاعات بود.
مبنای روش شناختی برای کار دوره یک رویکرد سیستماتیک به مطالعه مشکل امنیتی بود.
منطقی، مقدماتی قانونی، تجزیه و تحلیل سیستم. علاوه بر این، روش تجزیه و تحلیل ساختاری استفاده می شود با توجه به مراقبت های لازم برای کشف اجزای فردی پدیده تحت مطالعه و تجزیه و تحلیل نسبت این عناصر با یکدیگر، و همچنین با عدد صحیح عمومی.
1. جنبه های نظری داده های با دوام در سیستم های آنلاین بانکداری
1.1 رویکردها، اصول امنیتی
تحت امنیت سیستم های اطلاعاتی، اقداماتی که از سیستم اطلاعاتی از مداخله تصادفی یا عمدی در رژیم های عملیاتی محافظت می کنند، درک می شود.
دو رویکرد اصلی برای امنیت کامپیوتر وجود دارد.
یکی از آنها قطعی است، در چارچوب خود، یک جهت گیری در برابر تهدیدات شدید تعریف شده تحت شرایط خاص (به عنوان مثال، محصولات تخصصی آنتی ویروس، ابزار خودمختار رمزگذاری، و غیره) وجود دارد. در این رویکرد، هر دو مزیت وجود دارد - به این معنی است که سطح بالایی از انتخابی در بخشی از یک مشکل و معایب دقیق تعریف شده - شامل تکه تکه شدن حفاظت - I.E. اقلام به شدت تعریف شده است.
فرآیند مدیریت حفاظت از اطلاعات شامل اجزای ارائه شده در شکل است. یکی
رویکرد دوم یک سیستماتیک است، ویژگی آن این است که در چارچوب خود، حفاظت از اطلاعات بیشتر عمدتا - یک محیط پردازش محافظت شده، ذخیره سازی و انتقال اطلاعات، که روش های ناهمگن و ابزار مقابله با تهدیدات را هدف قرار می دهد: نرم افزار و فنی، قانونی ، سازمان های سازمانی و اقتصادی و اقتصادی. از طریق محیط محافظت شده مشخص شده، می توانید سطح خاصی از امنیت سیستم اطلاعات خودکار را تضمین کنید.
رویکرد سیستم به حفاظت از اطلاعات بر اساس اصول روش شناختی زیر است:
هدف نهایی اولویت مطلق هدف نهایی (جهانی) است؛
وحدت - توجه مشترک به سیستم به عنوان یک کل "و به عنوان یک کل قطعات (عناصر)؛
اتصال - توجه هر بخشی از سیستم همراه با ارتباط آن با محیط زیست؛
ساخت و ساز مدولار - مدولالهای برجسته در سیستم و توجه به آن به عنوان مجموعه ای از ماژول ها؛
سلسله مراتب - معرفی سلسله مراتب قطعات (عناصر) و رتبه بندی آنها؛
عملکرد - توجه مشترک به ساختار و عملکرد با عملکرد اولویت بر ساختار؛
توسعه - حسابداری برای تغییرپذیری سیستم، توانایی آن برای توسعه، گسترش، جایگزینی قطعات، جمع آوری اطلاعات؛
تمرکززدایی - ترکیبات در تصمیم گیری و مدیریت تمرکز و تمرکززدایی؛
عدم اطمینان - حسابداری عدم قطعیت و تصادف در سیستم.
محققان مدرن روش های زیر را شناسایی می کنند
اصول سازمان و اجرای اطلاعات (از جمله کامپیوتر) امنیت.
اصل قانونی بودن. این مربوط به قوانین کنونی در زمینه امنیت اطلاعات است.
اصل عدم قطعیت. با استفاده از ابهام رفتار موضوع، I.E. چه کسی، زمانی که، کجا و چگونه می توانید امنیت شیء امنیتی را مختل کنید.
اصل عدم امکان ایجاد یک سیستم حفاظت ایده آل. از اصل عدم قطعیت و منابع محدود این وجوه پیروی می کند.
اصول حداقل ریسک و حداقل آسیب. عدم امکان ایجاد یک سیستم حفاظت ایده آل. مطابق با آن، لازم است شرایط خاصی را برای وجود یک هدف از حفاظت برای هر زمان مورد توجه قرار دهیم.
اصل زمان امن. عملکرد زمان مطلق، I.E. در طی آن اشیاء حفاظت باید ذخیره شوند؛ و زمان نسبی، به عنوان مثال فاصله زمانی از لحظه شناسایی اقدامات مخرب تا زمانی که مهاجم به هدف برسد.
اصل "حفاظت از همه از همه". این سازمان اقدامات حفاظتی را علیه تمام انواع تهدیدات برای حفاظت از اشیاء، که نتیجه اصل عدم قطعیت است، فرض می کند.
اصول مسئولیت شخصی. مسئولیت شخصی هر کارمند سازمانی، موسسات و سازمان را برای انطباق با رژیم امنیتی به عنوان بخشی از قدرت، وظایف عملکردی و دستورالعمل های موجود تضمین می کند.
اصل محدودیت اقتدار. این محدودیت اقتدار این موضوع را برای آشنایی خود با اطلاعاتی که دسترسی به عملکرد عادی وظایف عملکردی خود و همچنین معرفی ممنوعیت دسترسی به اشیا و موارد مورد نیاز نیست، فراهم می کند مناطق، که طبق ماهیت فعالیت مورد نیاز نیست.
اصل تعامل و همکاری. در تظاهرات داخلی، شامل کشت روابط اعتماد بین کارکنان مسئول امنیت (از جمله اطلاعات) و پرسنل است. در تظاهرات خارجی - ایجاد همکاری با همه سازمان های علاقه مند و افراد (به عنوان مثال، سازمان های اجرای قانون).
اصل پیچیدگی و فردیت. منعکس کننده عدم امکان تضمین ایمنی هدف حفاظت در هر یک از رویدادها، بلکه تنها مجموعه ای از فعالیت های یکپارچه، متصل شده و تکراری است که با اشاره به شرایط خاص به شرایط خاص اجرا می شود.
اصل مرزهای متوالی امنیت. این امر در اسرع وقت فراهم می کند که کفایت برای ایمنی یک یا چند هدف از حفاظت و یا یک حادثه نامطلوب برای افزایش احتمال این که هشدار پیشرفته هشدار امنیتی کارکنان مسئول امنیت را فراهم می کند، توانایی تعیین علت زنگ و سازماندهی اقدامات موثر برای مقابله با آن.
اصول برابری و حفاظت از لاستیک برابری. Equalism به معنای عدم وجود مناطق محافظت نشده در نوبه خود حفاظت است. برابری شامل حفاظت نسبتا مساوی از حفاظت در خارج از کشور مطابق با درجه تهدید به شیء حفاظت است.
روش های حصول اطمینان از حفاظت از اطلاعات در شرکت عبارتند از:
یک مانع روش انسداد فیزیکی به مهاجم به اطلاعات محافظت شده (به تجهیزات، حامل های اطلاعات و غیره) است.
کنترل دسترسی روش حفاظت از اطلاعات با تنظیم استفاده از تمام منابع سیستم اطلاعات خودکار شرکت است. کنترل دسترسی شامل توابع حفاظت زیر است:
شناسایی کاربران، پرسنل و منابع سیستم اطلاعاتی (اختصاص هر شیء یک شناسه شخصی)؛
احراز هویت (احراز هویت) یک شی یا موضوع بر شناسه ارسال شده به آنها؛
تأیید قدرت (بررسی انطباق روز هفته، زمان روز از منابع و روش های درخواست شده توسط مقررات)؛
ثبت نام تجدید نظر به منابع محافظت شده؛
پاسخ (زنگ هشدار، خاموش شدن، تاخیر، امتناع در پرس و جو در هنگام تلاش برای اقدامات غیر مجاز).
ماسک یک روش برای حفاظت از اطلاعات در یک سیستم اطلاعاتی خودکار شرکت با بسته شدن رمزنگاری است.
مقررات روش حفاظت از اطلاعات است که چنین شرایطی را برای پردازش خودکار، ذخیره سازی و انتقال اطلاعات ایجاد می کند که در آن امکان دسترسی غیر مجاز به آن به حداقل می رسد.
Forcing - یک روش برای محافظت از اطلاعاتی که کاربران و پرسنل سیستم مجبور به پیروی از قوانین پردازش، انتقال و استفاده از اطلاعات محافظت شده تحت تهدید مسئولیت مواد، اداری و جنایی هستند.
جنبش روش حفاظت از اطلاعات است که کاربران را تشویق می کند و پرسنل سیستم را با پیروی از استانداردهای اخلاقی و اخلاقی حاکم بر قوانین ایجاد نمی کند.
روش های فوق برای ارائه امنیت اطلاعات با استفاده از دارایی های ثابت زیر اجرا می شود: فیزیکی، سخت افزار، نرم افزار، نرم افزار سخت افزار، رمزنگاری، سازمانی، قانونگذاری و اخلاقی و اخلاقی.
ابزار فیزیکی حفاظت برای حفاظت خارجی از اشیاء اشیاء، از اجزای سیستم اطلاعات خودکار شرکت محافظت می کند و به عنوان دستگاه ها و سیستم های خودمختار اجرا می شود.
حفاظت از سخت افزار - اینها دستگاه های الکترونیکی، الکترومکانیکی و دیگر دستگاه ها هستند که به طور مستقیم در واحد سیستم اطلاعات خودکار جاسازی شده اند و یا به صورت دستگاه های مستقل تزئین شده و با این بلوک ها تزئین شده اند. آنها در نظر گرفته شده برای حفاظت داخلی از عناصر ساختاری بودجه و سیستم های محاسبات تجهیزات: پایانه ها، پردازنده ها، تجهیزات جانبی، خطوط ارتباطی، و غیره
نرم افزار حفاظت برای انجام توابع حفاظت منطقی و هوشمند طراحی شده و در نرم افزار سیستم اطلاعات خودکار، و یا ترکیب ابزار، مجتمع ها و سیستم های کنترل گنجانده شده است.
نرم افزار امنیتی نرم افزار رایج ترین نوع حفاظت است، داشتن خواص مثبت زیر: قابلیت انعطاف پذیری، انعطاف پذیری، سادگی پیاده سازی، امکان تغییر و توسعه. این شرایط آنها را به طور همزمان و آسیب پذیر ترین عناصر حفاظت از سیستم اطلاعاتی شرکت می سازد.
حفاظت از نرم افزار سخت افزار - بدان معنی است که در آن نرم افزار (سیستم عامل) و قطعات سخت افزاری به طور کامل مرتبط و جدایی ناپذیر است.
ابزار رمزنگاری - ابزار حفاظت از طریق تبدیل اطلاعات (رمزگذاری).
بودجه های سازمانی - اقدامات سازمانی و فنی و قانونی برای تنظیم رفتار پرسنل.
صندوق های قانونی - اقدامات قانونی کشور که قوانین مربوط به استفاده، پردازش و انتقال اطلاعات دسترسی محدود را تنظیم می کنند و تعیین مسئولیت های مسئولیت را برای نقض این قوانین تعیین می کنند.
به عنوان مثال، معیارهای اخلاقی و اخلاقی - هنجارها، سنت ها در جامعه، به عنوان مثال: کد رفتار حرفه ای اعضای انجمن EMM کاربران در ایالات متحده.
1.2 روش ها و روش های امنیتی
برای اجرای اقدامات امنیتی، مکانیزم های رمزنگاری مختلف استفاده می شود. این روش ها مورد استفاده قرار می گیرند؟ در ابتدا، هنگام ارسال اطلاعات (متن، گفتار یا الگوی)، آنها محافظت نشده اند، یا به عنوان کارشناسان نامیده می شوند - باز است. داده های باز به راحتی می توانند کاربران دیگر را (عمدا یا پاکسازی) از بین ببرند. اگر هدف از پیشگیری از اطلاعات خاص به افراد شخص ثالث وجود داشته باشد، چنین اطلاعاتی رمزگذاری شده است. کاربر که برای این اطلاعات در نظر گرفته شده است، پس از آن با استفاده از تبدیل معکوس رمزنگاری، با استفاده از داده ها در فرم مورد نیاز خود، کنار آن قرار می گیرد.
رمزگذاری متقارن است (یک کلید مخفی برای رمزگذاری استفاده می شود) و نامتقارن (یک کلید عمومی برای رمزگذاری، و برای رمزگشایی استفاده می شود - دیگری، نه مرتبط نیست - I.E. هنگامی که یکی از آنها شناخته شده است، شما نمی توانید یکی دیگر را تعریف کنید).
مکانیسم های ایمنی هر دو هستند:
) مکانیسم امضای دیجیتال الکترونیکی بر اساس الگوریتم های رمزنگاری نامتقارن است و شامل دو روش است: تشکیل امضای فرستنده و شناسایی آن توسط گیرنده. امضا تشکیل فرستنده رمزگذاری بلوک داده یا افزودن آن به رمزنگاری، چکمه را فراهم می کند و در هر دو مورد از کلید مخفی فرستنده استفاده می شود. برای شناسایی، یک کلید عمومی استفاده می شود.
) مکانیزم های کنترل دسترسی، قدرت برنامه ها و کاربران را برای دسترسی به منابع شبکه بررسی کنید. هنگام دسترسی به یک منبع از طریق یک اتصال، کنترل هر دو در نقطه شروع و در نقاط متوسط، و همچنین در انتهای نقطه انجام می شود.
) مکانیسم های یکپارچگی داده ها به یک بلوک جداگانه و به جریان داده اعمال می شود. فرستنده مکمل بلوک منتقل شده از مقدار رمزنگاری، و دریافت کننده آن را با ارزش رمزنگاری مربوط به بلوک دریافت شده مقایسه می کند. گمشده به تحریف اطلاعات در بلوک نشان می دهد.
) مکانیسم های ترافیکی بر اساس تولید بلوک های AIS، رمزگذاری و سازمان انتقال بیش از کانال های شبکه. بنابراین، با امکان به دست آوردن اطلاعات با مشاهده، خنثی می شود ویژگی های خارجی موضوعات گردشگری کانال های ارتباطی
) مکانیزم های کنترل مسیریابی، انتخاب مسیرهای اطلاعاتی در مورد شبکه های ارتباطی را به گونه ای برای حذف انتقال اطلاعات مخفی در کانال های غیر قابل اعتماد از دست ندهید.
) مکانیسم های داوری تضمین تایید ویژگی های داده منتقل شده بین اشیاء، شخص ثالث را تضمین می کند. برای این، اطلاعات ارسال شده یا دریافت شده توسط اشیاء از طریق داور عبور می کند، که اجازه می دهد تا آن را پس از تایید ویژگی های ذکر شده.
معایب اصلی سیستم امنیتی اشیاء اقتصادی عبارتند از:
-درک باریک و غیر سیستماتیک از مشکل امنیتی جسم؛ -نادیده گرفتن پیشگیری از تهدیدات، کار بر اساس اصل "یک تهدید ظاهر شد - ما شروع به از بین بردن آن"؛ -بی کفایتی در اقتصاد امنیتی، ناتوانی در مقایسه با هزینه ها و نتایج؛ -"تکنوکراتیزم" دستورالعمل ها و متخصصان خدمات امنیتی، تفسیر تمام وظایف زبان منطقه آشنا. به عنوان یک خروجی در فصل اول، ما موارد زیر را تعریف می کنیم. پشتیبانی از سیستم های اطلاعاتی، اندازه گیری های خاصی است که از طریق آن سیستم اطلاعاتی از مداخله تصادفی یا عمدی در حالت های عملکرد آن محافظت می شود. برای اطمینان از ایمنی، دو رویکرد اصلی ارائه شده است: 1) قطعی، که در آن مقابله با تهدیدات خاص تحت شرایط خاص انجام می شود؛ و 2) سیستمیک، که در آن یک محیط پردازش محافظت شده، ذخیره، ذخیره و انتقال اطلاعات، ترکیب انواع روش ها و ابزار مقابله با تهدیدات است. برای حفاظت از اطلاعات، ابزار و مکانیزم های مختلف اعمال می شود. ما به ابزار: رمزگذاری، رکورد الکترونیکی دیجیتال، کنترل دسترسی، فرمول بندی ترافیک و غیره امنیت سیستم آنلاین بانکداری 2. ویژگی های تضمین امنیت اطلاعات شخصی در سیستم های آنلاین بانک 2.1. شرایط عمومی امنیت اطلاعات شخصی در سیستم های آنلاین بانک اطلاعات حفاظتی وضعیت امنیت اطلاعات و زیرساخت های پشتیبانی آن (رایانه، خطوط ارتباطی، سیستم های برق، و غیره) از اثرات تصادفی یا عمدی، تقلب به آسیب به صاحبان یا کاربران این اطلاعات است. همچنین، امنیت اطلاعاتی اعتبار، درک می کند: اطمینان از اطمینان از کامپیوتر؛ ایمنی اعتبار ارزشمند؛ حفاظت از اطلاعات شخصی از ایجاد تغییرات به افراد غیر مجاز؛ حفظ حساب های مستند شده در ارتباطات الکترونیکی. اشیاء امنیتی اطلاعات هستند منابع اطلاعاتیحاوی اطلاعاتی که به اطلاعات تجاری و محرمانه اختصاص داده شده است؛ و همچنین بودجه و سیستم های اطلاعاتی. صاحب منابع اطلاعاتی، سیستم های اطلاعاتی، فن آوری ها و ابزار ارائه آنها موضوعی است که مالک و استفاده از این اشیاء و اجرای اقتدار نظم در محدودیت های قانونی است. کاربر اطلاعات یک موضوع است که به سیستم اطلاعاتی یا واسطه ای برای به دست آوردن اطلاعاتی که نیاز دارید استفاده می کنید و از آن استفاده می کنید. منابع اطلاعاتی اسناد جداگانه و آرایه های فردی اسناد، اسناد و آرایه های اسناد در سیستم های اطلاعاتی هستند. تهدید امنیت اطلاعات در یک عمل بالقوه ممکن است، که از طریق تاثیر بر اجزای سیستم شخصی می تواند منجر به آسیب به صاحبان منابع اطلاعاتی یا کاربران سیستم شود. حالت قانونی منابع اطلاعاتی توسط استانداردهای تعیین می شود: روش برای ثبت اطلاعات؛ مالکیت اسناد فردی و آرایه های فردی اسناد، اسناد و آرایه های اسناد در سیستم های اطلاعاتی؛ دسته اطلاعات در مورد دسترسی به آن؛ روش حفاظت قانونی اطلاعات. اصل اساسی، هنگام اجرای یک تهدید اطلاعات در حسابداری، نقض شده است، اصل مستند سازی اطلاعات است. سند حسابداری دریافت شده از سیستم اطلاعاتی خودکار حسابداری پس از امضای آن توسط یک افسر به نحوی که توسط قانون فدراسیون روسیه تجویز می شود، به دست می آید. تمام بسیاری از تهدیدات بالقوه در ماهیت وقوع آنها را می توان به دو دسته تقسیم کرد: طبیعی (هدف) و مصنوعی. تهدیدات طبیعی ناشی از دلایل عینی به عنوان یک قاعده، مستقل از حسابدار است که منجر به تخریب کامل یا جزئی حسابداری همراه با اجزای آن می شود. این پدیده های طبیعی عبارتند از: زلزله، ضربات رعد و برق، آتش سوزی، و غیره تهدیدات مصنوعی با فعالیت های مردم مرتبط است. آنها را می توان به ناخواسته (ناخواسته)، ناشی از توانایی کارکنان تقسیم کرد تا هر گونه اشتباه را به دلیل عدم توجه، یا خستگی، حالت دردناک و غیره انجام دهد. به عنوان مثال، یک حسابدار هنگامی که وارد کردن اطلاعات به کامپیوتر می تواند کلید را فشار ندهد، اشتباهات ناخواسته در برنامه را فشار دهید تا ویروس را به صورت تصادفی رمزهای عبور را افشا کنید. تهدیدات عمدی (عمدی) با آرزوهای مزدور مردم - مزاحمان هایی که عمدا ایجاد اسناد غیر قابل اعتماد هستند، همراه است. تهدیدات ایمنی از لحاظ جهت آنها را می توان به گروه های زیر تقسیم کرد: تهدیدات نفوذ و خواندن داده ها از پایگاه داده های پایگاه داده و برنامه های کامپیوتری پردازش آنها؛ تهدید به ایمنی اعتبارات، منجر به تخریب آنها یا تغییر، از جمله جعل اسناد پرداخت (الزامات پرداخت، سفارشات، و غیره)؛ تهدیدات دسترسی به داده ها ناشی از زمانی که کاربر نمی تواند به اطلاعات حساب دسترسی داشته باشد؛ تهدید شکست در انجام عملیات، زمانی که یک کاربر پیام را به دیگری انتقال می دهد، و سپس داده های منتقل شده را تایید نمی کند. فرایندهای اطلاعات، فرآیندهای جمع آوری، پردازش، انباشت، ذخیره سازی، جستجو و انتشار اطلاعات هستند. سیستم اطلاعاتی مجموعه ای از دستورالعمل های سازمانی (آرایه های اسناد و فناوری های اطلاعاتی، از جمله استفاده از وجوه تجهیزات محاسبات و فرایندهای اطلاعات پیاده سازی ارتباطات) است. مستند سازی اطلاعات به نحوی تجویز شده توسط مقامات دولتی مسئول سازماندهی کار دفتر استاندارد سازی اسناد و آرایه های آنها، ایمنی فدراسیون روسیه انجام می شود. بسته به منبع تهدید، آنها را می توان به داخل و خارجی تقسیم کرد. منبع تهدیدات داخلی، فعالیت های کارکنان سازمان است. تهدیدات خارجی از خارج از کارکنان سازمان های دیگر، از هکرها و دیگر افراد آمده است. تهدیدات خارجی را می توان به تقسیم کرد: محلی، که نشان می دهد نفوذ نقض کننده به قلمرو سازمان و به دست آوردن آنها برای دسترسی کامپیوتر جداگانه یا شبکه محلی؛ تهدیدات از راه دور مشخصه سیستم های متصل به شبکه های جهانی (اینترنت، سیستم محاسبه بانکی بین المللی سریع، و غیره) است. چنین خطراتی اغلب در سیستم رخ می دهد پرداخت های الکترونیکی هنگام محاسبه تامین کنندگان با خریداران، در محاسبات شبکه اینترنتی استفاده کنید. منابع چنین حملات اطلاعاتی ممکن است هزاران کیلومتر باشد. و تاثیر نه تنها به کامپیوتر، بلکه اطلاعات حسابداری نیز در معرض قرار می گیرد. خطاهای عمدی و غیر عمدی در حسابداری، منجر به افزایش خطر حسابداری می شود، عبارتند از: خطاهای رکوردهای رکورد؛ کد های نادرست؛ حسابداری غیر مجاز؛ نقض محدودیت های آزمون؛ حساب های از دست رفته؛ خطاها در پردازش یا خروجی داده ها؛ خطاها هنگام تشکیل یا تنظیم کتاب های مرجع؛ حساب های ناقص؛ تخصیص نادرست سوابق در دوره ها؛ جعل داده ها؛ نقض الزامات اقدامات نظارتی؛ نقض اصول سیاست های شخصی؛ نگهداری کیفیت نیازهای خدمات کاربران. یک خطر ویژه اطلاعاتی است که اسرار تجاری را تشکیل می دهد و مربوط به اطلاعات شخصی و گزارشگری (داده ها در مورد شرکای، مشتریان، بانک ها، اطلاعات تحلیلی در بازار) است. به منظور این و اطلاعات مشابه که باید محافظت شود، لازم است قرارداد را با کارکنان حسابداری، خدمات مالی و سایر واحدهای اقتصادی با نشانه ای از فهرستی از اطلاعاتی که تحت تبلیغ قرار می گیرند، صادر کنیم. حفاظت از اطلاعات در سیستم های حسابداری خودکار بر اساس اصول اساسی زیر است. تضمین جداسازی فیزیکی مناطق مورد نظر برای پردازش اطلاعات مخفی و غیر انحصاری. ارائه حفاظت از اطلاعات رمزنگاری. اطمینان از احراز هویت مشترکین و تاسیسات مشترک. اطمینان از تعریف دسترسی به موضوعات و فرآیندهای آنها به اطلاعات. اطمینان از احراز هویت و یکپارچگی پیام های مستند زمانی که آنها از طریق کانال های ارتباطی منتقل می شوند. اطمینان از حفاظت از تجهیزات و ابزار فنی سیستم، مکان هایی که در آن قرار می گیرند، از نشت اطلاعات محرمانه در مورد کانال های فنی قرار می گیرند. تضمین حفاظت از مهندسی، تجهیزات، فنی و نرم افزار از نشت اطلاعات به دلیل بوک مارک های سخت افزاری و نرم افزار. اطمینان از کنترل یکپارچگی نرم افزار و بخش اطلاعات سیستم خودکار. به عنوان مکانیسم های حفاظت داخلی استفاده کنید منابع اطلاعاتی دولتی فدراسیون روسیه باز و عمومی هستند. استثنا اطلاعات مستند شده است که توسط قانون به رده دسترسی محدود مربوط می شود. اطلاعات مستند شده با دسترسی محدود تحت شرایط حالت قانونی آن به اطلاعات مربوط به اسرار دولتی و محرمانه تقسیم می شود. فهرستی از اطلاعات محرمانه، به ویژه اطلاعات مربوط به فعالیت های تجاری، توسط فرمان رئیس جمهور فدراسیون روسیه 6 مارس 1997 (ضمیمه شماره تحولات) تاسیس شد. ارائه اقدامات حفاظتی سازمان و رژیم. توصیه می شود از اقدامات امنیتی اضافی در سیستم استفاده کنید. سازمان حفاظت از اطلاعات در مورد شدت، مدت زمان و ترافیک ترافیک. برای انتقال و پردازش اطلاعات اطلاعات و روش های اطلاعاتی که دشوار است، استفاده کنید. حفاظت از اطلاعات از دسترسی غیر مجاز به منظور ایجاد سه ویژگی اصلی در اطلاعات محافظت شده است: محرمانه بودن (اطلاعات طبقه بندی شده فقط باید به کسی که در نظر گرفته شده، قابل دسترسی باشد)؛ یکپارچگی (اطلاعات بر اساس آن تصمیمات مهم انجام می شود باید قابل اعتماد، دقیق و کاملا محافظت از اعوجاج های ناخواسته و مخرب باشد)؛ آمادگی (اطلاعات و اطلاعات مربوط به اطلاعات مرتبط باید در دسترس باشد، آماده شدن برای احزاب علاقه مند همیشه زمانی که نیاز به نیاز دارند). روش های حصول اطمینان از حفاظت از اطلاعات شخصی عبارتند از: موانع؛ دسترسی، پنهان کردن، تنظیم، اجبار، باعث می شود. یک مانع باید به عنوان روش انسداد فیزیکی مسیر مهاجم به اطلاعات شخصی محافظت شود. این روش توسط پهنای باند سازمانی، از جمله حضور ورود به آن، انسداد مسیر غیر مجاز به بخش حسابداری، صندوقدار و غیره اجرا می شود. مدیریت دسترسی روش حفاظت از اطلاعات شخصی و گزارشگری است که توسط: احراز هویت - تنظیم صحت یک شی یا موضوع به شناسه ارسال شده به آنها (انجام شده توسط نقشه برداری شناسه وارد شده با کامپیوتر ذخیره شده در حافظه)؛ بررسی مجوز - تأیید انطباق منابع و عملیات درخواست شده بر روی منابع اختصاص داده شده و روش های مجاز؛ ثبت درخواست تجدید نظر به منابع محافظت شده؛ اطلاع رسانی و پاسخ در هنگام تلاش اقدامات غیر مجاز. (رمزنگاری یک راه برای محافظت از اطلاعات با تبدیل اطلاعات (رمزگذاری) است). در بهترین مجموعه 4، تعریف دسترسی به اطلاعات در سطح زیر سیستم های فردی صورت می گیرد و با مشخص کردن کلمه عبور جداگانه دسترسی ارائه می شود. برای راه اندازی اولیه یا در هر زمان، مدیر سیستم می تواند یک یا چند کلمه عبور را مشخص یا تغییر دهد. رمز عبور در هر ورودی به زیرسیستم درخواست می شود. علاوه بر این، برخی از ماژول ها سیستم خود را به تعریف دسترسی به اطلاعات ارائه می دهند. این توانایی حفاظت از کلمات عبور ویژه هر آیتم منو را فراهم می کند. گذرواژهها همچنین می توانند با دسترسی به زیر مجموعه های فردی اسناد اولیه محافظت شوند: بنابراین، در AWP "حسابداری سهام موجود در سهام" و "حسابداری کالاها و محصولات" فرصتی برای مشخص کردن گذرواژههای دسترسی به هر انبار به طور جداگانه در AWP وجود دارد "حسابداری برای عملیات نقدی" - کلمه عبور دسترسی به هر گیاه، در AWP "حسابداری با حسابداری بانک" - کلمه عبور دسترسی به هر حساب بانکی. لازم به ذکر است که، به منظور به طور موثر تشخیص دسترسی به اطلاعات، لازم است محافظت از کلمات عبور خود را در دسترسی به یک یا چند بلوک خود را. در 1C.Perman، نسخه 7.7 دفاع از اطلاعات خود را - حقوق دسترسی وجود دارد. با هدف ادغام و تقسیم دسترسی کاربر به اطلاعات هنگام کار با سیستم 1C. کامپیوترهای شخصیپیکربندی سیستم اجازه می دهد تا شما را به تنظیم حق کار با اطلاعات پردازش شده توسط سیستم برای هر کاربر. حقوق می تواند در محدوده نسبتا گسترده ای مشخص شود - از امکان مشاهده انواع خاصی از اسناد به مجموعه کامل حقوق در ورود، مشاهده، تنظیم و حذف هر نوع داده. تخصیص به کاربر از حقوق دسترسی در 2 مرحله انجام می شود. در مرحله اول، مجموعه های معمول اطلاعات در مورد کار با اطلاعات، متفاوت، به عنوان یک قاعده، گستردگی قابلیت های دسترسی موجود ایجاد می شود. در مرحله دوم، کاربر با یکی از این مجموعه های معمول حقوق قرار می گیرد. تمام کار بر روی ایجاد مجموعه های معمولی از حقوق بر روی برگه "راست" پنجره پیکربندی ساخته شده است. این پنجره با انتخاب آیتم "باز کردن پیکربندی" از منوی پیکربندی منوی اصلی، به صفحه نمایش داده می شود. 2.2 مجموعه ای از اقدامات برای اطمینان از امنیت اطلاعات شخصی در سیستم های بانکی آنلاین منطق برای ایمنی فعالیت های ایمنی PD با توجه به نتایج ارزیابی خطر تهدیدات و شناسایی CMD بر مبنای "فعالیت های اساسی سازمان و پشتیبانی فنی از اطلاعات شخصی پردازش شده در سیستم های اطلاعاتی شخصی" صورت گرفته است. در همان زمان، اقدامات باید شناسایی شود: شناسایی و بسته شدن کانال های فنی نشت PDN ها به ساکنان؛ حفاظت از PD از دسترسی غیر مجاز و اقدامات غیرقانونی؛ نصب، پیکربندی و کاربرد تجهیزات حفاظتی. رویدادهای شناسایی و بسته شدن کانال های فنی نشت PDN ها در PDN ها بر اساس تجزیه و تحلیل و ارزیابی تهدیدات ایمنی PDN ها صورت می گیرد. فعالیت های حفاظت از PDS هنگام پردازش آنها در CPTN از دسترسی غیر مجاز و اقدامات غیرقانونی عبارتند از: کنترل دسترسی؛ ثبت نام و حسابداری؛ اطمینان از یکپارچگی؛ نظارت بر عدم وجود قابلیت های غیرقانونی؛ حفاظت از آنتی ویروس؛ اطمینان از تعاملات بین ایمن بینابینی CDN؛ تجزیه و تحلیل امنیتی؛ نفوذ تشخیص زیرسیستم مدیریت دسترسی، ثبت نام و حسابداری توصیه می شود بر اساس نرم افزار برای جلوگیری از اقدامات غیر مجاز، هشدارها و ثبت نام، اجرا شود. اینها ویژه هستند، که در هسته هر نرم افزار سیستم عامل و نرم افزار و حفاظت از سخت افزاری سیستم عامل ها، پایگاه های الکترونیکی PDNS و برنامه های کاربردی برنامه کاربردی نیستند. آنها عملکردهای حفاظتی را به تنهایی یا در یک مجتمع با سایر وسایل حفاظتی انجام می دهند و به استثنایی یا مشکل انجام کاربران خطرناک کاربر یا مزاحم هدایت می شوند. این شامل خدمات ویژه و سیستم های حفاظتی نرم افزاری است که در آن عملکرد تشخیص، ثبت، تخریب، هشدار و تقلید اجرا می شود. ابزار تشخیصی آزمایش سیستم فایل و پایگاه های PDN، مجموعه دائمی اطلاعات مربوط به عملکرد عناصر زیر سیستم امنیتی امنیتی را انجام می دهد. به معنای تخریب به منظور تخریب داده های باقی مانده در نظر گرفته شده است و ممکن است برای تخریب اضطراری داده ها در صورت تهدید یک NSD ارائه شود که نمی تواند توسط سیستم مسدود شود. به معنای زنگ زدن به منظور جلوگیری از اپراتورها، زمانی که آنها به خود محافظت می کنند و برای جلوگیری از مدیر، زمانی که واقعیت NSD به PDN ها و سایر حقایق نقض حالت استاندارد عملکرد استاندارد CDN شناسایی می شود، طراحی شده است. رسانه های تقلبی شبیه سازی کار با متخلفان زمانی که NSD تلاش می کند تا PDN ها یا نرم افزار محافظت شده شناسایی شود. تقلید به شما امکان می دهد زمان را برای تعیین مکان و شخصیت NSD افزایش دهید، که به ویژه در شبکه های توزیع شده جغرافیایی بسیار مهم است و از نقض کننده در مورد محل PDN های محافظت شده استفاده می کند. زیرسیستم تضمین یکپارچگی عمدتا توسط سیستم عامل ها و سیستم های مدیریت پایگاه داده اجرا می شود. به معنای افزایش قابلیت اطمینان و اطمینان از یکپارچگی داده های منتقل شده و قابلیت اطمینان معاملات که در سیستم عامل ها ساخته شده است و سیستم های مدیریت پایگاه داده بر اساس محاسبه است مبالغ کنترل، اطلاع از شکست بسته پیام، تکرار بسته غیر دریافت شده. زیرسیستم برای عدم وجود قابلیت های غیرقانونی در اغلب موارد بر اساس سیستم های مدیریت پایگاه داده، ابزار حفاظت از اطلاعات، ابزار حفاظت از اطلاعات ضد ویروس، اجرا می شود. برای اطمینان از ایمنی PDNS و محیط نرم افزار و سخت افزار، پردازش این اطلاعات توصیه می شود که ابزار حفاظت از ضد ویروس خاصی را انجام دهید: تشخیص و (یا) مسدود کردن تأثیرات ویروسی مخرب بر روی نرم افزار سیستم گسترده و کاربردی که پردازش PD را اجرا می کند، و همچنین PDN؛ تشخیص و حذف ویروس های ناشناخته؛ ارائه خود کنترل (پیشگیری از عفونت) این آنتی ویروس زمانی که آن را شروع می شود. هنگام انتخاب ابزارهای حفاظت از ضد ویروس، توصیه می شود عوامل زیر را در نظر بگیرید: سازگاری این وجوه با نرم افزار معمولی CDN؛ درجه کاهش عملکرد عملکرد هدف اصلی مورد نظر؛ حضور کنترل های متمرکز به عملکرد ابزار حفاظت از ضد ویروس از محل کار مدیریت امنیت اطلاعات در CETS؛ توانایی به سرعت به سرپرست امنیت اطلاعات به خانه های تمام حوادث و حقایق تظاهرات نرم افزاری و اثرات ریاضی (PMW) هشدار می دهد؛ در دسترس بودن اسناد عملیاتی دقیق برای حفاظت از ضد ویروس؛ توانایی انجام آزمایش های دوره ای یا استفاده از خود تست ضد ویروس؛ توانایی ساخت ترکیب حفاظت در برابر PMW جدید ابزارهای اضافی بدون محدودیت های قابل توجهی در سلامت شأن و "درگیری" با سایر انواع حفاظت. شرح سفارش نصب، تنظیمات، پیکربندی و تجویز ابزار حفاظت از ضد ویروس، و همچنین روش تشخیص واقعیت حمله ویروسی یا سایر نقض الزامات حفاظت از نرم افزار و تاثیرات ریاضی باید در مدیریت مدیر امنیت اطلاعات در طراحی گنجانده شود. برای پیاده سازی خلع سلاح دسترسی به منابع داخلی، فایروال ها برای تعامل Interventowstal استفاده می شود که توسط فایروال های نرم افزاری و سخت افزاری (ME) اجرا می شود. فایروال بین شبکه حفاظت شده، به نام داخلی و شبکه خارجی نصب شده است. فایروال بخشی از شبکه محافظت شده است. برای آن، توسط تنظیمات، قوانین محدود کردن دسترسی از شبکه داخلی در خارج از کشور. برای اطمینان از تعامل مداوم ایمن در PM و 4 کلاس، توصیه می شود از من کمتر از سطح پنجم حفاظت استفاده کنید. برای اطمینان از فایروال امن در کلاس کلاس 2، توصیه می شود از من کمتر از سطح چهارم حفاظت استفاده کنید. برای اطمینان از تعامل مداخله ایمن در کلاس 1، توصیه می شود از من کمتر از سطح سوم امنیت استفاده کنید. زیرسیستم تجزیه و تحلیل امنیتی بر اساس استفاده از ابزار تست (تجزیه و تحلیل امنیتی) و نظارت بر امنیت اطلاعات اجرا می شود. ابزار تجزیه و تحلیل حفاظت برای نظارت بر تنظیمات سیستم عامل در ایستگاه های کاری و سرورها اعمال می شود و به شما امکان می دهد تا امکان انجام حملات را به تجهیزات شبکه، کنترل امنیت نرم افزار را ارزیابی کنید. برای انجام این کار، آنها توپولوژی شبکه را کشف می کنند، به دنبال محافظت نشده یا غیر مجاز هستند اتصالات شبکهتنظیمات فایروال را بررسی کنید. چنین تجزیه و تحلیل بر اساس شرح مفصلی از آسیب پذیری های تنظیمات دفاع (به عنوان مثال، سوئیچ ها، روترها، فایروال ها) یا آسیب پذیری های سیستم عامل یا نرم افزار کاربردی صورت می گیرد. نتیجه یک ابزار تجزیه و تحلیل امنیتی یک گزارش است که در آن اطلاعات مربوط به آسیب پذیری های شناسایی شده خلاصه شده است. ابزار تشخیص آسیب پذیری می تواند بر روی سطح شبکه عمل کند (در این مورد آنها "مبتنی بر شبکه")، سطح سیستم عامل ("میزبان مبتنی بر") و سطح برنامه ("مبتنی بر برنامه") است. با استفاده از نرم افزار اسکن، شما می توانید به سرعت نقشه ای از کلیه های موجود را ایجاد کنید، خدمات مورد استفاده در هر یک از آنها و پروتکل ها را شناسایی کنید تا تنظیمات اولیه خود را تعیین کنید و فرضیه هایی را درباره احتمال اجرای NSD انجام دهید. با توجه به نتایج اسکن سیستم، توصیه ها و اقدامات برای از بین بردن معایب شناسایی شده تولید می شود. به منظور شناسایی تهدیدات NSDS، سیستم های تشخیص نفوذ از طریق Firerewalk استفاده می شود. چنین سیستم هایی بر اساس ویژگی های پیاده سازی حملات، مراحل توسعه آنها است و بر اساس تعدادی از روش های تشخیص حملات است. تخصیص سه گروه از روش های تشخیص حمله: امضاء؛ روش ها برای شناسایی ناهنجاری ها؛ روش های ترکیبی (با استفاده از الگوریتم های مشترک تعریف شده در روش های امضا و روش های شناسایی ناهنجاری ها). برای تشخیص نفوذ به PM و 4 کلاس، توصیه می شود از سیستم های تشخیص حمله شبکه با استفاده از روش های تجزیه و تحلیل امضا استفاده کنید. برای تشخیص نفوذ به کلاسهای کد 1 و 2، توصیه می شود از سیستم های تشخیص حمله شبکه استفاده کنید و با استفاده از روش های امضا تجزیه و تحلیل روش ها برای شناسایی ناهنجاری ها استفاده کنید. برای محافظت از PDN ها از نشت در کانال های فنی، اقدامات سازمانی و فنی برای از بین بردن نشت آکوستیک (سخنرانی)، اطلاعات گونه ها، و همچنین نشت اطلاعات به علت انتشار الکترومغناطیسی جانبی و نشت اطلاعات مورد استفاده قرار می گیرد. به عنوان یک نتیجه گیری، در فصل دوم کار، ما نتیجه گیری های زیر را انجام می دهیم. حفاظت از اطلاعات شخصی وضعیت امنیت اطلاعات و زیرساخت پشتیبانی از آن از تاثیرات تصادفی یا عمدی طبیعت طبیعی یا مصنوعی، تقلب به صاحبان یا کاربران این اطلاعات است. اشیاء امنیتی اطلاعات در حسابداری شناسایی می شوند: منابع اطلاعاتی حاوی اطلاعات مربوط به تجارت و ابزار و سیستم های اطلاعاتی. روش های اصلی استفاده شده به عنوان بخشی از حفاظت از اطلاعات عبارتند از: تشخیص و به طور مستقیم حفاظت. نتیجه مشکل امنیت اطلاعات اشیاء اقتصادی چند بعدی و نیاز به توسعه بیشتر دارد. در دنیای مدرن، اطلاع رسانی به یک منبع ملی استراتژیک تبدیل می شود، یکی از ثروت اصلی یک دولت توسعه اقتصادی اقتصادی. بهبود سریع اطلاعات در روسیه، نفوذ آن به تمام مناطق منافع حیاتی فرد، جامعه و ایالت ها علاوه بر مزایای بدون شک و ظهور تعدادی از مشکلات مهم، به همراه داشت. یکی از آنها نیاز به اطلاعات بود. با توجه به این که در حال حاضر، پتانسیل اقتصادی به طور فزاینده ای با سطح توسعه زیرساخت های اطلاعات تعیین می شود، آسیب پذیری بالقوه اقتصاد در رابطه با اثرات اطلاعاتی نسبتا افزایش می یابد. پیاده سازی تهدیدات امنیتی اطلاعات این است که محرمانه بودن، یکپارچگی و دسترسی به اطلاعات را نقض کند. از موقعیت رویکرد سیستم برای محافظت از اطلاعات، لازم است از کل زرادخانه استفاده از ابزار حفاظت موجود در همه استفاده شود عناصر ساختاری هدف اقتصادی و در تمام مراحل چرخه تکنولوژیکی پردازش اطلاعات. روش ها و تجهیزات حفاظتی باید به طور قابل اعتماد از راه های احتمالی دسترسی غیرقانونی به اسرار امن استفاده کنند. اثربخشی امنیت اطلاعات به این معنی است که هزینه های ورزشی آن نباید زیان های بیشتری از فروش باشد تهدیدات اطلاعات. برنامه ریزی اطلاعات با توسعه هر اطلاعات از برنامه های حفاظت از اطلاعات دقیق انجام می شود. وضوح لازم برای اجرای قدرت و حقوق کاربران برای دسترسی به انواع خاصی از اطلاعات، در حصول اطمینان از کنترل وسایل حفاظت و پاسخ فوری به شکست آنها ضروری است. کتابشناسی - فهرست کتب 1.فناوری اطلاعات خودکار در بانکداری / اد. پروفسور GA. Titoroneko. - متر: Finstatinform، 2007 2.فناوری اطلاعات خودکار در اقتصاد / اد. پروفسور GA. Titoroneko. - متر: Uniti، 2010 .Ageev A. S. سازمان و روش های مدرن حفاظت از اطلاعات. - M: نگرانی "بانک، مرکز کسب و کار"، 2009 .Adzhiev، V. اسطوره در نرم افزار ایمنی: درس های فاجعه معروف. - سیستم های باز، 199. №6 .Alekseev، V.I. امنیت اطلاعات شهرداری ها. - Voronezh: انتشارات خانه VSTU، 2008. .Alekseev، v.m. معیارهای بین المللی برای ارزیابی ایمنی فن آوری های اطلاعاتی و آنها استفاده عملی: مطالعات. آدرس. - Penza: Publi Penz. دولت UN-TA، 2002 .Alekseev، v.m. مقررات نظارتی حفاظت از اطلاعات از دسترسی غیر مجاز. - Penza: Publi Penz. دولت UN-TA، 2007 .Alekseev، v.m. اطمینان از امنیت اطلاعات در هنگام توسعه نرم افزار. - Penza: Publi Penz. دولت دانشگاه، 2008 .آلاشین، L.I. حفاظت از اطلاعات و امنیت اطلاعات: دوره سخنرانی L. I. Aleshin؛ Mosk دولت دانشگاه فرهنگ. - m: mosk. دولت دانشگاه فرهنگ، 2010 .Ahramenka، N.F. و دیگران. جرم و مجازات در سیستم پرداخت با اسناد الکترونیکی // مدیریت اطلاعات دفاع، 1998 .بانک ها و عملیات بانکی. Tutorial / ed. e.f. Zhukov. - متر: بانک ها و تبادل، وحدت، 2008 .Barsukov، V.S. امنیت: فناوری، بودجه، خدمات. - m: kudice - image، 2007 .Baturin، yu.m. مشکلات قانون کامپیوتر. - متر: من. روشنایی، 1991 .Baturin، yu.m. جرم کامپیوتر I. امنیت رایانه. m: юр.Lit، 2009 .Bezrukov، N.N. مقدمه ای بر ویروس شناسی کامپیوتری. اصول کلی عملیات، طبقه بندی و کاتالوگ رایج ترین ویروس ها در M5-005. K.، 2005. .Bykov، v.A. تجارت الکترونیک و امنیت / V. A. Bykov. - متر: رادیو و ارتباطات، 2000 .VARFOLOMEYEV، A.A. امنیت اطلاعات. پایه های ریاضی رمزنگاری. قسمت 1. - m: m: m.: mafi، 1995 .vekhov، vb جنایات کامپیوتر: راه های ارتکاب و افشای. - متر: حقوق و قانون، 1996 .Volobuev، S.V. مقدمه ای بر امنیت اطلاعات - Obninsk: Onn. in-t atom.energetics، 2001 .Volobuev، S.V. امنیت اطلاعات سیستم های خودکار. - Obninsk: Onn. in-t atom.energetics، 2001 .کنفرانس علمی و عملی همه روسیه "امنیت اطلاعات در سیستم دبیرستان"، 28-29 نوامبر 2000، NSTU، Novosibirsk، روسیه: IBVS 2000. - Novosibirsk، 2001 23.Galatenko، v.A. امنیت اطلاعات: رویکرد عملی V. Galatenko؛ اد. V. B. Bethelin؛ ROS ACAD. علم، تحقیقات علمی. سیستم های IN-T. پژوهش - متر: علم، 1998 .Galatenko، V.A. اصول امنیت اطلاعات: دوره سخنرانی ها. - متر: دانشگاه اینترنتی اطلاع دهید فن آوری ها، 2003. .Gennadiev، به عنوان مثال مبانی نظری اطلاع رسانی و امنیت اطلاعات. - متر: رادیو و ارتباطات، 2000 .Gick، Sebastiannar. پنهان کردن اطلاعات در فایل های گرافیکی از فرمت VMR DIS. ... CAND تله علوم: 05.13.19 - اسپا.، 2001 .جیک، S.N. برگزاری اطلاعات در فایل های گرافیکی فرمت NMR فرمت: نویسنده. dis ... CAND تله علوم: 05.13.19 S.-Petersburg. دولت در داخل مکانیک و اپتیک. - SPB، 2001 .Golubev، V.V. مدیریت امنیت - سنت پترزبورگ: پیتر، 2004 .Gorbatov، V.S. امنیت اطلاعات. مبانی حفاظت قانونی - m: m.: مافی (تو)، 1995 .Gorlova، I.I.، اد. آزادی اطلاعات و امنیت اطلاعات: مواد کارآموز. علمی Conf.، Krasnodar، 30-31 اکتبر 2001 - Krasnodar، 2001 .Greensburg، A.S. و دیگران حفاظت از منابع اطلاعات مدیریت عمومی. - m: uniti، 2003 .امنیت اطلاعات روسیه در زمینه جامعه اطلاعات جهانی "Infoforum-5": SAT. مواد 5th allot. Conf.، مسکو، 4-5 فوریه 2003 - M: LLC ED. مجله کسب و کار و ایمنی روسیه، 2003 .امنیت اطلاعات: شنبه روش. مواد M-in آموزش Ros. فدراسیون [و همکاران] - m: tsniaatominform، 2003 34.فن آوری اطلاعات / / اقتصاد و زندگی. №25، 2001. 35.فن آوری اطلاعات در بازاریابی: کتاب های درسی برای دانشگاه ها. - متر: 2003 .فناوری اطلاعات در اقتصاد و مدیریت: کتاب های درسی / Kozyrev A.A.- m.: انتشارات خانه Mikhailova V.A.، 2005 .Lopatin، V.N. امنیت اطلاعات روسیه دات. ... دکتر جریید. علوم: 12.00.01 .لوکاشین، v.I. امنیت اطلاعات. - m: mosk. دولت دانشگاه اقتصاد، آمار و اطلاع رسانی .Lucin، I.N.، Zheldakov A.A.، Kuznetsov N.A. برجسته حفاظت از رمز عبور // اطلاع رسانی سیستم های اجرای قانون. M.، 1996. .مک کلا، استوارت. هک کردن در وب حملات و حفاظت Stuart McClar، Saumil Shah، Sriray Shah. - m: ویلیامز، 2003 .Malyuk، A.A. مبانی نظری رسمی رسمیت تخمین پیش بینی میزان امنیت اطلاعات در سیستم های پردازش داده ها. - m: Mafi، 1998pb.، 2000 .بازده اقتصادی سیستم های امنیتی اطلاعات. Chebotar P.P. - آکادمی اقتصادی مولداوی، 2003 .Yakovlev، V.V. امنیت اطلاعات و حفاظت از اطلاعات در شبکه های حمل و نقل راه آهن شرکت. - M.، 2002 .Yarochkin، V.I. امنیت اطلاعات. - m: mir، 2003 .Yarochkin، V.I. امنیت اطلاعات. - M: بنیاد "Mir"، 2003: Acad. طرح .یاسنف، v.N. سیستم های اطلاعاتی خودکار در اقتصاد و اطمینان از ایمنی آنها: آموزش. - n.novgorod، 2002مشابه کار بر روی - حفاظت از اطلاعات شخصی در سیستم های آنلاین بانکداری
جاربین ماتیف، رئیس حفاظت از اطلاعات شخصی در بخش تجاری شرکتreignvox
کار دائمی با آرایه های بزرگ داده های مشتری نیاز به یک بانک از هر فرمت کار دائمی در زمینه این داده ها دارد.
به همین دلیل موضوع امنیت اطلاعات و با آن و موضوع اعتماد، به ویژه در بخش مالی مرتبط است. علاوه بر این، الزام برای محافظت از هر گونه اطلاعات شخصی که در ساختار سیستم اطلاعاتی شرکت مالی مدرن است، و قانونی توجیه شده است - قانون فدرال شماره 152 "در اطلاعات شخصی" به طور کامل به وضوح هر شرکت پردازش این داده ها را مجبور می کند تا از آنها محافظت کند یک دوره دقیق تعریف شده. هر دو سیستم اطلاعات جدید و موجود، پردازش اطلاعات شخصی، باید با الزامات قانون تا 1 ژانویه 2011 خلاصه شود. با توجه به چنین چارچوب موقت به طور دقیق تعیین شده، سازمان های پردازش چنین اطلاعاتی زمان کمتری برای برآورده ساختن الزامات قانون را دارند.
چه باید شروع به محافظت از اطلاعات شخصی شود؟ محدودیت زمانی برای شمارش چیست؟ چه کسی کار را آموزش می دهد؟ هزینه های متوسط \u200b\u200bپروژه و چگونگی به حداقل رساندن هزینه ها چیست؟ همه این سوالات امروز برای هر کسب و کار شرکت در بخش مالی مربوط می شود. پاسخ متخصص به آنها اجازه می دهد تا تجربه گسترده ای در ReignVox در زمینه حفاظت از اطلاعات شخصی در ساختارهای مالی ارائه دهد.
زندگی در حالت شمارش معکوس
قانون فدرال شماره 152 "در اطلاعات شخصی" وارد نیروی کامل از 1 ژانویه 2011 می شود - بیش از شش ماه پیش از دوره مشخص شده توسط قانونگذاران. اما شما نباید به یک تصور فریبنده از بیش از حد زمان بپردازید.
اولا، معرفی یک پروژه با هدف انجام الزامات حفاظت از اطلاعات شخصی نیاز به چهار تا شش ماه بسته به پیچیدگی آن دارد. اما این رقم نهایی نیست - تاریخ ممکن است به شش تا هشت ماه افزایش یابد با توجه به دوره ای که بانک انتخاب یکپارچگی مناسب برای توسعه و نگهداری پروژه را صرف می کند. انجام این نوع کار بر نیروهای خود، از دست دادن یک بانک از دست دادن یک بانک در مرحله نظرسنجی ها و تجزیه و تحلیل هایی که در آن به معنای حفاظت وجود دارد، و همچنین نیاز به پیدا کردن منابع کار فردی برای این کار وجود دارد. در این مورد، باید در مورد عوامل این عوامل به عنوان حضور متخصصان آماده شده در مورد حفاظت از داده های شخصی، مقدار لازم از حمایت های نظارتی و روش شناختی، منابع آزاد تحت وظیفه حفاظت از داده های شخصی، به یاد داشته باشید. تمرین نشان می دهد که معمولا یکپارچگی شخص ثالث است که معمولا تمام این الزامات را در این مجموعه مطابقت می دهند.
در مرحله دوم، بازگشت به موضوع مهلت تعیین شده توسط قانون "در اطلاعات شخصی" قبل از اپراتورهای داده (و آن بانک ها فقط چنین اپراتورها هستند، این سوال دیگر ارزش آن را در اصل ارزش ندارد)، مهم نیست که آنها در مورد آنها صحبت می کنند " انتقال "اولین بررسی از تنظیم کننده ها در حال حاضر محل اقامت داشته باشد. نتیجه گیری - کاملا منطقی است: ارتباط این مشکل فقط حفظ نشده است، افزایش یافته است، و تصمیم آن یک نیاز فوری است.
"و لارچچیک فقط باز کرد ..."
بحث های فعال در اطراف وظیفه به ارمغان آوردن شخص با مقررات قانون "بر روی داده های شخصی" وجود دارد که عمدتا فعال است، کل عمدتا به یکی کاهش می یابد: راه حل این مشکل بسیار مشکل است به دلیل کلی بودن ویژگی های سازمانی و حقوقی آن. چنین نتیجه ای کاملا وفادار نیست: تمرین استفاده از الزامات حفاظت از داده های شخصی، که در سه ماهه اول سال 2010 (از جمله در بخش بانکی) ظاهر شد، درک پذیری و تفسیر الزامات CDN را تایید می کند. فرمول بندی، پیاده سازی و تأیید مستند سازی آنها با حداقل خطر هر گونه خطا در اجرای آن بسیار مشکل نیست، چقدر از نظر امنیت کسب و کار بانکی مهم است. حتی بیشتر وظیفه عبور از آن را به یکپارچگر شخص ثالث، که متخصصان آن عمدتا و حرفه ای پروژه را برای محافظت از اطلاعات شخصی، با توجه به ویژگی های فردی کسب و کار بانکی انجام می دهند، ساده تر می شود.
بنابراین، اولویت اول انتخاب یک شرکت یکپارچه است که تصمیم خواهد گرفت که مدیریت پروژه را تأیید کند.
"معمول" \u003d "منحصر به فرد"؟
چنین نشانه ای از برابری بین داده ها مفاهیم منحصر به فرد منحصر به فرد حق وجود دارد. این بیانیه توسط تجربه عملی پروژه های محافظت شده با اطلاعات شخصی که قبلا توسط ReignVox تکمیل شده پشتیبانی می شود.
از یک طرف، هر یک از این پروژه ها شامل تعداد استانداردهای استاندارد است: مرحله ای از سیستم های اطلاعاتی شخصی، یک مرحله سیستم حفاظت از اطلاعات شخصی، ایستگاه پیاده سازی STISPDN، مرحله ارزیابی مکاتبات، الزامات گواهی گواهی و مرحله حمایت از سیستم ایجاد شده. علاوه بر این، ارزیابی انطباق کد، به عنوان مرحله، اختیاری است و به صورت اختیاری از شرکت مشتری انجام می شود. و همچنین مرحله پشتیبانی از سیستم ایجاد شده.
Typich معمولا در مرحله اول به پایان می رسد (مرحله بازرسی سیستم های اطلاعاتی)، از آنجا که این امر به شما اجازه می دهد تا آن را شناسایی و توصیف کنید الزامات که بیشتر به سیستم ها ارسال می شود. و این پارامترها در حال حاضر فردی هستند و بر هر مشتری خاص متمرکز هستند، بهینه سازی شده با توجه به نیازهای آن.
در این بررسی، منابع اطلاعاتی مورد تجزیه و تحلیل قرار گرفته اند راه حل های معمولقابل اجرا به ساخت زیرساخت فناوری اطلاعات، جریان داده های شخصی، سیستم های موجود و ابزارهای امنیتی اطلاعات.
در همان مرحله، یک مدل تهدیدها و یک تخلف از ایمنی PD در حال توسعه است، نیاز به اطمینان از ایمنی PDN ها در PDA با استفاده از Cryptocutiones تخمین زده می شود.
طرح کلاسیک برای برگزاری مرحله دوم شامل حسابرسی چارچوب نظارتی و ارزیابی انطباق آن با الزامات تنظیم کننده ها است. نتیجه آن توسعه اسناد داخلی گم شده، و همچنین توسعه یک تخصیص فنی برای توسعه SPSPDN می شود. در همان مرحله، یکپارچگی به توسعه مستقیم مجموعه ای از اقدامات حفاظت از اطلاعات ادامه می دهد.
در پایان این مرحله، بانک در حال حاضر کاملا قادر به موفقیت بررسی بررسی یکی از تنظیم کننده ها است.
ماهیت مرحله سوم به پیاده سازی سیستم ها و پیکربندی تجهیزات حفاظتی موجود کاهش می یابد. پس از آزمایش، در صورت لزوم، پالایش مجموعه فنی و نرم افزار.
در هر یک از مراحل شرح داده شده قبل از شرکت ReignVox، همانطور که قبل از انتگرال، وظایف مختلفی مختلفی وجود دارد، به دلیل ویژگی های کسب و کار، که توسط شرکت مشتری با اندازه، زیرساخت، فرآیندهای کسب و کار و بسیاری از نقاط دیگر انجام می شود، انجام می شود. و از بسیاری از این اجزا در هر زمان یک مفهوم جدید و جداگانه سازگار از یک پروژه برای محافظت از اطلاعات شخصی وجود دارد.
"... و گوسفند دست نخورده"
به حداقل رساندن هزینه ها، بهینه سازی بودجه، پس انداز - کدام عبارت نه انتخاب نمی شود، جوهر باقی خواهد ماند یکی - یک رویکرد منطقی به استفاده از منابع نقدی - این است که او دوم اصلی از موفقیت ساختار مالی (پس از اعتماد، البته). بنابراین، تمایل به کاهش هزینه ها به ضرر امنیت اطلاعات طبیعی و کاملا قابل دستیابی است.
هزینه میانگین پروژه معمولی برای ایجاد یک سیستم حفاظت از اطلاعات شخصی برای ساختار بانکی حدود 1.5 میلیون روبل است. هنگام محاسبه این مقدار، تعدادی از اصول به حساب می آیند، پس از آن، بودجه را برای ایجاد یک سیستم حفاظت از اطلاعات شخصی کاهش می دهد.
اول از همه، ما تلاش می کنیم که زیرساخت های موجود در آن را در سازمان حفظ کنیم. به طور معمول در مورد دو سناریو قطبی حفاظت از PDN ها صحبت می کنند. اولین تغییر ریشه همه کوین ها است، و دوم رسمی است که تنها در انتشار اسناد نظارتی داخلی، بدون هیچ گونه تغییری در PM تشکیل شده است. ما گزینه سوم مطلوب را دقیقا در حفظ زیرساخت های فعلی فناوری اطلاعات بانک، همراه با اصلاح برخی از عناصر آن، در نظر می گیریم، اضافه کردن جدید لازم برای اطمینان از انطباق با قانون.
در این مورد، ما در مورد اصل اول بر اساس صحبت می کنیم حداکثر استفاده از ابزارهای امنیتی اطلاعات موجود هنگام طراحی سیستم های حفاظت از اطلاعات. بودجه های دفاعی در هر شرکت صرف نظر از نیاز به حفاظت از داده های شخصی، این سیستم های حفاظت از ضد ویروس هستند، و ابزار داخلی برای کنترل دسترسی سیستم عامل و صفحه نمایش های آتش نشانی و بسیاری از ابزارهای دیگر. بنابراین، حداکثر تعداد الزامات توسط ابزارهای امنیتی موجود بسته شده است. و فقط اگر برخی از الزامات با استفاده از ابزار فعلی حفاظت راضی نباشند، لازم است که خرید و پیاده سازی اضافی را انجام دهیم.
اصل دوم اصل است ساختار منطقی اقتصادی سیستم های اطلاعاتی اطلاعات شخصی. به دنبال این اصل، به عنوان بخشی از معرفی یک پروژه برای محافظت از اطلاعات شخصی در یک بانک، اتحادیه چندین سیستم در یک اتاق از لحاظ اقتصادی به صورت اقتصادی توجیه می شود، در ترکیب با کاهش سطح بخش های غیر بحرانی. بنابراین، مرکز "مرکز داده" ایجاد می شود، حفاظت که در آن توسط محیط تضمین شده است. این به شما اجازه می دهد تا به طور عمده هزینه های جداسازی جریان را در سیستم های مختلف به حداقل برسانید.
اصل سوم - دفاع از تهدیدات مربوطه. در عین حال، تحقق تهدیدات در اجباری برای سیستم های ویژه یک سند به نام "مدل تهدید" توصیف شده است. پس از تحقق تهدیدات، کسانی که از آنها رد می شوند، احتمال آن کم است و آسیب در طی پیاده سازی کوچک است.
با توجه به استفاده از تکنیک های در حال حاضر صرف شده، وظیفه آوردن ناخوشایند هر بانک مطابق با الزامات قانون در تاریخ 1 ژانویه 2011 به طور کامل اجرا می شود. برای به حداکثر رساندن موفقیت معرفی چنین فن آوری های موجود در بخش بانکی، هنوز لازم است که رویکرد یکپارچه به کار پروژه را به یاد داشته باشید. در این مورد، به دلیل سازماندهی کار مشترک متخصصان تقسیمات مختلف - فناوری اطلاعات، امنیت اطلاعات و مدیریت پروژه، سرمایه گذاران، وکلا - تضمین انطباق با تعادل لازم از رویکرد کلی به حفاظت از داده های بحرانی در چارچوب ساختار مالی.
ارجاع: ReignVox یک شرکت روسی است که متخصص در پروژه های نوآورانه و تحولات در زمینه فناوری اطلاعات و تضمین امنیت اطلاعات آنها است.
هدف ایجاد یک شرکت، ارائه خدمات برای اطمینان از حفاظت از اطلاعات شخصی مطابق با الزامات قانون "بر اطلاعات شخصی" FZ-152 تاریخ 27 ژوئیه 2006 و ساخت سیستم های حفاظت از اطلاعات یکپارچه است.
ReignVox عضو سازمان عمومی سازمان بین المللی "انجمن حفاظت از اطلاعات" (Moo "AzA")، وابسته عضو اتحادیه مجتمع اتحادیه (اتحادیه مجتمع) و همچنین عضو انجمن بانک های منطقه ای روسیه است.
ReignVox دارای تجربه قابل توجهی در اجرای موفقیت آمیز پروژه ها برای محافظت از اطلاعات شخصی در بانک های بزرگ تجاری است. در میان مشتریان خود، یادداشت های بانک، vnesheconombank، CentRocredit، Tempbank، بانک Alta، و غیره
تخمین زدن:
