1. Podstawy teoretyczne Bezpieczeństwo danych osobowych
1.1 Fundusze ustawodawcze ochrony danych osobowych w Federacji Rosyjskiej
1.3.1 Ogólne cechy Źródła zagrożeń nieautoryzowanego dostępu w systemie informacyjnym danych osobowych.
1.3.2 Ogólna cecha bezpośredniego dostępu do środowiska operacyjnego systemu informacyjnego danych osobowych
1.3.3 Ogólne cechy zagrożeń dla bezpieczeństwa danych osobowych zaimplementowanych za pomocą protokołów połączeń międzysystemowych
1.4 Charakterystyka banku i jego działalności
1.5 Podstawy danych osobowych
1.5.1 System informacji danych osobowych pracowników organizacji
1.5.2 System informacyjny kontroli danych osobowych i systemów kontroli dostępu
1.5.3 System informacji danych osobowych zautomatyzowanego systemu bankowego
1.6 Urządzenie i zagrożenia lokalnej sieci komputerowej Banku
1.7 Narzędzia bezpieczeństwa informacji
2.2 Ochrona oprogramowania i sprzętu
2.3 Podstawowa polityka bezpieczeństwa
2.3.1 System świadomości zatrudnienia w sprawach bezpieczeństwo informacji
2.3.4 Obsługa pracowników z e-mailem
2.3.5 Bank polityki haseł
3. Uzasadnienie ekonomiczne projektu
Wniosek
Aplikacje.
Wprowadzenie
Wszechobecna komputerowa, która trwała do początku na koniec XX wieku, trwa dzisiaj. Automatyzacja procesów w przedsiębiorstwach zwiększa wydajność pracowników. Użytkownicy. systemy informacyjne. Może szybko otrzymać dane niezbędne do wypełnienia swoich obowiązków służbowych. Jednocześnie wraz z ułatwieniem dostępu do danych istnieją problemy z zachowaniem tych danych. Posiadanie dostępu do różnych systemów informacyjnych, napastnicy mogą korzystać z nich do celów najemczych: gromadzenie danych na sprzedaż na czarnym rynku, kradzież pieniądze Klienci organizacji, kradzież tajemnicy handlowej organizacji.
Dlatego problem ochrony krytycznych ważnych informacji dla organizacji jest bardzo ostry. Coraz częściej staje się znany z mediów o różnych technikach lub metod kradzieży funduszy, hakowanie systemów informacyjnych instytucji finansowych. Dostęp do systemów informatycznych danych osobowych, atakujący może rozszerzyć dane klientów organizacji finansowych, informacje o ich transakcjach finansowych do ich rozpowszechniania, stosując bank do Banku jako szkody finansowe i reputacyjne. Ponadto, po dowiedzeniu danych dotyczących klienta, oszustów mogą bezpośrednio zadzwonić do klienta, przedstawiony przez pracowników banków i oszalo przy użyciu techniki inżynierii społecznej, aby uczyć się haseł z systemów bankowych zdalnego i przynieść pieniądze z konta klienta.
W naszym kraju problem kradzieży i nielegalnej dystrybucji danych osobowych jest bardzo ostry. Istnieje duża liczba zasobów w Internecie w Internecie, która zawiera skradzione podstawy danych osobowych, z którymi na przykład przez numer telefonu komórkowego można znaleźć bardzo dokładna informacja Według osoby, w tym dane paszportowe, adresy zamieszkania, zdjęć i innych.
W tym projekcie dyplomowym zbadam proces tworzenia systemu ochrony danych osobowych w PJSC "Sitibank".
1. Podstawy bezpieczeństwa danych osobowych
1.1 Podstawy ustawodawcze Ochrona danych osobowych
Do tej pory rozporządzenie państwowe w dziedzinie bezpieczeństwa danych osobowych prowadzi się w Rosji. Główne regulacyjne akty prawne regulujące system ochrony danych osobowych w Federacji Rosyjskiej są Konstytucja Federacji Rosyjskiej i prawa federalnego "na danych osobowych" z 27 lipca 2006 r. Nr 152-FZ. Te dwa główne akty prawne ustanawiają główne streszczenia dotyczące danych osobowych w Federacji Rosyjskiej:
Każdy obywatel ma prawo do prywatności, tajemnicy osobistej i rodzinnej, ochrony jego honoru i dobrego imienia;
Każdy ma prawo do tajemnicy korespondencji, rozmów telefonicznych, pocztowych, telegraficznych i innych wiadomości. Ograniczenie tego prawa jest dozwolone wyłącznie na podstawie decyzji sądowej;
Kolekcja, przechowywanie, stosowanie i rozpowszechnianie informacji o prywatności osoby bez jego zgody nie są dozwolone;
Przetwarzanie danych osobowych należy przeprowadzić na zasadzie uzasadnionej i sprawiedliwej;
Przetwarzanie danych osobowych powinny być ograniczone do osiągnięcia określonych, z góry określonych i uzasadnionych celów. Dane osobowe nie są dozwolone, niezgodne z celem zbierania danych osobowych.
Bazy danych zawierających dane osobowe nie są dozwolone, których przetwarzanie jest przeprowadzane dla celów, które są niezgodne.
Tylko dane osobowe, które spełniają cele ich przetwarzania podlegają przetwarzaniu.
Podczas przetwarzania danych osobowych należy zapewnić dokładność danych osobowych, ich wystarczalność i w niezbędnych przypadkach i znaczeniu w odniesieniu do celu przetwarzania danych osobowych. Operator musi podjąć niezbędne środki, aby zapewnić ich przyjęcie do usunięcia lub wyjaśnienia niekompletnych lub niedokładnych danych.
Przechowywanie danych osobowych należy wdrożyć w formie do określenia przedmiotu danych osobowych, nie dłużej niż cel przetwarzania danych osobowych, jeżeli okres przechowywania danych osobowych nie zostanie ustalona przez prawo federalne, umowa, partia, której beneficjent lub Gwarant jest osobistych danych. Przetworzone dane osobowe mają zostać zniszczone lub izolacyjne w celu osiągnięcia celów przetwarzania lub w przypadku utraty potrzeby osiągnięcia tych celów, chyba że prawa federalne dostarczone inaczej.
Inne akty regulacyjne, które zapewniają wpływ prawny w dziedzinie ochrony danych osobowych w organizacjach bankowość Z Federacji Rosyjskiej to:
Prawo Federalne Federacji Rosyjskiej z 27 lipca 2006 r. Nr 149 ustawy federalnej "w sprawie informacji, technologii informacyjnych i ochrony informacji";
Kodeks pracy Federacji Rosyjskiej (rozdział 14);
Rezolucja Rządu Federacji Rosyjskiej w dniach 01.11.2012 nr 1119 "w sprawie zatwierdzenia wymogów dotyczących ochrony danych osobowych podczas przetwarzania w systemach informacyjnych danych osobowych";
Kolejność FSTEC z Rosji w dniach 02.08.2013 nr 21 "w sprawie zatwierdzenia składu i utrzymania środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych osobowych, gdy są przetwarzane w systemach informacyjnych danych osobowych."
Rozważmy główne definicje stosowane w prawodawstwie.
Dane osobowe - wszelkie informacje związane bezpośrednio lub pośrednio zdefiniowane lub określone przez osobę fizyczną (temat danych osobowych).
Operator danych osobowych - Władza publiczna, władza gminna, prawne lub indywidualny, niezależnie lub współpracownik z innymi osobami organizującymi i (lub) przetwarzaniem danych osobowych, a także określenie celów przetwarzania danych osobowych, skład danych osobowych do przetworzenia, działania (operacje) popełnione w danych osobowych;
Przetwarzanie danych osobowych - wszelkie działania (działanie) lub zestaw działań (operacje) popełnione przy użyciu narzędzi automatyki lub bez użycia takich funduszy z danymi osobowymi, w tym zbiórki, nagrywania, systematyzacji, akumulacji, przechowywania, wyrafinowania (aktualizacja, zmiana) , ekstrakcja, stosowanie, transmisja (dystrybucja, dostarczanie, dostęp), płukanie, blokowanie, usuwanie, zniszczenie danych osobowych;
Zautomatyzowane przetwarzanie danych osobowych - przetwarzanie danych osobowych za pomocą sprzętu komputerowego;
Dystrybucja danych osobowych - działania mające na celu ujawnienie danych osobowych do nieokreślonego kręgu osób;
Dostarczanie danych osobowych - działania mające na celu ujawnienie danych osobowych do pewnej osoby lub określonego kręgu osób;
Blokowanie danych osobowych - tymczasowe zakończenie przetwarzania danych osobowych (z wyjątkiem przypadków postępowania jest konieczne do wyjaśnienia danych osobowych);
Zniszczenie danych osobowych - działania wynikające z których staje się niemożliwe do przywrócenia treści danych osobowych w systemie informacyjnym danych osobowych i (lub) w wyniku czego niszczyli materialne nośniki danych osobowych;
Definicja danych osobowych - działania, w wyniku czego staje się niemożliwe bez użycia po więcej informacji określ personel danych osobowych do konkretnej jednostki danych osobowych;
System informacyjny danych osobowych jest zestawem współlokatora w bazach danych danych osobowych i zapewniając ich technologie informacyjne przetwarzania i środków technicznych;
Transgraniczna transmisja danych osobowych jest przeniesienie danych Pasco-Tax na terytorium państwa obcego przez organ państwa obcego, zagranicznej fizycznej twarzy lub zagranicznego podmiotu prawnego.
Biometryczne dane osobowe - informacje, które charakteryzują fizjologiczne i biologiczne cechy osoby, na podstawie których możliwe jest ustanowienie jego tożsamości (dane osobowe biometryczne) i które są wykorzystywane przez operatora do identyfikacji osobowości danych osobowych.
Bezpieczeństwo danych osobowych - stan ochrony danych osobowych charakteryzuje się zdolnością użytkownika, środkami technicznymi i technologie informacyjne Prywatność, integralność i dostępność danych osobowych podczas przetwarzania w systemach informacyjnych danych osobowych
1.2 Klasyfikacja zagrożeń związanych z bezpieczeństwem danych osobowych.
Pod groźbą bezpieczeństwa informacji oznacza zagrożenie naruszeniem właściwości bezpieczeństwa informacji - dostępności, uczciwości lub poufności aktywów informacyjnych organizacji.
Lista zagrożeń, ocenę prawdopodobieństwa ich wdrożenia, a także model przemocy, służyć jako podstawa do analizy ryzyka zagrożeń i formułowania wymagań dla zautomatyzowanego systemu ochrony systemu. Oprócz identyfikacji możliwych zagrożeń, konieczne jest analizę zidentyfikowanych zagrożeń w oparciu o ich klasyfikację dla wielu znaków. Zagrożenia odpowiadające każdemu oznaniu klasyfikacji umożliwiają szczegółowość wymogu odzwierciedlonego przez tę funkcję.
Ponieważ przechowywane i przetworzone informacje w nowoczesnych głośnikach są narażone na niezwykle dużą liczbę czynników, staje się niemożliwe do sformalizacji zadania opisywania kompletnego zestawu zagrożeń. Dlatego dla chronionego systemu zazwyczaj określa się nie wykazem zagrożeń, ale lista zajęć zagrożeń.
Klasyfikacja możliwych zagrożeń związanych z bezpieczeństwem informacji AC można przeprowadzić zgodnie z następującymi podstawowymi cechami:
Według zdarzenia przyrody:
Zagrożenia oraltyczne spowodowane wpływem na obiektywne procesy fizyczne lub zjawiska naturalne;
Zagrożenia bezpieczeństwa zawodowego ACS spowodowane przez działalność człowieka.
Według stopnia zamiaru manifestacji:
Odrozony spowodowane przez błędy lub personel zaniedbania, takich jak niewłaściwe wykorzystanie sprzętu ochronnego, zaniedbania podczas pracy z danymi;
Zaciskalność celowego działania, na przykład hakowania zautomatyzowanego systemu przez intruzów, zniszczenie tych pracowników organizacji do zemsty przez pracodawcę.
Poprzez bezpośrednio źródło zagrożeń:
Zagrożenia w zakresie zagrożeń, takich jak klęski żywiołowe, katastrofy z człowieka;
Zagrożenia ocheologiczne, na przykład: zniszczenie informacji, ujawnienie danych poufnych;
Oracle Software and Hardware, takie jak fizyczny podział sprzętu, błędów oprogramowania, konflikty oprogramowania;
Sprzęt do oprogramowania, takich jak wprowadzenie zakładek sprzętowych, zakładek oprogramowania.
Przez stanowisko źródła zagrożeń:
Zgodnie z kontrolowaną strefą, na przykład przechwycenie danych przesyłanych przez kanały komunikacyjne;
Ponad granice strefy kontrolowanej, na przykład nieautoryzowane kopiowanie informacji, nieautoryzowany dostęp do strefy chronionej;
Otwarcie w automatycznym systemie, takim jak nieprawidłowe wykorzystanie zasobów AC.
W zależności od stopnia zależności od działalności AC:
Aktywność AC zależna od Onevo, taka jak kradzież fizyczna mediów;
W procesie przetwarzania danych są tylko w przetwarzaniu danych, takich jak zakażenie złośliwym oprogramowaniem.
W zależności od stopnia wpływu na AC:
Zagrożenia wiaduktu, które nie są zmieniane podczas wdrażania w strukturze i treści AU, na przykład zagrożeniem kopiowania danych;
Ostatnie zagrożenia, że \u200b\u200bpo odsłonięciu wprowadzają zmiany w strukturze i zawartości AC, takie jak usuwanie danych, ich modyfikację.
Po etapie użytkowników lub programów do zasobów:
Odrozens, przejawiający na etapie dostępu do zasobów AC, na przykład: zagrożenia nieautoryzowanego dostępu do AC;
OUGROMS, przejawiający po rozwiązaniu dostępu do zasobów AC, na przykład, nieprawidłowe wykorzystanie zasobów AC.
W drodze dostępu do zasobów AC:
O.grozos zaimplementowany przy użyciu standardowej ścieżki dostępu do zasobów AC
OUGROMS, przeprowadzone przy użyciu ukrytej niestandardowej ścieżki dostępu do zasobów AC, na przykład: nieautoryzowany dostęp do zasobów AC przy użyciu nieudokumentowanych możliwości zainstalowanego oprogramowania.
W bieżącej lokalizacji informacji, przechowywanych i przetwarzanych w AC:
Zezwolenie dostępu do informacji na temat zewnętrznych urządzeń pamięci masowej, na przykład: kopiowanie poufnych informacji z informacji o mediach;
Permons dostępu do informacji losowy pamięć dostępu, na przykład: czytanie informacji resztkowej z pamięci RAM, dostęp do pola systemowego RAM z programów aplikacji;
Zezwolenie dostępu do informacji krążących w liniach komunikacyjnych, na przykład: nielegalne połączenie z liniami komunikacyjnymi w celu wyboru informacji, wysyłanie zmodyfikowanych danych;
Niebezpieczne uderzenia na automatyczny system są podzielone na losowe i celowe.
Przyczyny przypadkowych wpływów podczas operacji AU może być:
Sytuacje awaryjne ze względu na klęski żywiołowe i przestoje energetyczne;
Awarie w służbie;
Błędy w oprogramowaniu;
Błędy w pracy personelu serwisowego i użytkowników;
Zakłócenia w linii komunikacyjnych ze względu na działanie środowiska zewnętrznego.
Korzystanie z błędów oprogramowania jest najczęstszym sposobem naruszania systemów informacyjnych bezpieczeństwa informacji. W zależności od złożoności oprogramowania liczba błędów wzrasta. Malifaktoricy mogą znaleźć te luki i przez nich, aby uzyskać dostęp do systemu informacyjnego organizacji. Aby zminimalizować te zagrożenia, konieczne jest stale utrzymywanie znaczenia wersji oprogramowania.
Umyślne zagrożenia związane są z ukierunkowymi działaniami atakujących. Atakujący są podzielone na dwa typy: atakujący wewnętrzny i zewnętrzny atakujący. Wewnętrzny napastnik powoduje bezprawne działania w ramach kontrolowanej strefy zautomatyzowanego systemu i może korzystać z oficjalnych uprawnień do autoryzowanego dostępu do automatycznego systemu. Outer atakujący nie ma dostępu do granic strefy kontrolowanej, ale może działać jednocześnie z napastnikiem wewnętrznym, aby osiągnąć swoje cele.
Istnieją trzy główne zagrożenia bezpieczeństwa informacji wysyłane bezpośrednio do chronionych informacji:
Naruszenie prywatności - Informacje poufne nie zmieniają, ale stają się dostępne dla osób trzecich, które nie mogą być informacjami. Przy wdrażaniu tego zagrożenia istnieje duże prawdopodobieństwo ujawnienia przez atakującego skradzionego informacji, co może pociągać za sobą szkody finansowe lub reputacyjne. Naruszenie integralności chronionych informacji jest zniekształcenie, zmiana lub zniszczenie informacji. Informacje integralność może zostać naruszona nie celowo, ale w wyniku niekompetencji lub zaniedbania pracownika przedsiębiorstwa. Również integralność może zostać złamana przez atakującego, aby osiągnąć własne cele. Na przykład zmiana danych konta w zautomatyzowanym systemie bankowym w celu przeniesienia środków na atakującego lub zastąpienie danych osobowych organizacji w celu uzyskania informacji na temat współpracy z klientami z organizacją.
Naruszenie dostępności informacji chronionych lub odmowa konserwacji - działania, w których autoryzowany użytkownik nie może uzyskać dostępu do informacji chronionych w wyniku takich przyczyn, jak: awarii sprzętu, oprogramowania, awarii lokalnej sieci komputerowej.
Po rozważeniu zagrożeń zautomatyzowanych systemów można przystąpić do analizy zagrożeń systemu informacyjnego danych osobowych.
System informacyjny danych osobowych jest zestawem danych osobowych zawartych w bazach danych i zapewniając ich technologię informacyjną przetwarzania i środki techniczne.
Systemy informacyjne danych osobowych są kombinacją informacji i oprogramowania i elementów sprzętowych, a także technologie informacyjne stosowane w przetwarzaniu danych osobowych.
Głównymi elementami są Kerenny:
Dane osobowe zawarte w bazach danych;
Technologie informacyjne stosowane w przetwarzaniu PDN;
Środki techniczne prowadzące dane osobowe (urządzenia informacyjne, kompleksy informacyjne i obliczeniowe oraz sieci, środki i systemy transmisji, odbioru i przetwarzania danych osobowych, środków i systemów nagrywania dźwięku, dźwięku, reprodukcji dźwięku, środków wytwarzania, replikacji dokumentów i Inne środki techniczne przetwarzanie mowy, grafiki, wideo i informacje alfanumeryczne);
Oprogramowanie (systemy operacyjne, systemy kontroli bazy danych itp.);
Środki ochrony informacji CADN;
Pomocnicze środki techniczne i systemy - środki techniczne i systemy, ich komunikaty, które nie są przeznaczone do przetwarzania danych osobowych, ale umieszczone w pomieszczeniach, w których znajdują się Kerenny.
Bezpieczeństwo danych osobowych jest zestawem warunków i czynników, które powodują niebezpieczeństwo nieuprawnionego, w tym losowego, dostępu do danych osobowych, wynikiem zniszczenia, zmiany, blokowania, kopiowania, rozpowszechniania danych osobowych, a także innych nieautoryzowanych Działania podczas przetwarzania informacji osobistych system danych.
Charakterystyka systemu informacyjnego danych osobowych, ze względu na pojawienie się UBPDN, można przypisać kategorii i ilości danych osobowych przetworzonych w systemie informacyjnym, strukturę systemu informacyjnego danych osobowych, dostępność połączeń jest pod wrażeniem Ogólne sieci korzystania z sieci i (lub) sieciach międzynarodowych wymiany informacji, charakterystyka podsystemu Bezpieczeństwo danych osobowych przetwarzanych w trybach przetwarzania danych osobowych, tryby rozgraniczenia użytkowników dostępu użytkownika, lokalizacji i warunków do umieszczenia środków technicznych PHDN.
Właściwości środowiska dystrybucji sygnałów informacyjnych zawierających informacje chronione charakteryzują się rodzajem środowiska fizycznego, w którym dystrybuowane są PDN i określają przy ocenie możliwości wdrożenia UBDN. Możliwości źródeł UPPDN wynikają z kombinacji metod nieautoryzowanych i (lub) losowych dostępu do PDS, w wyniku czego możliwe jest poufność (kopiowanie, dystrybucja nielegalna), integralność (zniszczenie, zmiana) i dostępność (blokowanie) pd.
Zagrożenie dla bezpieczeństwa danych osobowych jest realizowany w wyniku tworzenia kanału CBBDNA między źródłem zagrożenia a nośnikiem (źródłem) PDN, który stwarza warunki do naruszenia bezpieczeństwa PDN.
Główne elementy wdrażania kanału CBPDN (Rysunek 1) to:
Źródło UCPDN - obiekt, obiekt materialny lub zjawisko fizyczne tworzenie UBRDN;
Środowisko dystrybucyjne PDN lub wpływu, w którym pole fizyczne, sygnał, dane lub programy mogą być dystrybuowane i dotknięte przez chronione właściwości danych osobowych;
Nośnik danych osobowych jest obiektem indywidualnym lub materialnym, w tym polem fizycznym, w którym PDN znajduje odzwierciedlenie w postaci symboli, obrazów, sygnałów, rozwiązań technicznych i procesów, charakterystyki ilościowych ilościowych ilości.
Rysunek 1. Uogólniony system kanału kanału bezpieczeństwa danych osobowych
Nośniki PDN mogą zawierać informacje przedstawione w następujących typach:
Informacje akustyczne (głosowe) zawarte bezpośrednio w wypełnionej mowie użytkownika wymawiane, gdy jest przeprowadzana przez funkcję wprowadzania głosu PDN w systemie informacyjnym danych osobowych lub środków akustycznych PDN (jeśli takie funkcje są przewidziane przez technologię przetwarzania PD), jak jak również zawarte w polach elektromagnetycznych i sygnałach elektrycznych, które pojawiają się z powodu transformacji informacji akustycznych;
Informacje o gatunku (VI), reprezentowane jako tekst i obrazy różnych urządzeń do wyświetlania informacji o sprzęcie informatycznym, kompleksach informacyjnych i obliczeniowych, środków technicznych przetwarzania graficznych, wideo i informacji alfanumerycznych zawartych w kompozycji CAD;
Przetworzone informacje (obiegowe) do Dodge, w postaci elektrycznych, elektromagnetycznych sygnałów optycznych;
Informacje przetwarzane do kepkarza przedstawione w formie bitów, bajtów, plików i innych struktur logicznych.
W celu utworzenia usystematyzowanej listy ICPDN, \u200b\u200bgdy są one przetwarzane w CPT, a rozwój oparty na prywatnych modelach, zagrożenia są klasyfikowane zgodnie z następującymi znakami (rysunek 2):
Według rodzaju informacji chronionych z UBRDN zawierającego PDN;
Według rodzajów możliwych źródeł UBPDN;
Według rodzaju umierania, skierowany do wdrożenia UBPDN;
Metodą wdrażania UBRDN;
Zgodnie z naruszeniem własności informacji (rodzaj nieautoryzowanych działań prowadzonych z PDN);
Zgodnie z używaną wrażliwością;
Przed obiektem ekspozycji.
Według rodzaju możliwych źródeł UCPDN, \u200b\u200bprzydzielono następujące elementy
Klasy zagrożeń:
Zagrożenia związane z celowymi lub niezamierzonymi działaniami osób, które mają dostęp do mieszkańców, w tym użytkowników systemu informacyjnego danych osobowych, wdrażanie zagrożeń bezpośrednio w krajowym (intruz wewnętrznym);
Zagrożenia związane z celowymi lub niezamierzonymi działaniami osób, które nie mają dostępu do mieszkań wykonujących Róże UGR z zewnętrznych sieci public relations i (lub) sieci wymiany informacji międzynarodowej (intruz zewnętrzny).
Ponadto mogą pojawić się zagrożenia w wyniku wprowadzenia zakładek sprzętu i szkodliwych programów.
Według typu, następujące klasy zagrożeń są przydzielane do wdrożenia UBRDN;
UBPDN przetworzony do bazy danych na podstawie autonomicznego zautomatyzowanego miejsca pracy (AWP);
UBPDN przetworzony do bazy danych na podstawie AWP, podłączony do sieci publicznej (do sieci międzynarodowej wymiany informacji);
UBPDN przetworzony do bazy danych na podstawie lokalnych systemów informacyjnych bez podłączenia do wspólnej sieci (do sieci międzynarodowej wymiany informacji);
UBPDN przetworzony do bazy danych na podstawie lokalnych systemów informacyjnych z połączeniem z siecią publiczną (do sieci międzynarodowych metabolizmu informacji);
UBPDN przetworzony do bazy danych na podstawie rozproszonych systemów informacyjnych bez podłączenia do wspólnej sieci (do sieci międzynarodowej wymiany informacji);
UBPDN, przetwarzany w bazie danych na podstawie rozproszonych systemów informacyjnych z połączeniem z siecią publiczną (do sieci międzynarodowej wymiany informacji).
Zgodnie z metodami wdrażania UBRDN przydzielono następujące klasy zagrożeń:
Zagrożenia związane z NSD do PDNs (w tym zagrożenia dla wdrażania szkodliwych programów);
Groźby wycieku danych osobowych na kanałach wycieków technicznych;
Zagrożenia specjalnego wpływu na kropkę.
W formie nieautoryzowanych działań prowadzonych z PDN, przydzielono następujące klasy zagrożeń:
Zagrożenia, które prowadzą do naruszenia prywatności PDN (podziałek lub nieautoryzowany dystrybucji), które nie są bezpośrednio dotknięte treścią informacji;
Zagrożenia prowadzące do nieautoryzowanego, w tym losowego, wpływu na treść informacji, w wyniku czego przeprowadza się zmiana PDS lub ich zniszczenia;
Zagrożenia prowadzące do nieautoryzowanego, w tym losowego, narażenia na oprogramowanie lub oprogramowanie i elementy sprzętowe PDN, w wyniku czego wykonuje się blokowanie PD.
Zgodnie z zastosowaną luką przydzielono następujące klasy zagrożeń:
Zagrożenia realizowane przy użyciu luki oprogramowania systemowego;
Zagrożenia wdrożone przy użyciu luki oprogramowania stosowanego;
Zagrożenia wynikające z wykorzystania luk spowodowanych przez obecność w zakładce sprzętu AU;
Zagrożenia zaimplementowane za pomocą protokołów interakcji sieciowych Luki i kanałów transmisji danych;
Zagrożenia wynikające z wykorzystania podatności spowodowanej przez wady organizacji TZI z NSD;
Zagrożenia wdrożone przy użyciu luki spowodowanych przez dostępność kanałów wycieków kanału technicznego;
Zagrożenia realizowane przy użyciu luki SZI.
Następujące klasy zagrożeń są przeznaczone na przedmiot ekspozycji:
Zagrożenia bezpieczeństwa PDN przetworzonego do ramienia;
Zagrożenia bezpieczeństwa PDN przetworzone w podświetlonych narzędzi do przetwarzania (drukarki, plotery, wykresy, renderowane monitory, projektory wideo, narzędzia do reprodukcji dźwięku itp.);
Zagrożenia bezpieczeństwa PDN przekazywane w sieciach komunikacyjnych;
Zagrożenia dla aplikacji, z którymi przetwarzane są PDN;
Zagrożenia z oprogramowaniem systemowym zapewniającym funkcjonowanie CDN.
Wdrożenie jednego z UBRD z wymienionymi klasami lub ich stawów może prowadzić do następujących rodzajów konsekwencji dla podmiotów PD:
Znaczące negatywne konsekwencje dla podmiotów PD;
Negatywne konsekwencje dla podmiotów PD;
Niewielkie negatywne konsekwencje dla podmiotów PD.
Zagrożenie wycieku danych osobowych na kanałach technicznych są jednoznaczne opisane przez właściwości źródła informacji, środowiska migającego odwiertu i odbiornika sygnału informacyjnego, czyli charakterystyka wycieku kanału technicznego PDN są określane .
Zagrożenia związane z nieautoryzowanym dostępem (NSDS) są składane w formie uogólnionych klas ewentualnych źródeł zagrożeń NSD, luki oprogramowania i sprzętu CDN, metod wdrażania zagrożeń, obiektów wpływu (nośniki informacji chronionych, katalogów, katalogów , Pliki z PDN lub Sami PDNS) i możliwe działania niszczące. Taki widok jest opisany przez następujący formalizowany rekord (rys. 2).
1.3 Charakterystyka komunikatywna źródeł zagrożeń w systemach informacyjnych danych osobowych
Zagrożenia NSD w mieszkaniu przy użyciu oprogramowania i oprogramowania oraz sprzętu są realizowane we wdrażaniu nieautoryzowanych, w tym losowych, dostępu, w wyniku czego prowadzone są poufność, integralność i dostępność PDN i obejmuje:
Zagrożenia nieautoryzowanego dostępu do środowiska operacyjnego komputerowego przy użyciu standardowego oprogramowania (fundusze system operacyjny lub zastosowane aplikacje programy);
Zagrożenia dla stworzenia nieprawidłowych środków oprogramowania (oprogramowanie i sprzęt) fundusze z powodu celowych zmian danych serwisowych, zignorują ograniczenia przewidziane w warunkach personelu dla kompozycji i charakterystyki przetwarzanych informacji, zniekształceń (modyfikacji) danych, itp.;
Rysunek 2 Klasyfikacja UBRD przetwarzanych w systemach informacyjnych danych osobowych
Zagrożenia do wdrożenia szkodliwych programów (oprogramowanie i wpływ matematyczny).
Skład elementów opisu zagrożeń związanych z NSD do informacji w umieraniu pokazano na rysunku 3.
Ponadto możliwe są łączne zagrożenia, które są kombinacją tych zagrożeń. Na przykład, ze względu na wdrożenie szkodliwych programów, mogą być tworzone dla NSD do środowiska operacyjnego komputera, w tym poprzez tworzenie nietradycyjnych kanałów informacyjnych dostępu.
Zagrożenia nieautoryzowanego dostępu do środowiska operacyjnego przy użyciu standardowego oprogramowania są podzielone na zagrożenia dla bezpośredniego i zdalnego dostępu. Zagrożenia bezpośredniego dostępu są przeprowadzane przy użyciu oprogramowania i oprogramowania oraz sprzętu wejścia / wyjścia komputera. Zagrożenia zdalnego dostępu są realizowane za pomocą protokołów interakcji sieciowych.
Takie zagrożenia są realizowane w stosunku do bazy danych na podstawie zautomatyzowanych miejsca pracy, nie zawartych w sieci komunikacyjnej publicznej i w odniesieniu do wszystkich niecierpliwych do łączenia się z publicami i sieciami międzynarodowej wymiany informacji.
Rysunek 3 Klasyfikacja UBRD przetwarzanych w systemach informacyjnych danych osobowych
1.3.1 Ogólne cechy źródeł zagrożeń nieautoryzowanego dostępu w systemie informacyjnym danych osobowych.
Źródła zagrożeń w systemie informacyjnym danych osobowych mogą być:
Gwałciciel;
Nośnik złośliwego oprogramowania;
Karta sprzętowa.
Zagrożenia bezpieczeństwa PDN związane z wdrażaniem zakładek sprzętu są określane zgodnie z dokumentami regulacyjnymi Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej w procedurze ustalonej przez niego.
Zgodnie z obecnością stałych lub jednorazowych praw dostępu do strefy kontrolowanej, intruz są podzielone na dwa typy:
Naruszenicy, którzy nie mają dostępu do mieszkań, które wdrażają zagrożenia z zewnętrznych sieci komunikacyjnych i (lub) sieciach międzynarodowych wymiany informacji są intruzami zewnętrznymi;
Naruszenicy, którzy mają dostęp do Dodge, w tym użytkowników Dot, wdrażanie zagrożeń bezpośrednio w wewnętrznych intruzach.
Zewnętrzni gwałciciele mogą być:
Konkurencyjne organizacje;
Nieuczciwy partnerów;
Przedmioty zewnętrzne (osoby fizyczne).
Zewnętrzny intruz ma następujące funkcje:
Ćwicz nieautoryzowany dostęp do kanałów komunikacyjnych, pozostawiając poza siedzibą usług;
Wykonaj nieautoryzowany dostęp dzięki zautomatyzowanej pracy związanej z publicznymi sieciami komunikacyjnymi oraz (lub) sieciami międzynarodowej wymiany informacji;
Wykonaj nieautoryzowany dostęp do informacji przy użyciu specjalnych wpływu na oprogramowanie poprzez wirusy oprogramowania, złośliwe oprogramowanie, algorytmiczne lub oprogramowania zakładek;
Przeprowadzić nieautoryzowany dostęp poprzez elementy infrastruktury informacyjnej systemu informacyjnego danych osobowych, które w procesie jego koło życia (modernizacja, konserwacja, naprawa, recykling) okazuje się poza strefą kontrolowaną;
Wpływ nieautoryzowanego dostępu poprzez systemy informacyjne działów interakcji, organizacji i instytucji, gdy są one podłączone do płyty CD.
Krajowy potencjalni gwałciciele są podzielone na osiem kategorii, w zależności od metody dostępu i uprawnienia dostępu do PDN.
Pierwsza kategoria obejmuje osoby z autoryzowanym dostępem do Dodge, ale nie ma dostępu do PDN. Ten rodzaj naruszeń obejmuje urzędników, które zapewniają normalne przestępcze funkcjonowanie.
Mieć dostęp do fragmentów informacji zawierających PDN i rozszerzenie za pośrednictwem wewnętrznych kanałów komunikacyjnych CDM;
Fragmenty informacji na temat topologii CDN i zastosowane protokoły komunikacyjne oraz ich usługi;
Umieść nazwy i identyfikować hasła zarejestrowanych użytkowników;
Zmień konfigurację narzędzi technicznych CDN, tworząc zakładki oprogramowania i sprzętu oraz dostarczanie informacji za pomocą bezpośredniego połączenia z pomocą techniczne CD.
Posiada wszystkie możliwości osób pierwszej kategorii;
Zna co najmniej jedną nazwę dostępu prawnego;
Ma wszystkie niezbędne atrybuty, które zapewniają dostęp do pewnego podzbioru PDN;
Ma poufne dane, do których dostęp.
Jego dostęp, uwierzytelnianie i prawa dostępu do pewnego podzbioru PDN powinny być regulowane przez odpowiedni dostęp do usunięcia dostępu.
Ma wszystkie możliwości osób pierwszej i drugiej kategorii;
Ma informacje o topologii bazy danych na podstawie lokalnego i (lub) rozproszonego systemu informacyjnego, przez który przeprowadzany jest dostęp, a kompozycja środków technicznych CDN;
Ma możliwość bezpośredniego (fizycznego) dostępu do fragmentów technicznych CDN.
Ma pełne informacje na temat oprogramowania systemu i aplikacji używanego w segmencie (fragmentu) CDM;
Ma pełne informacje na temat środków technicznych i konfiguracji segmentu (fragmentu) CDN;
Ma dostęp do środków ochrony informacji i rejestrowania, a także do poszczególnych elementów stosowanych w CDN segmentu (fragment);
Ma dostęp do wszystkich segmentów technicznych (fragment) CETS;
Posiada prawa konfiguracji i konfiguracji administracyjnej pewnego podzbioru środków technicznych segmentu (fragment) CDN.
Uprawnienia systemu CDN Administrator System.
Ma wszystkie możliwości ludzi z poprzednich kategorii;
Ma pełne informacje o systemie i zastosowanym oprogramowaniu źródłowym;
Ma pełne informacje o środkach technicznych i konfiguracjach.
Ma dostęp do wszystkich środków technicznych informacji o przetwarzaniu i bezczelnych danych;
Ma prawa konfiguracji i strojenia administracyjnego środków technicznych.
Administrator systemu wykonuje konfigurację i zarządzanie oprogramowaniem i sprzętem, w tym sprzęt odpowiedzialny za bezpieczeństwo obiektu chronionego: środki ochrony kryptograficznej informacji, monitorowania, rejestracji, archiwizacji, ochrony przed NSD.
Ma wszystkie możliwości ludzi z poprzednich kategorii;
Ma pełne informacje o Dodge;
Ma dostęp do bezpieczeństwa informacji i rejestrowania i części kluczowe elementy Złapany;
Nie ma dostępu do konfiguracji sieci technicznych, z wyjątkiem sterowania (inspekcja).
Posiada informacje o algorytmach i programach przetwarzania informacji dla Dodge;
Ma możliwości wykonywania błędów, niekomklepionych możliwości, zakładek oprogramowania, złośliwe oprogramowanie w oprogramowaniu CDN na etapie rozwoju, wprowadzenia i konserwacji;
Może mieć jakiekolwiek fragmenty informacji o topologii DNT i środków technicznych przetwarzania i ochrony pds przetworzonych do CAD.
Ma możliwości dokonywania zakładek do technicznych PHDN na etapie ich rozwoju, wdrażania i konserwacji;
Może mieć jakiekolwiek fragmenty informacji o topologii godności i technicznych środków przetwarzania i ochrony informacji w mieszkaniu.
Przewoźnik złośliwego programu może być element sprzętu komputerowego lub kontenera oprogramowania. Jeśli złośliwy program nie jest powiązany z żadnym programem aplikacji, a następnie rozważany jest jego przewoźnik:
Wyobrażalny środek, który jest dyskietka, dysk optyczny, pamięć flash;
Wbudowane media ( dyski twarde, RAM mikrokiriuches, procesor, układy płyty systemowe, układy urządzeń osadzone w jednostka systemowa, - adapter wideo, deska sieciowa, karta dźwiękowa, modem, urządzenia wejściowe / wyjściowe magnetycznego sztywnego i dysków optycznych, zasilania itp., Mikroguity bezpośredniego dostępu, opony do transmisji danych, portów I / O);
Obwody urządzeń zewnętrznych (monitor, klawiatura, drukarka, modem, skaner itp.).
Jeśli złośliwy program jest powiązany z dowolnym programem aplikacji, z plikami, które mają określone rozszerzenia lub inne atrybuty, z wiadomościami transmitowanymi przez sieć, to jego przewoźnicy to:
Pakiety przesyłanych przez Śieć komputerowa wiadomości;
Pliki (tekst, grafika, wykonywalna itp.).
1.3.2 Ogólna cecha bezpośredniego dostępu do środowiska operacyjnego systemu informacyjnego danych osobowych
Zagrożenia nieautoryzowanego dostępu do środowiska operacyjnego komputera i nieautoryzowanego dostępu do PDN są związane z dostępem:
Do informacji i poleceń przechowywanych w systemie rdzenia / wyjściowym / wyjściowym, z możliwością przechwytywania zarządzania systemem operacyjnym i otrzymywanie praw zaufanego użytkownika;
W środowisku operacyjnym, czyli w funkcjonowaniu lokalnego systemu operacyjnego oddzielnych środków technicznych, zakres jest możliwość wykonywania nieautoryzowanego dostępu poprzez wywołanie personelu systemu operacyjnego lub uruchomienie specjalnie opracowanych programów, które wdrażają takie działania ;
W środę, programy aplikacji (na przykład, lokalny system. zarządzania bazami danych);
Bezpośrednio do informacji o użytkowniku (do plików, informacje tekstowe, audio i graficzne, pola i wpisy w elektronicznych bazach danych) i wynikają z możliwości naruszania jej poufności, integralności i dostępności.
Zagrożenia te mogą być realizowane w przypadku uzyskania fizycznego dostępu do mieszkania lub, przynajmniej do środków wprowadzania informacji na płycie CD. Można je połączyć zgodnie z warunkami wdrażania na trzy grupy.
Pierwsza grupa obejmuje zagrożenia zaimplementowane podczas rozruchu systemu operacyjnego. Te zagrożenia bezpieczeństwa informacji mają na celu przechwycenie haseł lub identyfikatorów, modyfikując system oprogramowania oprogramowania / wyjścia, przechwytując kontrolę pobierania ze zmianą niezbędnych informacji technologicznych w celu uzyskania NSD w środę operacyjną. Najczęściej, takie zagrożenia są realizowane za pomocą wyobcowanych mediów.
Druga grupa - zagrożenia realizowane po załadowaniu środowiska operacyjnego, niezależnie od tego, który program aplikacji został uruchomiony. Zagrożenia te są zazwyczaj skierowane do wykonywania bezpośrednio nieautoryzowanego dostępu do informacji. Podczas odbierania dostępu do środowiska operacyjnego sprawca może skorzystać standardowe funkcje System operacyjny lub dowolny publiczny zastosowany program (na przykład systemy zarządzania bazami danych) i specjalnie utworzone programy, takie jak nieautoryzowany dostęp, na przykład:
Przeglądanie i modyfikacja rejestru;
Programy wyszukiwania tekstów w plikach tekstowych przez słowa kluczowe i kopiowanie;
Specjalne programy przeglądania i wpisy kopiowania w bazach danych;
Szybki przeglądanie programów plików graficznych, edycji lub kopiowania;
Programy wspierają możliwości rekonfiguracji oprogramowanie (Ustawienia przechowywane w interesie wiązania).
Wreszcie trzecia grupa obejmuje zagrożenia, których wdrożenie jest określone przez który z programów aplikacji rozpoczyna się przez użytkownika lub fakt wprowadzenia dowolnego z programów aplikacji. Większość tych zagrożeń to zagrożenia wprowadzenie złośliwych programów.
1.3.3 Ogólne cechy zagrożeń dla bezpieczeństwa danych osobowych zaimplementowanych za pomocą protokołów połączeń międzysystemowych
Jeśli baza danych jest zaimplementowana na podstawie lokalnego lub rozproszonego systemu informacyjnego, może być realizowany w zagrożeniom bezpieczeństwa do stosowania protokołów połączeń międzysystemowych. Może być dostarczany przez NSD do PDN lub zagrożenia odmowy utrzymania. Zagrożenia są szczególnie niebezpieczne, gdy umierający jest rozproszonym systemem informacyjnym podłączony do sieci ogólnych sieci i (lub) sieciach międzynarodowych wymiany informacji. Schemat klasyfikacji zagrożeń realizowanych w sieci jest pokazany na rysunku 4. Opiera się na siedmiu z następujących podstawowych objawów klasyfikacji.
Rysunek 4 Schemat klasyfikacji zagrożeń przy użyciu protokołów interakcji międzyrządowych
1. Charakter zagrożenia. Na tej podstawie zagrożenie może być bierne i aktywne. Pasywne zagrożenie jest zagrożeniem, z realizacją, której nie ma bezpośredniego wpływu na działanie CDN, ale ustalone zasady rozdzielania dostępu do PDN lub zasobów sieciowych można naruszać. Przykładem takich zagrożeń jest zagrożenie "analizą ruchu sieciowego", skierowaną do słuchania kanałów komunikacyjnych i przechwytywania przesyłanych informacji. Aktywne zagrożenie jest zagrożeniem związanym z wpływem na zasoby CDN, z realizacją, której okazuje się bezpośredni wpływ na działanie systemu (zmiana konfiguracji, utrata wartości wydajności itp.) Oraz Z naruszeniem ustalonych zasad wyróżniania dostępu do PDN lub zasobów sieciowych. Przykładem takich zagrożeń jest zagrożenie "odmową konserwacji", realizowaną jako "TCP Query Storm".
2. Celem realizacji zagrożenia. Na tej podstawie zagrożenie może być skierowane do naruszenia poufności, uczciwości i dostępności informacji (w tym naruszenie wykonywania CAD lub jego elementów).
3. Warunek rozpoczął wdrażanie procesu realizacji zagrożenia. Na tej podstawie można wdrożyć zagrożenie:
Na żądanie od obiektu w stosunku do którego zaimplementowano zagrożenie. W tym przypadku Violator spodziewa się przekazywania pewnego rodzaju żądania, który będzie warunkami rozpoczęcia nieautoryzowanego dostępu;
W przypadku występowania oczekiwanego zdarzenia w obiekcie, w stosunku do których zagrożenie jest realizowane. W tym przypadku Violator wykonuje trwałe monitorowanie stanu systemu operacyjnego CADOV i gdy w tym systemie wystąpi nieautoryzowany dostęp;
Bezwarunkowy wpływ. W tym przypadku rozpoczęcie wdrażania nieautoryzowanego dostępu jest bezwarunkowo w stosunku do celu dostępu, czyli zagrożenie jest wdrażane natychmiast i nieistotne dla statusu systemu.
4. Dostępność sprzężenie zwrotne Z cheenem. Na tej podstawie proces wdrażania zagrożenia może być z informacją zwrotną i bez opinii. Zagrożenie przeprowadzone w obecności informacji zwrotnej do systemu informacji danych osobowych charakteryzuje się faktem, że niektóre wnioski przekazywane do gęstości, wirnik jest wymagany do otrzymania odpowiedzi. W związku z tym istnieje sprzężenie zwrotne między systemem przemysłowym i informacyjnym danych osobowych, które pozwalają, że gwałcicielowi odpowiednie reaguje na wszystkie zmiany występujące w CDM. W przeciwieństwie do zagrożeń wdrożonych w obecności informacji zwrotnych z systemu informacyjnego danych osobowych, przy wdrażaniu zagrożeń bez opinii, nie jest konieczne reagowanie na jakiekolwiek zmiany występujące w CDN.
5. Lokalizacja intruza jest stosunkowo barwiona. Zgodnie z tym znakiem zagrożenie jest realizowane zarówno w klejnotach, jak i integnetywności.
Segment sieciowy jest fizycznym stowarzyszeniem gospodarzy (środki techniczne Dodge lub elementy komunikacyjne mające adres sieciowy). Na przykład segment systemu informacyjnego danych osobowych tworzy zestaw hostów podłączonych do serwera zgodnie z programem "Total Bus". W przypadku, gdy odbywa się zagrożenie intrażne, gwałciciel ma fizyczny dostęp do elementów sprzętowych CAD. Jeśli zachodzi zagrożenie odcinające, intruz znajduje się poza godnością, wdrażając zagrożenie z innej sieci lub z innego segmentu systemu informacyjnego danych osobowych.
6. Poziom odniesienia modelu interakcji otwartych systemów (ISO / OSI), na którym realizowane jest zagrożenie. Na tej podstawie zagrożenie może być realizowane na poziomie fizycznym, kanałowym, sieciowym, transporcie, sesji, przedstawiciela i zastosowania modelu ISO / OSI.
7. Stosunek liczby naruszeń i elementów godności w stosunku do których zagrożenie jest realizowane. Na tej podstawie zagrożenie można przypisać klasie zagrożeń realizowanych przez jedną naruszenie w odniesieniu do jednego środków technicznych CDN (zagrożenie "jeden do jednego"), bezpośrednio w stosunku do kilku technicznych środków CAD (zagrożenie " Jeden do wielu ") lub kilku gwałtownicami z różnych komputerów w stosunku do jednego lub wielu technicznych środków chadna (rozproszone lub połączone zagrożenia).
Biorąc pod uwagę przeprowadzoną klasyfikację, wybierz główne typy ataków w systemie informacyjnym danych osobowych:
1. Analiza ruchu sieciowego.
Zagrożeniem to jest wdrażane przy użyciu specjalnego oprogramowania analizatora pakietu, przechwytując wszystkie pakiety przesyłane za pomocą segmentu sieciowego i przydziela się między nimi, w których identyfikator użytkownika i jego hasło są przesyłane. Podczas realizacji zagrożenia, Violator studiuje logikę operacji sieci - to znaczy, ma na celu uzyskanie jednoznacznej zgodności zdarzeń występujących w systemie, a polecenia wysyłane ze wszystkimi tym hostami w momencie pojawienia się danych zdarzeń. W przyszłości pozwala to atakującym na podstawie zadania odpowiednich poleceń w celu uzyskania, uprzywilejowanych praw do działań w systemie lub rozszerzyć swoje uprawnienia w nim przechwycić strumień przesyłanych danych, które przekazują komponenty systemu operacyjnego sieciowego do wyciągania Informacje poufne lub identyfikacyjne, jego zastępowanie i modyfikacje.
2. Sieć logowania.
Istotą procesu wdrażania zagrożenia jest przeniesienie wniosków do usług sieciowych kluczy hostów i analizuje od nich odpowiedzi. Celem jest zidentyfikowanie stosowanych protokołów dostępnych do portów usług sieciowych, przepisami dotyczącymi tworzenia identyfikatorów połączeń, definicji aktywnych usług sieciowych, wybór identyfikatorów i haseł użytkownika.
3. Wykrywanie hasła.
Celem wdrożenia zagrożenia jest uzyskanie NSD przez pokonanie ochrony hasłem. Atakujący może wdrożyć zagrożenie za pomocą wielu metod, takich jak proste biust, brutalna siła przy użyciu specjalnych słowników, instalując złośliwy program do przechwycenia hasła, zastępowania zaufanego obiektu sieciowego i pakietów przechwytujących. Głównie na realizację zagrożeń są wykorzystywane przez specjalne programy, które próbują uzyskać dostęp do hosta przez spójny wybór haseł. W przypadku sukcesu atakujący może utworzyć punkt wejściowy dla przyszłego dostępu, który będzie działał, nawet jeśli musisz zmienić hasło dostępu na hoście.
4. Pusty zaufanego obiektu sieciowego i transmisji za pośrednictwem kanałów komunikacyjnych wiadomości w swoim imieniu z przypisaniem swoich praw dostępu.
Takie zagrożenie jest skutecznie wdrażane w systemach, w których stosowane są niestabilne algorytmy identyfikacji i algorytmy uwierzytelniania użytkownika. Pod zaufanym obiektem jest rozumiany jako obiekt sieciowy (komputer, firewall, router itd.), Legalnie podłączony do serwera. Dwie odmiany procesu wdrażania określonego zagrożenia mogą być izolowane: z zakładem i bez ustanowienia wirtualnego połączenia. Proces wdrażania z ustanowieniem związku wirtualnego jest przypisanie praw zaufanego podmiotu interakcji, co pozwala, by gwałcicielowi przeprowadzić sesję z przedmiotem sieci w imieniu zaufanego podmiotu. Wdrożenie zagrożenia ten typ Wymaga przezwyciężenia systemu identyfikacji i uwierzytelniania. Proces wdrażania zagrożenia bez ustalania wirtualnego połączenia może wystąpić w sieciach, które identyfikują przesyłane wiadomości tylko za pośrednictwem adresu sieciowego nadawcy. Podmiotem jest transfer wiadomości usługowych w imieniu urządzeń sterujących sieci (na przykład w imieniu routerów) na zmieniającym dane dotyczące trasy.
W wyniku zagrożenia zagrożenia, gwałcicielka otrzymuje prawa dostępu ustalone przez Użytkownika dla zaufanego abonenta do technicznego środków spisu ludności.
5. Instalowanie fałszywej trasy sieci.
To zagrożenie jest realizowane przez jeden z dwóch sposobów: przez nałożenie wewnątrzlodziej lub odcinające. Zdolność do nałożenia fałszywej trasy wynika z wad związanych z algorytmami routingu (w szczególności, ze względu na problem identyfikacji urządzeń sterujących sieci), w wyniku czego można uzyskać, na przykład, do gospodarza lub w Sieć atakującego, gdzie można wprowadzić środowisko operacyjne środków technicznych w środowisku operacyjnym CDN. Wdrożenie zagrożenia opiera się na nieuprawnionym stosowaniu protokołów routingu sieciowego i zarządzania siecią do wprowadzania zmian w tabelach ratingowych. W tym przypadku, gwałciciel musi zostać wysłany w imieniu komunikatu sterującego sieciowego (na przykład routera).
6. Widok obiektu fałszywego sieci.
Zagrożeniem to opiera się na wykorzystaniu braków algorytmów wyszukiwania zdalnych. Jeśli obiekty sieciowe początkowo nie posiadają informacji na temat siebie nawzajem, używane są różne protokoły zdalnego wyszukiwania, które są przesyłane do sieci specjalnych żądań i odbierania odpowiedzi z wyszukiwaniem informacji. W takim przypadku możliwe jest przechwycenie odpowiadającego odpychaniu zapytania i wystawianie fałszywej odpowiedzi na niego, którego użycie doprowadzi do żądanej zmiany danych dotyczących adresów trasy. W przyszłości cały przepływ informacji związanych z poświęceniem obiektu przejdzie przez fałszywy obiekt sieci
7. Uprawnienia w służbie.
Zagrożenia te opierają się na niedociągnięciach oprogramowania sieciowego, jego luk, które pozwalają, aby odporność na tworzenie warunków, gdy system operacyjny nie jest w stanie przetwarzać pakietów przychodzących. Można odizolować kilka odmian takich zagrożeń:
Ukryte odmowy utrzymania spowodowane przyciągnięciem części zasobów CDN do obsługi pakietów przesyłanych przez atakującego z redukcją przepustowości kanałów komunikacyjnych, urządzeń sieciowych, naruszających wymagania dotyczące żądania żądań. Przykłady wdrażania tego rodzaju mogą być: kierowane przez wnioski ECHO PROTOCOL ICMP, burza wniosków o ustanowienie połączeń TCP, zapytanie burzowe na serwer FTP;
Jasne odmowy utrzymania, spowodowanego wyczerpaniem zasobów, podczas przetwarzania pakietów przesyłanych przez atakującego (zajmowanie całej przepustowości przepustowości, kolejki serwisowe), w których wnioski prawne nie mogą być przesyłane przez sieć z powodu niedostępności transmisji średnia lub otrzymać awarię w konserwacji z powodu kolejki zapytań przepełnionych, przestrzeń dysku pamięci itp. Przykłady zagrożeń dla tego typu mogą służyć jako burza transmisji ICMP-echa, kierowana przez burzę, wiadomości sztormowe na serwer pocztowy;
Wyraźne odmowy utrzymania naruszenia logicznego związku między środkami technicznymi CPF podczas przesyłania odprawy komunikatów sterujących w imieniu urządzeń sieciowych prowadzących do zmiany danych dotyczących adresów trasy lub identyfikacji i informacji uwierzytelniających;
Jawny odmowa konserwacji spowodowany atakującym przez atakującego z niestandardowymi atrybutami lub o długości przekraczającą maksymalną dopuszczalną wielkość, co może prowadzić do zbierania urządzeń sieciowych zaangażowanych w przetwarzanie zapytania, pod warunkiem że istnieją błędy w programach wdrażających sieć wdrażająca protokoły wymiany. Wynikiem wdrożenia tego zagrożenia może naruszać wykonanie odpowiedniej usługi w celu zapewnienia zdalnego dostępu do PDN do PDN, przesyłanie z jednego adresu do takiej liczby wniosków do środków technicznych w składzie CADN, który maksymalny Ruch można leczyć, co pociąga za sobą przepełnienie kolejki zapytań i awarii jednego z usług sieciowych lub kompletnego zatrzymania komputera ze względu na niemożność systemu do angażowania się w jakikolwiek inny, z wyjątkiem przetwarzania zapytania.
8. Uruchom aplikacje.
Zagrożenie polega na pragnieniu uruchomienia innego wcześniejszego implementowanego złośliwego oprogramowania na hoście: zakładki, wirusy, "Sieci szpiegowskie", którego głównym celem jest naruszenie poufności, integralności, dostępności informacji i pełnej kontroli nad pracą gospodarza. Ponadto możliwe jest nieautoryzowane uruchomienie programów aplikacji użytkownika dla nieautoryzowanych uzyskiwania danych od wiązania, w celu uruchomienia procesów zarządzanych przez program aplikacji i innych. Wyróżnia się trzy podklasą danych zagrożenia:
Dystrybucja plików zawierających nieautoryzowany kodeks wykonywalny;
Uruchomienie zdalnego aplikacje przez przepełnione bufory serwera aplikacji;
Uruchomienie aplikacji zdalnej przy użyciu funkcji systemu zdalnego sterowania dostarczane przez Ukryte oprogramowanie i zakładki sprzętowe lub używane według standardu.
Typowe zagrożenia pierwszego z określonych podklasach opierają się na aktywowaniu rozproszonych plików w przypadku przypadkowego dostępu do nich. Przykłady takich plików mogą służyć: pliki zawierające kod wykonyny w formie makrocomandu (dokumenty Microsoft Word., Excel), Dokumenty HTML zawierające kod wykonywalny jako elementy ActiveX, Aplety Java, interpretowane skrypty (na przykład złośliwe oprogramowanie na JavaScript); Pliki zawierające kody wykonywalnych programów.
Usługi e-mail, przesyłanie plików, sieci mogą być używane do dystrybucji plików. system plików.
W zagrożeniu drugiego podklasy, wady programów wdrażających usługi sieciowe (w szczególności, nie stosuje się kontroli przelewu kontroli). Ustawianie rejestrów systemowych jest czasami możliwe, aby przełączyć procesor po przerwaniu spowodowanym przepełnieniem bufora, do wykonania kodu zawartego za granicą bufora.
W zagrożeniu trzeciej podklasy przestępca wykorzystuje zdolność do zdalnego zarządzania systemem dostarczonym przez ukryte elementy lub regularne elementy sterujące i podawanie sieci komputerowych. W wyniku ich użycia możliwe jest uzyskanie pilota na stacji w sieci. Schematycznie główne etapy pracy tych programów wyglądają następująco: instalacja w pamięci; Oczekiwanie na zdalne zapytanie hosta, na którym działa program klienta i wymiana wiadomości gotowości; Przesyłanie przechwyconych informacji do klienta lub zapewniając mu kontrolę nad zaatakowanym komputerem. Możliwe konsekwencje sprzedaży zagrożeń różnych klas przedstawiono w tabeli 1
Tabela 1. Możliwe konsekwencje wdrażania zagrożeń różnych klas
|
№
p / P. |
Rodzaj ataku | Możliwe konsekwencje | |
| 1 | Analiza ruchu sieciowego | Studium funkcji ruchu sieciowego, przechwytywanie przesyłanych danych, w tym identyfikatorów i hasła użytkowników | |
| 2 | Skanowanie sieci | Definicja protokołów dostępnych do portów usług sieciowych, przepisy tworzenia identyfikatorów połączeń, aktywnych usług sieciowych, identyfikatorów i haseł użytkowników | |
| 3 | Atak "Hasło" | Wykonywanie wszelkich destrukcyjnych działań związanych z uzyskaniem nieautoryzowanego dostępu | |
| 4 | Zastąpienie zaufanego obiektu sieciowego | Zmiana przejścia wiadomości, nieautoryzowana zmiana danych na trasie. Nieautoryzowany dostęp do zasobów sieciowych, imponujących fałszywych informacji | |
| 5 | Nakładanie fałszywej trasy | Nieautoryzowana zmiana danych dotyczących trasy, analizy i modyfikacji przesyłanych danych, imponujących fałszywych wiadomości | |
| 6 | Wdrażanie fałszywego obiektu sieciowego | Przechwytywanie i widok ruchu. Nieautoryzowany dostęp do zasobów sieciowych, nakładających fałszywe informacje | |
| 7 | Nieprzestrzeganie usługi | Częściowe wyczerpanie zasobów | Zmniejszenie przepustowości kanałów komunikacyjnych, urządzeń sieciowych. Zmniejszone aplikacje serwera. |
| Pełne wyczerpanie zasobów | Niezdolność do przesyłania wiadomości z powodu braku dostępu do medium transmisji, odmowa ustalenia połączenia. Odmowa świadczenia usługi. | ||
| Naruszenie logicznego związku między atrybutami, danymi, obiektami | Niemożność przesyłania wiadomości z powodu braku poprawnych danych adresowych. Niemożność uzyskiwania usług ze względu na nieautoryzowaną modyfikację identyfikatorów, haseł itp. | ||
| Wykorzystanie błędów w programach | Naruszenie urządzeń sieciowych. | ||
| 8 | Usunięcie aplikacji | Wysyłając pliki zawierające destrukcyjny kod wykonywalny, infekcję wirusową. | Naruszenie poufności, integralności, dostępności informacji. |
| Przepuszczając bufor aplikacja serwera. | |||
| Korzystając z możliwości zdalnego sterowania systemem dostarczonym przez Ukryte zakładki oprogramowania i sprzętu lub używane przez personel | Ukryty system zarządzania. | ||
Proces wdrażania zagrożenia w ogólnym przypadku składa się z czterech etapów:
Zbieranie informacji;
Inwazja (penetracja do środowiska operacyjnego);
Ćwiczenie nieautoryzowanego dostępu;
Eliminowanie śladów nieautoryzowanego dostępu.
Na etapie zbierania informacji gwałciciele mogą być zainteresowani różnorodnymi informacjami o gęstości, w tym:
Na topologii sieci, w której funkcjonuje system. Może to zbadać obszar wokół sieci (na przykład intruza może być zainteresowany adresami zaufanych, ale mniej chronionych gospodarzy). Istnieją media, które przeprowadzają równoległe definicję dostępności gospodarzy, które są w stanie zeskanować duży obszar przestrzeni adresowej dla dostępności gospodarzy w krótkim czasie;
Na rodzaju systemu operacyjnego (OS) w CPF. Możliwe jest zauważenie metody określania typu systemu operacyjnego, ponieważ najprostszy wniosek o ustalenie połączenia za pomocą protokołu zdalnego dostępu Telnet, w wyniku czego " wygląd»Odpowiedź Możesz określić typ systemu operacyjnego hosta. Obecność niektórych usług może również służyć jako dodatkowa funkcja, aby określić typ systemu operacyjnego hosta;
Na usługach działających na hostach. Definicja usług wykonanych na hoście opiera się na metodzie wykrywania "otwartych portów" mających na celu zbieranie informacji o dostępności gospodarza.
Na etapie inwazji zbadano obecność typowych luk w usługach systemowych lub błędów w administracji systemu. Udany wynik korzystania z luki jest zwykle uzyskiwany przez proces uprzywilejowanego trybu wykonania (dostęp do uprzywilejowanego trybu procesora), wprowadzając opis konta nielegalnego użytkownika, odbierania pliku haseł lub zdolności roboczej zaatakowanego gospodarza .
Ten etap rozwoju zagrożenia jest zazwyczaj wielofazowy. Fazy \u200b\u200bprocesu wdrażania zagrożenia mogą obejmować, na przykład: ustanowienie komunikacji z gospodarzem, w stosunku do których zagrożenie jest realizowane; identyfikacja wrażliwości; Wprowadzenie złośliwego programu w interesie rozwijających się praw i innych.
Zagrożenia wdrożone na końcu etapie są podzielone na poziomy stosu protokołu TCP / IP, ponieważ są one utworzone w sieci, transport lub poziomie zastosowanego w zależności od używanego mechanizmu inwazji. Rodzaj zagrożenia realizowane na poziomie sieci i transportu obejmują takie jak:
Zagrożenie mające na celu zastąpienie zaufanego przedmiotu;
Zagrożenie mające na celu stworzenie fałszywej trasy w sieci;
Zagrożenia mające na celu stworzenie fałszywego obiektu za pomocą niedociągnięć algorytmów wyszukiwania zdalnych;
Zagrożenia "odmowy konserwacji".
Typowe zagrożenia realizowane na poziomie wniosku obejmują zagrożenia mające na celu nieautoryzowane rozpoczęcie zastosowań, zagrożeń, których realizacja jest związana z wdrażaniem zakładek oprogramowania, z wykrywaniem haseł dostępu do sieci lub do konkretnego gospodarza itp. Jeśli realizacja zagrożenia nie przyniosła gwałtowności najwyższych praw dostępu w systemie, możliwe są próby rozszerzenia tych praw do najwyższego możliwego poziomu. W tym celu mogą być stosowane luki nie tylko usług sieciowych, ale także wrażliwość hostów oprogramowania systemowego.
Przy wdrażaniu nieautoryzowanego dostępu zostanie osiągnięte zagrożenie:
Kierownictwo poufności (kopiowanie, bezprawna dystrybucja);
Naruszenie uczciwości (zniszczenie, zmiana);
Naruszenie dostępności (blokowanie).
W tym samym etapie, po tych działaniach, z reguły, tzw. "Czarne wejście" powstaje w formie jednej z usług obsługujących jakiś port i wykonanie poleceń intruza. "Czarny login" pozostaje w systemie w interesie zabezpieczenia: możliwości dostępu do gospodarza, nawet jeśli administrator eliminuje lukę używaną do pomyślnego wdrożenia zagrożenia; Możliwości dostępu do gospodarza tak niskiego jak najniższe; Możliwości szybkiego dostępu do gospodarza (bez powtarzania procesu realizacji zagrożenia). "Czarne wejście" pozwala na wdrożenie złośliwego programu do sieci lub pewnego hosta, na przykład, "analizator haseł" jest programem, który przydziela identyfikatorów użytkowników i hasła z ruchu sieciowego, gdy protokoły wysokiego poziomu działają) . Obiekty implementacyjne złośliwym oprogramowaniem mogą być programy uwierzytelniające i identyfikacyjne, usługi sieciowe, rdzeń systemu operacyjnego, system plików, biblioteki itp
Wreszcie, na etapie wyeliminowania śladów zagrożenia, podejmowana jest próba niszczenia śladów działań przemocy. Jednocześnie odpowiednie wpisy zostaną usunięte ze wszystkich możliwych dzienników audytu, w tym rekordów o fakcie gromadzenia informacji.
1.4 Charakterystyka banku i jego działalność
PJSC "Sitibank" jest organizacją finansową i kredytową systemu bankowego Federacji Rosyjskiej, przeprowadzając transakcje finansowe z pieniędzmi i papierami wartościowymi. Bank zapewnia usługi finansowe jednostkom i podmiotom prawnym.
Główne działania mają pożyczanie dla osób prawnych i osób fizycznych, obsługa rachunków korporacyjnych, przyciągania środków na depozyty, operacje na rynkach walutowych i międzybankowych, inwestycje w obligacje i rachunki.
Bank przeprowadza działalność finansową od 1 sierpnia 1990 r., Na podstawie ogólnego licencji Banku Rosji na działalność bankową nr 356.
Bank ma trzy systemy informacyjne danych osobowych:
System informacji danych osobowych pracowników Banku - pozwala zidentyfikować 243 obiektów danych osobowych;
System informacji danych osobowych systemu sterowania i kontroli dostępu - pozwala zidentyfikować 243 badani danych osobowych;
System informacji danych osobowych zautomatyzowanego systemu bankowego - pozwala zidentyfikować 9681 osób danych osobowych.
1.5 Podstawa danych osobowych
W banku konieczne jest obronę kilku informacji jednocześnie jednocześnie, a mianowicie:
System informacji danych osobowych pracowników Banku;
System informacji danych osobowych systemów sterowania i kontroli dostępu;
System informacji danych osobowych zautomatyzowanego systemu bankowego.
1.5.1 System informacji danych osobowych pracowników organizacji
Anulowanie pracowników Banku służą do obciążenia pracowników Banku Banku, automatyzacji pracowników pracowników pracowników personelu, automatyzacji personelu księgowego Banku i rozwiązywania innych kwestii personelu i księgowości. Składa się z bazy danych 1C "Wynagrodzenie i Personel Management", znajduje się na oddzielnym zautomatyzowanym miejscu pracy z możliwością łączenia z miejscem pracy w sieci. AWP znajduje się w biurze Departamentu Personelu. W automatycznym miejscu pracy jest zainstalowany system operacyjny Microsoft Windows XP. Nie ma połączenia z siecią.
Pełne imię i nazwisko;
Data urodzenia;
Numer serii i paszportu;
Numer telefonu;
Prawo do pracy z oprogramowaniem wynagrodzeń i zarządzania personelem oraz oprogramowanie do zarządzania personelem i bazą danych osobowych:
Główny księgowy;
Główny asystent księgowy;
Szef działu zasobów ludzkich;
Pracownik odpowiedzialny za płacenie wynagrodzeń pracowników bankowych.
Ręczna zmiana danych;
1.5.2 System informacyjny kontroli danych osobowych i systemów kontroli dostępu
System informacji osobistych kontroli danych i systemów kontroli dostępu służą do przechowywania danych osobowych pracowników i odwiedzających Bank, które mają dostęp do różnych pomieszczeń Banku. Dystrybucja systemu kontroli i kontroli dostępu jest używany przez Departament Bezpieczeństwa Banku. Baza danych bazy danych jest ustawiona na AWP, która znajduje się w sali bezpieczeństwa dla bezpieczeństwa. System operacyjny Microsoft Windows 7 jest zainstalowany w tej dziedzinie, Microsoft SQL Server 2012 DBMS jest używany jako system zarządzania bazami danych. DVN Arts nie ma dostępu do lokalna siećA także nie ma dostępu do Internetu.
Następujące dane osobowe są przechowywane w DM
Pełne imię i nazwisko;
Fotografia pracownika.
Prawo do pracy z godnością systemu kontroli i kontroli dostępu ma:
Szef działu bezpieczeństwa banku;
Zastępca szefa działu Bezpieczeństwa Banku;
Pracownicy Departamentu Bezpieczeństwa Banku.
Dostęp do automatycznej stacji roboczej i systemu kontroli dostępu ma:
Administratorzy systemowi, aby administrować zautomatyzowanym miejscem pracy i oprogramowania 1C zarządzania wynagrodzeniem i osobistymi bazami danych;
Pracownicy podziału odpowiedzialnego za bezpieczeństwo informacji banku do administrowania systemem bezpieczeństwa informacji dotyczących broni.
Następujące funkcje mogą być wykonywane w godności pracowników Banku:
Zautomatyzowane usunięcie danych osobowych;
Ręczne usuwanie danych osobowych;
Ręczna zmiana danych;
Ręczne dodawanie danych osobowych;
Zautomatyzowane wyszukiwanie danych osobowych.
System informacyjny danych osobowych przechowuje dane, które umożliwiają identyfikację 243 pracowników Banku.
Po osiągnięciu celów przetwarzania danych osobowych pracownika, jego dane osobowe są usuwane z płyty CD.
1.5.3 System informacji danych osobowych zautomatyzowanego systemu bankowego
System informacji danych osobowych zautomatyzowanego systemu bankowego ma na celu zautomatyzowanie pracy większości pracowników bankowych. Pozwala zwiększyć wydajność pracowników. Jako zautomatyzowany system bankowy, kompleks produkty oprogramowania "CFT-Bank", wytwarzane przez Centrum Centrum Technologii Finansowych. Jako system zarządzania bazami danych używany jest oprogramowanie Oracle. Caiden jest wdrażany na serwerze Banku, system operacyjny zainstalowany na serwerze jest Microsoft Windows Server 2008 R2. Mieszkanie z automatycznego systemu bankowego jest podłączony do lokalnej sieci komputerowej Banku, ale nie ma dostępu do Internetu. Łączenie użytkowników do bazy danych bazy danych jest wykonany przy użyciu oprogramowania "CFT-Bank" z wybranych terminali wirtualnych. Każdy użytkownik ma własną nazwę użytkownika i hasło.
Dane osobowe przetwarzane w Dodge:
Pełne imię i nazwisko;
Data urodzenia;
Numer serii i paszportu;
Numer telefonu;
Prawo do pracy z oprogramowaniem "CTT-Bank" oprogramowania i danych osobowych ma:
Księgowi;
Pracownicy Departamentu Kredytów;
Pracownicy Departamentu Zarządzania Ryzykiem;
Oficerowie działów;
Osobiste menedżerowie;
Menedżerowie klientów;
Departament Bezpieczeństwa.
Dostęp do automatycznego miejsca pracy ma:
Administratorzy systemu, aby administrować serwerem, bazą danych osobistą i oprogramowaniem "CFT-Bank";
Pracownicy podziału odpowiedzialnego za bezpieczeństwo informacji banku, aby administrować serwerem, bazą danych osobowych i oprogramowania "CFT-Bank".
Następujące funkcje mogą być wykonywane w godności pracowników Banku:
Zautomatyzowane usunięcie danych osobowych;
Ręczne usuwanie danych osobowych;
Ręczne dodawanie danych osobowych;
Ręczna zmiana danych;
Zautomatyzowane wyszukiwanie danych osobowych.
System informacji danych osobowych są przechowywane dane, które umożliwiają identyfikację 243 pracowników bankowych i 9438 klientów bankowych.
Po osiągnięciu celów przetwarzania danych osobowych pracownika, jego dane osobowe są usuwane z płyty CD.
1.6 Urządzenie i zagrożenia lokalnej sieci komputerowej Banku
Serwer klienta typu sieciowy typu sieciowy jest wdrażany. Nazwa domeny, w której stacje robocze użytkownika są Vitabank.ru. Łącznie w banku 243 zautomatyzowane zadania użytkowników, a także 10 serwerów wirtualnych i 15 wirtualnych stacji roboczych. Sieć monitoruje dział administracja systemu. Sieć jest zbudowana głównie na sprzęcie sieciowej Cisco Corporation. Komunikacja z dodatkowymi biurami jest obsługiwana przy użyciu kanałów VPN korzystając z Internetu za pośrednictwem kanałów dostawców internetowych i kopii zapasowych. Wymiana informacji z bankiem centralnym występuje przez dedykowany kanał, a także poprzez konwencjonalne kanały komunikacji.
Dostęp do Internetu posiada wszystkich użytkowników na lokalnych stacjach roboczych, ale pracujących z dokumentami i systemami informatycznymi Banku przeprowadza się wyłącznie przy użyciu wirtualnych stacji roboczych, w których tylko lokalne zasoby bankowe są ograniczone i załadowane i pobierane.
Dostęp do Internetu z lokalnych stacji roboczych jest oddzielone grupami dostępu:
Minimalny dostęp - dostęp tylko na zasobach usług federalnych, na stronie Banku Rosji;
Normalny dostęp - wszystkie zasoby są dozwolone z wyjątkiem rozrywki, portale społecznościowe, Zabronione jest wyświetlanie plików wideo i pobierania.
Pełny dostęp - wszystkie zasoby i pliki do pobrania są dozwolone;
Zasoby filtrowania w różnych grupach dostępu są zaimplementowane przez serwer proxy.
Poniżej znajduje się schemat sieci PJSC Sitibank (rys. 5).
1.7 Narzędzia bezpieczeństwa informacji
Narzędzia ochrony informacji są kombinacją inżynierii i urządzeń technicznych, elektrycznych, elektronicznych, optycznych i innych urządzeń i urządzeń i systemy techniczne.Jak również inne elementy stosowane do rozwiązywania różnych zadań ochrony informacji, w tym wyciek ostrzeżeń i bezpieczeństwo chronionych informacji.
Narzędzia ochrony informacji w zakresie zapobiegania celom celowym w zależności od metody wdrażania można podzielić na grupy:
Fundusze techniczne (sprzętowe). Są one różne w rodzaju urządzenia (mechaniczne, elektromechaniczne, elektroniczne itp.), Które sprzętowe rozwiązuje zadania ochrony informacji. Kolidują z dostępem do informacji, w tym przy użyciu maskowania. Sprzęt obejmuje: generatory hałasu, filtry sieciowe, radio skanujące i wiele innych urządzeń, "nakładających się" kanały wycieku potencjalnego kanału lub wykryć je. Zalety środków technicznych są związane z ich niezawodnością, niezależnością od subiektywnych czynników, bardzo odpornych na modyfikację. Słabości są niewystarczająca elastyczność, stosunkowo duża objętość i waga, wysoki koszt.
Rysunek 5 Sieć Situbank PJSC
Narzędzia oprogramowania obejmują programy do identyfikacji użytkowników, kontroli dostępu, informacje o szyfrowaniu, usunięciu resztkowych (roboczych) informacji, takich jak pliki tymczasowe, system kontroli testu itp Korzyści z oprogramowania - wszechstronność, elastyczność, niezawodność, prostota instalacji, możliwość modyfikacji i rozwijać. Wady - ograniczona funkcjonalność sieci, korzystanie z części serwera zasobów i stacji roboczych, wysoka czułość Do przypadkowych lub celowych zmian, możliwa zależność od rodzajów komputerów (ich sprzętu).
Mieszany sprzęt i oprogramowanie implementuje te same funkcje, które sprzęt i oprogramowanie są oddzielnie i mają właściwości pośrednie.
Wszystkie pomieszczenia biurowe Banku są kontrolowane przez Usługę Bezpieczeństwa przy użyciu systemu zarządzania i kontroli dostępu, a także systemy nadzoru wideo. Wejście do pomieszczeń biurowych Banku przeprowadza się w obecności odpowiednich uprawnień w systemie sterowania i kontroli dostępu. Pracownik, z urządzeniem do pracy lub gościa do banku, jeśli to konieczne, dostęp do pomieszczeń biurowych Banku otrzymuje niekontaktowe karty zbliżeniowe, które nagrywają identyfikator użytkownika i próbując uzyskać dostęp do pokoju serwisowego, ten identyfikator jest Przesyłane do systemu sterowania i kontroli dostępu. System porównuje listę pomieszczeń, w których wejście karty użytkownika z pomieszczeniem, w którym chce dostać i pozwala lub ogranicza przejście do pokoju.
Oprogramowanie Kaspersky Endpoint Security 10 Software, który ma certyfikat zgodności z Rosją nr 3025, został zainstalowany na stacjach roboczych Banku, który jest ważny do 25 listopada 2019 r., Aktualizacja baz danych podpisu wirusów jest przeprowadzana przez Centralnie serwerowa część antywirusowego zainstalowanego na serwerze w banku.
Aby zorganizować elektroniczne zarządzanie dokumentami z organami banków centralnych, Bank przeprowadził dedykowany link.
Do organizacji zarządzania dokumentami elektronicznego z usługami federalnymi (federalna służba podatkowa, fundusz emerytalny Rosji, usługi monitorowania finansowego itp.) Wykorzystuje podpis elektroniczny. Aby pracować z elektronicznym podpisem na lokalnych stacjach roboczych wykonawców odpowiedzialnych za przepływ dokumentów z usługami federalnymi, specjalistyczne oprogramowanie zostało ustalone:
Crypto-pro csp;
Crypto-Arm;
Skji verb-ow;
Ski Validat;
Sygnał-csp.
Wykorzystanie niektórych oprogramowania przez Wykonawcę zależy od wymagań określonego ciała federalnego.
Na granicy lokalnej sieci banku zainstalowana jest firewall Cisco ASA 5512, produkcja Cisco Corporation. Ponadto krytyczne systemy bankowe (ARS Klient Banku Rosji, Swift, Dystrybucja Banku) są dodatkowo oddzielone od lokalnej sieci Firewalls Cisco. Tunele VPN do komunikacji z dodatkowym biurem organizowane są przy użyciu Firewalls Cisco.
1.8 Środki ochrony organizacyjnej
Według badania przeprowadzonego przez brytyjską firmę Ernst & Yong w 2014 r. 69 procent firm badawczych rozważa pracowników firmy głównym źródłem zagrożeń bezpieczeństwa informacji.
Pracownicy firmy mogą ujawnić krytyczne informacje potrzebne przez ignorancję lub ich niekompetencję w dziedzinie bezpieczeństwa informacji niezbędnych do popełnienia ukierunkowanych ataków na organizację. Ponadto napastnicy wysyłają wiadomości phishingowe z zagnieżdżonym złośliwym oprogramowaniem, co pozwala intruzowi zdobyć kontrolę nad miejscem pracy pracownika i z tego miejsca pracy, aby wziąć atak na systemy informacyjne Banku.
Dlatego Bank Departamentu Bezpieczeństwa Informacji jest zobowiązany do prowadzenia prac w sprawie szkoleń pracowników Banku do podstawowych zasad bezpieczeństwa informacji, monitorowanie zgodności z wymaganiami bezpieczeństwa podczas pracy w miejscach pracy, poinformować pracowników Banku o nowych zagrożeniach bezpieczeństwa informacji, z którymi Mogą spotkać.
W PJSC "Citibank" wszyscy pracownicy przechodzą instrukcje wprowadzające podczas pracy w pracy. Ponadto nowych pracowników, pracownicy przeniesione z innych podziałów strukturalnych podlegają przepisaniu pierwotnej w Departamencie Bezpieczeństwa Informacji, podczas których pracownicy wyjaśniają podstawowe zasady bezpieczeństwa informacji podczas pracy z systemami informacji o banku, zasady bezpieczeństwa podczas pracy w Internecie, zasady bezpieczeństwa podczas pracy Bank e-mail, polityka haseł banku.
Pracownicy Departamentu Bezpieczeństwa Informacji Banku uczestniczą w rozwoju i wdrażaniu nowych systemów informacji bankowych na wszystkich poziomach rozwoju systemu.
Przy projektowaniu systemu i opracowując zadanie techniczne w zakresie rozwoju systemu informacyjnego, Departament Bezpieczeństwa Informacji umieszcza wymagania bezpieczeństwa dla systemu.
Na etapie rozwoju systemu informacyjnego pracownicy Departamentu Bezpieczeństwa Informacji studiują bieżącą dokumentację, oprogramowanie testowe dla możliwych luk w kodzie programu.
Na etapie testowania i uruchomienia Dział Bezpieczeństwa Informacji aktywnie angażuje się w testowanie systemu informacyjnego, przeprowadza testy w celu przenikania systemu informacyjnego i testów odsyłających, dystrybuuje również prawa dostępu do systemu informacyjnego.
Na etapie funkcjonowania systemu informacyjnego już zlecone, Departament Bezpieczeństwa Informacji prowadzi monitorowanie, identyfikuje podejrzaną działalność.
W finalizacji systemu informacyjnego Departament Bezpieczeństwa Informacji, w oparciu o dane uzyskane podczas obsługi systemu informacyjnego buduje nowe wymagania dotyczące systemu informacyjnego.
Departament Bezpieczeństwa Informacji w PJSC "Sitibank" koordynuje wszystkie wnioski o dostęp do zasobów w Internecie, a także do wewnętrznych zasobów banku.
1.9 Cykl przetwarzania danych osobowych
Dane osobowe przechowywane w banku otrzymały tylko legalny sposób.
Otrzymane dane osobowe pracownika bankowego jest przetwarzane tylko w celu wypełnienia swoich obowiązków w sprawie umowy z pracownikiem. Dane osobowe pracownika bankowego otrzymane od samego pracownika. Wszyscy pracownicy bankowi znają banki z dokumentami banku, które ustanawiają procedurę przetwarzania danych osobowych pracowników Banku, a także ich praw i obowiązków w tej dziedzinie.
Dane osobowe pracowników bankowych przechowywanych w godności systemu kontroli i kontroli dostępu mają na celu przyznanie pracownika miejsce pracy.
Dane osobowe klientów Banku przechowywane w mieszkaniach zautomatyzowanego systemu bankowego są w nim przetwarzane tylko w celu wykonania obowiązków w ramach umowy zawartej z Klientem Banku. Również w mieszkaniu zautomatyzowanego systemu bankowego, dane osobowe osób, które nie zawierały zawarcia umowy z Bankiem, ale dane osobowe uzyskane przez prawne, na przykład, dane osobowe uzyskane i przetwarzane na wniosek prawa federalnego nr . 115-FZ z dnia 7 sierpnia 2001 r. Na przeciwdziałaniu legalizacji (pranie) przychodów uzyskanych przez terroryzm przestępczy i finansujący.
Po osiągnięciu celów przetwarzania danych osobowych są one zniszczone lub przekazane.
2. Opracowanie środków ochrony danych osobowych w banku
W PJSC "SITIBANK" system ochrony danych osobowych jest regulowany zarówno przez ustawy jak ustawy o regulacjach państwowych i lokalnych aktów regulacyjnych (na przykład reguł usług bankowych zdalnego podmiotów prawnych i poszczególnych przedsiębiorców w PJSC "Sitibank" w dodatku 1) .
PJSC "SITIBANK" system ochrony danych osobowych jest wystarczająco wystarczająco wystarczający, aby uniknąć prostych ataków typu phishingu i zakażenia stacji roboczych z wirusami szyfrowania, ale nie jest w stanie wytrzymać ukierunkowanych ataków mających na celu kradzieży danych osobowych.
Przeprowadziłem prace nad odbudową i modernizowaniem systemu ochrony danych osobowych.
2.1 Działania do ochrony lokalnej sieci komputerowej Banku oraz system informacji danych osobowych
W sieci PJSC "Citibank" istnieją wyraźne słabości, korzystając z których atakujący mogą uzyskać pełny dostęp do sieci Banku i przechwytują kontrolę nad nim, po czym będzie w stanie swobodnie ukraść, zmienić lub usunąć dane osobowe klientów lub pracowników banków.
Ponieważ sieć banku jest jednym segmentem, a następnie zminimalizować ryzyko intruzów do sieci Banku, należy podzielić na kilka segmentów przy użyciu wirtualnej technologii sieciowej.
Koncepcja technologii budowy wirtualnych sieci (VLAN) jest to, że administrator sieci może tworzyć logiczne grupy użytkowników, niezależnie od tego, czy są one podłączone do którego obszaru sieci. Możesz łączyć użytkowników do logicznych grup roboczych, na przykład na objawach wspólnotowych prac wykonywanych lub wspólnie rozwiązanych. Jednocześnie grupy użytkowników mogą współdziałać ze sobą lub być całkowicie niewidoczne. Członkostwo w grupie można zmienić, a użytkownik może być członkiem kilku grup logicznych. Wirtualne sieci tworzą logiczne domeny transmisji, ograniczając przepływ pakietów nadawanych przez sieć, a także routery, ruchu rozgłaszającego między segmentami sieciowymi. W związku z tym sieć wirtualna uniemożliwia pojawienie się burzach nadawanych, ponieważ wiadomości rozgłoszeni są ograniczone do członków sieci wirtualnej i nie można uzyskać członków innych wirtualnych sieci. Wirtualne sieci mogą umożliwiać dostęp do członków innej sieci wirtualnej w przypadkach, w których konieczne jest dostęp do wspólnych zasobów, takich jak serwery plików lub serwery aplikacji, lub gdy ogólne zadanie wymaga interakcji różnych usług, takich jak podziały kredytowe i rozrachunkowe. Wirtualne sieci można utworzyć za pomocą portów przełączających, fizyczne adresy urządzeń zawartych w sieci i adresy logicznych protokołów trzeciego poziomu modelu OSI. Zaletą sieci wirtualnych polega na dużą prędkością przełączników, ponieważ nowoczesne przełączniki zawierają wyspecjalizowany zestaw zintegrowanych obwodów specjalnie zaprojektowanych zadań przełączających na drugim poziomie modelu OSI. Wirtualne sieci na poziomie trzeciego w największych przepisów w instalacji, jeśli rekonfiguracja klienta sieciowa nie jest wymagana, głównie w podawaniu, ponieważ Wszelkie działania z siecią klienta wymaga rekonfiguracji samego klienta lub routera, a najmniej zginanie, ponieważ routing jest wymagany do przekazywania sieci wirtualnych, co zwiększa koszt systemu i zmniejsza jego wydajność.
W ten sposób tworzenie wirtualnych sieci w banku uniemożliwi stan ataku w fałszowaniu ARP. Atakujący nie będą mogli przechwycić informacje przechodzące między serwerem a klientem. Podczas przenikania sieci napastnicy nie będą mogli skanować nie całej sieci banku, ale tylko segment sieciowy, w którym otrzymali dostęp.
Gdy bank przeniknie bank, napastnicy najpierw skanują sieć, aby wyszukać krytyczne węzły sieciowe. Te węzły to:
Kontroler domeny;
Serwer proxy;
Serwer poczty elektronicznej;
Serwer plików;
Serwer aplikacji.
Ponieważ w banku lokalna sieć będzie zorganizowana przy użyciu technologii wirtualnej sieci, napastnicy nie będą mogli wykryć tych węzłów bez dodatkowych działań. Aby skomplikować napastników, aby znaleźć poszukiwania jednostek krytycznych sieci lokalnej i ich mylić, aw przyszłości do zbadania strategii intruzów podczas przeprowadzania ataku w sieci musisz użyć fałszywych przedmiotów, które przyciągają intruzów. Te obiekty nazywane są HoneyyPot.
Zadaniem HoneyPotu jest poddanie się ataku lub nieautoryzowanym badaniu, który później pozwoli na zbadanie strategii intruzów i określenie wykazu funduszy, w którym strajki mogą być zdeponowane zgodnie z obowiązującymi obiektami bezpieczeństwa. Wdrożenie HoneyyPot może być specjalnym serwem dedykowanym i jeden usługa sieciowaktórego zadaniem jest przyciągnięcie uwagi hakerów.
Honeypot to zasób, który nic nie robi bez wpływu na to. Honeypot zbiera niewielką ilość informacji, po przeanalizowaniu statystyk metod, które używają hakerów, a także określa obecność wszelkich nowych rozwiązań, które zostaną następnie stosowane w walce z nimi.
Na przykład serwer internetowy, który nie ma nazwy i praktycznie nikt nie wie, nie powinien, odpowiednio, mieć i goście przychodzą do niego, dlatego wszystkie osoby, które próbują przeniknąć, są potencjalnymi hakerami. Honeypot zbiera informacje o charakterze zachowania tych hakerów i ich sposobów wpływu na serwer. Następnie eksperci Departament Bezpieczeństwa Informacji Zbierają informacje o atakowaniu napastników do zasobów i rozwijają strategie odbicia ataków w przyszłości.
Aby kontrolować informacje przychodzące z sieci i wykrywają zagrożenia bezpieczeństwa informacji na etapie ich przeniesienia w sieci, a także wykrywanie aktywności napastników, którzy nasycili się lokalną siecią banku, konieczne jest ustanowić system zapobiegania włamaniom na granicy sieci.
System zapobiegania wtargnieniu jest systemem oprogramowania lub sprzętowym sieci sieci i komputera, który wykrywa inwazję lub zaburzenie bezpieczeństwa i automatycznie je ochronę.
Systemy zapobiegania włamaniom można uznać za kontynuację systemów wykrywania włamań, ponieważ zadanie ataków śledzenia pozostaje taki sam. Jednocześnie różnią się faktem, że system zapobiegania wtargnieniu monitoruje działanie w czasie rzeczywistym i szybko wdraża działania, aby zapobiec atakom.
Systemy zapobiegania wykrywania i włamaniom są podzielone na:
Sieciowe systemy zapobiegania włamaniom - analizować ruch kierowany do sieci organizacji przechodzącej w samej sieci lub skierowany do konkretnego komputera. Systemy wykrywania i zapobiegania włamaniom mogą być wdrażane przez oprogramowanie lub metody oprogramowania i sprzętu, są instalowane na obwodzie sieci korporacyjnej, a czasami wewnątrz niego.
Personal Intrusion Prevention Systems to oprogramowanie zainstalowane na stacjach roboczych lub serwerach oraz umożliwia monitorowanie działań aplikacji, a także aktywność sieciowej do możliwych ataków.
Do wdrażania w banku wybrano system zapobiegania włamaniom sieciowym.
Rozważono inwazje włamań sieciowych IBM, punkt kontrolny, Fortinet, Palo Alto, ponieważ deklarowana funkcjonalność producentów tych systemów zbliżyła się do wymogów podziału bezpieczeństwa informacji banku.
Po wdrożeniu stoisk testowych i testowania systemów zapobiegania włamaniom wybrano punkt kontrolny, ponieważ pokazał najlepszą prędkość, najlepszy podsystem do wykrywania oprogramowania wirusowego przesyłanego przez sieć lokalną, najlepszy zestaw narzędzi do protokacji i kronika ważnych wydarzeń i ceny zakupu.
System zapobiegania włamaniom IBM został wyleczony ze względu na koszty urządzeń przekraczających budżet Departamentu Bezpieczeństwa Informacji, aby kupić system zapobiegania włamaniom.
System zapobiegania włamaniom Fortinet został odnoszący się do reakcji w niepełnym wymiarze godzin podczas wykonywania pracowników Departamentu Bezpieczeństwa Informacji w zakresie przekazywania zainfekowanych plików i niewystarczające narzędzi informacyjnych do księgowania ważnych wydarzeń.
System zapobiegania włamaniom System Palo Alto został gotowany z powodu niewystarczająco informacyjnych narzędzi do kronika ważnych zdarzeń, nadmiernej trudności w pracy z systemem i pracować w większym stopniu jako router.
Aby wprowadzić lokalną sieć wybrany został wybrany system włamania do punktu kontrolnego. System ten wykrywał wysoki poziom wykrywania zagrożenia bezpieczeństwa, elastyczne ustawienia, możliwość rozszerzenia funkcjonalności poprzez zakup dodatkowych modułów oprogramowania, ma potężny system rejestrowania ważnych zdarzeń i potężny zestaw narzędzi do dostarczania raportów incydentów, z którymi jest wiele łatwiej do zbadania incydentów informacyjnych, które wystąpiły.
Schemat sieci PJSC "Citibank" z zmodyfikowaną architekturą jest prezentowany na rysunku 6.
2.2 Ochrona oprogramowania i sprzętu
Ponieważ bezpieczeństwo danych osobowych nie może być chroniony tylko przez sieć, ponieważ intruzów, pomimo wszystkich środków podjętych w celu ochrony sieci, mogą uzyskać dostęp do sieci Banku.
Rysunek 6 Schemat sieciowy Pao Sitibank z dodatkowymi systemami ochrony
W przypadku większej ochrony odpornej na atak należy dodać do urządzeń zaprojektowanych w celu ochrony urządzeń sieciowych, oprogramowania i ochrony sprzętowej lokalnych stacji roboczych, wirtualnych stacji roboczych, wirtualnych i konwencjonalnych serwerów.
Jako znany programy antywirusowe Nie chronić w pełni przed złośliwym oprogramowaniem, ponieważ pracują na zasadę analizy podpisu. Deweloper programistów antywirusowych ma ekspertów we własnym personerze, który śledzi aktywność wirusową w Internecie, badając zachowanie oprogramowania wirusowego na stacjach testowych i tworzyć podpisy, które są później wysyłane do komputerów użytkowników, aktualizując bazy danych podpisu oprogramowania antywirusowego. Antivirus, otrzymując zaktualizowaną bazę danych podpisu antywirusowego sprawdza pliki na stacji roboczej użytkownika i poszukuje znaków złośliwych oprogramowania, jeśli takie funkcje są wykrywane podczas weryfikacji, antywirus miga, a działa zgodnie z zainstalowanymi ustawieniami przez użytkownika lub administratora antywirusowego. Tak więc, jeśli złośliwe oprogramowanie nie zostanie wykryte i nie analizowane przez ekspertów firmy antywirusowej, antywirus nie będzie w stanie zidentyfikować złośliwego oprogramowania i nie podejmie żadnych działań, licząc sprawdzony plik bezpieczny. Dlatego w brzegu, w celu zmniejszenia prawdopodobieństwa pomijania i uruchamiania złośliwego oprogramowania, zainstalowano drugi obwód ochrony antywirusowej. Ponieważ programistom oprogramowania antywirusowego pracują głównie od siebie, złośliwe oprogramowanie, które nie zostało jeszcze wykryte przez jednego programistę programistów antywirusowych, można wykryć przez inną firmę-deweloper i podpisy można już utworzyć na wykrytym zagrożeniu.
W celu wdrożenia takiego schematu utworzono wirtualną stację roboczą, na której zainstalowano antywirus Enterprise Enterprise Enterprise Garnitur, który ma certyfikat zgodności FSTEC Rosji nr 2446, ważny do 20 września 2017 r. Wszystkie pliki, które pracownicy bankowi załadowali podczas ich pracy spadają na tę stację i są sprawdzane przez antywirus. W przypadku wykrywania złośliwego oprogramowania antywirus wysyła list do pracowników działu bezpieczeństwa informacji o nazwie zagrożenia i sposobu, w jaki przechowywany jest zainfekowany plik. Pracownicy Departamentu Bezpieczeństwa Informacji dokonują działań w celu usunięcia złośliwego oprogramowania. Jeśli użytkownicy załadowani przez użytkowników są testowane przez oprogramowanie antywirusowe, użytkownik, który pobrany plik wprowadza wniosek do Departamentu Bezpieczeństwa Informacji, a Pracownicy Departamentu wytrzymają pobrany plik do użytkownika.
Ponadto duża liczba złośliwych oprogramowania przychodzi do pracowników Banku przez e-mail. Może to być zarówno konwencjonalne wirusy szyfrowania, jak i złośliwe oprogramowanie, co pozwala intruzowi przeniknąć komputer infective pracownika bankowego za pomocą połączenia zdalnego.
Aby zminimalizować ryzyko takich zagrożeń dla serwera pocztowego Banku, zainstalowano oprogramowanie Anti-Virus Clamaw, zaprojektowane w celu ochrony serwerów poczty.
Aby chronić przed nieautoryzowanym dostępem wewnętrznych intruzów, w jakikolwiek sposób, który dowiedział się hasła użytkownika lokalnej stacji, która ma dostęp do systemów informacyjnych danych osobowych, musisz zainstalować użytkowników pracujących z systemami informacyjnymi danych osobowych do systemu ochrony systemu przed nieautoryzowanym dostęp.
.Szkolenie pracowników Banku odbywa się przez specjalistę Departamentu Bezpieczeństwa Informacji.
Pracownik Departamentu Bezpieczeństwa Informacji prowadzi szkolenie w pewnym planie podziału Banku. Po ukończeniu studiów pracownicy działu ulegają testom, w których potwierdzają wiedzę zdobyte na uczeniu się.
Podstawowa polityka bezpieczeństwa jest regulowana przez uczenie się w każdej jednostce co najmniej cztery razy w roku.
Równolegle równolegle ze szkoleniem pracowników, pracownicy Departamentu Bezpieczeństwa Informacji są zobowiązane co najmniej raz w miesiącu, aby wysyłać listów informacyjnych wszystkich pracowników, które opisują podstawowe zasady bezpieczeństwa, nowe zagrożenia dla bezpieczeństwa informacji, jeśli tak znaleziono.
2.3.2 Procedura dostępu do pracowników do zasobów internetowych
3 grupy grup dostępu do Internetu zostały utworzone w banku, ale taką oddzielenie dostępu jest nieefektywne, ponieważ pracownik ma potrzebę wypełnienia swoich obowiązków urzędowych, konieczność uzyskania informacji z zasobów sieciowych zawartych w grupie pełnej dostępu, Potem będzie musiał dać pełny dostęp do Internetu, który jest niebezpieczny.
Grupa 6: Pobieranie archiwów - Grupa nie zapewnia żadnego dostępu do zasobów internetowych;Grupa 7: Pobierz pliki wykonywalne - Grupa nie zapewnia żadnego dostępu do zasobów internetowych;
Grupa 8: Pełny dostęp do Internetu - pełny dostęp do zasobów internetowych, pobierz dowolne pliki.
Aby uzyskać dostęp do zasobów internetowych, pracownik tworzy wniosek za pośrednictwem Systemu ServiceSK i po zatwierdzeniu przez kierownika głowy lub zarządzania oraz funkcjonariusza bezpieczeństwa informacji, pracownik jest wyposażony w dostęp do zasobów internetowych zgodnie z żądaną grupą.
2.3.3 Procedury dostępu do pracowników dla zasobów wewnątrz
Podstawowe dokumenty dotyczące pracy pracownika znajdują się w lokalnym miejscu pracy lub w zautomatyzowanym systemie, w którym działa. Ponadto każdy podział banku na serwerze plików bankowych ma sekcję, w której informacje potrzebne przez kilku pracowników jednostki i która jest duża dla transmisji przez e-mail Banku.
Kiedy nowy pracownik jest przystosowany do pracy w Banku, jego bezpośredni przywódca wysyła żądanie przez ServiceDesk System do Departamentu Administracji Systemu zapewniają dostęp do zasobu Intrarabank i po zatwierdzeniu wniosku przez funkcjonariusza bezpieczeństwa informacji, pracownikiem Departament administracji systemowej otwiera nowy dostęp do pracowników do żądanego zasobu.
Często istnieją sytuacje, w których dzieło kilku podziałów banków przecinają się i wymianę informacji te działowe wymagają oddzielnego na serwerze plików bankowych.
Aby utworzyć tę sekcję, kierownik projektu, szef jednego z działów związanych z projektem w projekcie tworzy wniosek za pośrednictwem systemu ServiceDesk, aby stworzyć wspólny zasób i dostęp do tego zasobu niektórych pracowników swoich jednostek pracujących na stawie Projekt i szef jednostki, z którą projekt współpracuje w ramach projektu. Po zatwierdzeniu przez pracownika Departamentu Informacyjnego pracownika Departamentu Administracji Systemowej tworzy żądany zasób i zapewnia dostęp do stwierdzonych pracowników. Każda szefa podziału uczestnicząca w projekcie żąda dostępu tylko do tych pracowników, którzy są w podporządkowaniu.
2.3.4 Obsługa pracowników z e-mailem
Wcześniej, przed utworzeniem podstawowej polityki bezpieczeństwa, każdy sam pracownik ustalił stopień niebezpieczeństwa liter i plików, które pojawiły się do wiadomości e-mail z zewnętrznych serwerów poczty.
Po utworzeniu podstawowej polityki bezpieczeństwa każdy użytkownik jest obciążony każdemu pliku otrzymanym przez e-mail z zewnętrznych serwerów poczty, aby wysłać do działu bezpieczeństwa informacji, aby sprawdzić go w celu uzyskania złośliwego oprogramowania, stopień niebezpieczeństwa liter, które pracownika określa niezależnie. Jeśli pracownik banku podejrzewa, że \u200b\u200bw wiadomości przychodzącym jest spam lub phishing, zobowiązany jest do całkowitego wysyła list, czyli, zawierający wszystkie informacje o serwisie nadawcy, jej skrzynki pocztowej i adresu IP, do Departamentu Bezpieczeństwa Informacji. Po przeanalizowaniu podejrzanego listu, a przy potwierdzeniu zagrożenia niniejszym listem, wysyłanie informacji bezpieczeństwa wysyła adres nadawcy listu do Departamentu Administracji Systemu, a pracownik Departamentu Administracji Systemowej wchodzi do adresu nadawcy listu na czarną listę.
Zawsze blokuj miejsce pracy podczas jej ważenia.
2.3.6 Zasady dostępu do pracowników danych osobowych
Zgodnie z art. 89 Rozdziału 14 Kodeksu Pracy Federacji Rosyjskiej, pracownik Banku ma prawo dostępu do swoich danych osobowych, ale może przetwarzać dane osobowe od innych pracowników banków lub klientów bankowych, aby spełnić swoje oficjalne obowiązki.
Aby zapewnić kontrolę nad dostępem w systemach informacyjnych danych osobowych, w Banku instalowane są następujące zasady dostępu do systemów informacyjnych danych osobowych.
Tylko pracownicy, których obowiązki zawodowe obejmują przetwarzanie danych osobowych, mają dostęp do Dodge;
Dostęp do mieszkania jest dozwolony tylko z lokalnego miejsca pracy pracownika pracującego z danymi osobowymi;
Dokument został utworzony w banku, który określa osobiście pracowników, którzy mają dostęp do danych osobowych pracowników i klientów banku, wskazującą system informacyjny danych osobowych oraz listę danych osobowych dozwolonych przez pracownika.
3. Uzasadnienie ekonomiczne projektu
Aby wdrożyć system ochrony danych osobowych, konieczne jest zakup:
Sprzęt do ochrony sieci Banku;
Ochrona informacji o sprzęcie;
Oprogramowanie bezpieczeństwa informacji.
Aby odbudować sieć organizacji, konieczne jest zakup przełączników Cisco Catalyst 2960 w wysokości 3 kopii. Jeden przełącznik jest wymagany do pracy na poziomie podstawowym Banku, 2 inne do pracy na poziomie dystrybucji. Sprzęt sieciowy pracował w banku przed zaangażowaniem restrukturyzacji.
Całkowity koszt (RUB) 9389159 613
Doktor Web Enterprise Suit15005500
Całkowity koszt1 371 615
Wniosek
W swoim projekcie Graduation przejrzyłem ramy regulacyjne dla ochrony danych osobowych. Sprawdziłem główne źródła zagrożeń bezpieczeństwa danych osobowych.
W oparciu o zagrożenia dla zagrożeń spersonalizowanych przeanalizowałem istniejący system ochrony danych osobowych w PJSC "Citibank" i doszedł do wniosku, że potrzebuje poważnego udoskonalenia.
W procesie projektu Graduation stwierdzono słabe strony w sieci lokalnej Banku. Biorąc pod uwagę wykryty słabe miejsca W lokalnej sieci banku, środki są zdefiniowane, aby zminimalizować ryzyko bezpieczeństwa sieci bezpieczeństwa banku.
Omówiono również i wybrane urządzenia i oprogramowanie do ochrony lokalnych miejsc pracy pracowników przetwarzających dane osobowe pracowników i klientów bankowych.
Z moim udziałem stworzono system podniesienia świadomości pracowników w zakresie bezpieczeństwa informacji.
Kolejność dostępu pracowników bankowych do Internetu została głęboko przetworzona, grupa dostępu do Internetu została przeprojektowana. Nowe grupy dostępu do Internetu pozwalają na znacząco zminimalizować ryzyko bezpieczeństwa informacji z powodu ograniczonych użytkowników plików pobierania, wprowadź niedozwolone zasoby.
Obliczenia mają koszt przebudowy sieci i tworzenie realnego systemu do ochrony danych osobowych, które mogą odzwierciedlać większość zagrożeń bezpieczeństwa informacji.
Lista używanych literatury
1. "Konstytucja Federacji Rosyjskiej" (przyjęta przez głosowanie krajowe 12.12.1993) (biorąc pod uwagę poprawki dokonane przez prawa Federacji Rosyjskiej w sprawie zmian w Konstytucji Federacji Rosyjskiej z 30.12.2008 N 6-FKZ , od 30.12.2008 N 7-FKZ, od 05.02.2014 N 2-FCZ, od 07.21.2014 N 11-FCZ) // oficjalny tekst Konstytucji Federacji Rosyjskiej z zmieniony 21.07.2014 Opublikowano w oficjalnym Internecie Portal informacji prawnych http://www.prawo.gov.ru, 08/01/2014
2. "Podstawowy model zagrożenia dla bezpieczeństwa danych osobowych podczas przetwarzania w systemach informacyjnych danych osobowych" (ekstrakt) (zatwierdzony. FSTEC RF 15.02.2008)
Prawo 3.Federalne z dnia 27 lipca 2006 N 149-FZ (Ed. Dated 06.07.2016) "W informacji, technologie informacyjne i ochrona informacji" // w tym formularzu, dokument nie został opublikowany. Serial tekst dokumentu jest publikowany w rosyjskim Gazeta, N 165, 29.07.2006
4. "Kodeks pracy Federacji Rosyjskiej" z dnia 30 grudnia 2001 N 197-FZ (ed. 0.07.2016) (z zmiennym i dodanym, wpis za 10.10.2016) // w tym formularzu, dokument nie został opublikowany , początkowy tekst dokumentu jest publikowany w rosyjskim Gazecie, N 256, 12/31/2001
5. Zalecenie rządu Federacji Rosyjskiej w wysokości 01.11.2012 N 1119 "w sprawie zatwierdzenia wymogów dotyczących ochrony danych osobowych podczas przetwarzania w systemach informacyjnych danych osobowych" // "Rosyjski Gazeta", N 256, 07.11.2012
6. FSTEC z Rosji z dnia 18.02.2013 nr 21 "w sprawie zatwierdzenia składu i utrzymania środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych osobowych podczas przetwarzania w systemach informacyjnych danych osobowych" (zarejestrowany w Ministerstwie Sprawiedliwości Rosji 05/14/2013 N 28375) // "Rosyjska gazeta", N 107, 05/22/2013
7. "Standard Bank of Rosja" zapewniający bezpieczeństwo informacji organizacji systemu bankowego Federacji Rosyjskiej. Przepisy ogólne "Str BR IBBS-1.0-2014" (przyjęte i wprowadzone w życie przez Zakon Banku Rosji z 17.05.2014 N R-399) // "Biuletyn Banku Rosji", N 48-49, 05/30/2014.
8. "Przepisy dotyczące wymogów dotyczących ochrony informacji we wdrażaniu transferów gotówkowych oraz procedurę wdrażania przez bank Rosji Kontroli w sprawie zgodności z wymogami dotyczącymi ochrony informacji we wdrażaniu transferów gotówkowych" (zatwierdzonych. Bank of Rossed 09.06.2012 N 382-P) (ED. Od 14.08.2014) (Zarejestrowany w Ministerstwie Sprawiedliwości z Rosji 14.06.2012 N 24575) // W tym formie, dokument nie został opublikowany, początkowy tekst Dokument został opublikowany w "Biuletynu Banku Rosji", N 32, 22.06.2012
9. "Przepisy dotyczące procedury składania przez instytucje kredytowe do upoważnionego organu informacji przewidzianych przez prawo federalne" w sprawie przeciwdziałania legalizacji (praniu) przychodów otrzymanych przez środki karne i finansowanie terroryzmu "(zatwierdzony przez Bank Rosji 29.08. 2008 N 321-P) (ED ) (Zarejestrowany w Ministerstwie Sprawiedliwości z Rosji 16.09.2008 N 12296) // w tym formularzu, dokument jest publikowany, nie był, początkowy tekst dokumentu został opublikowany w "Biuletynie Banku Rosji", N 54 , 26.09.2008.
10. Dziedzictwo FSTEC z Rosji w dniach 18.02.2013 nr 21 "w sprawie zatwierdzenia składu i treści środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych osobowych podczas przetwarzania w systemach informacyjnych danych osobowych" (zarejestrowany w Ministerstwie Sprawiedliwości z Rosji 05/14/2013 N 28375) // "Rosyjska gazeta", N 107, 05/22/2013
11. Averchenkov V.i., Ryt M.yu., Gainulin T.r. Ochrona danych osobowych w organizacjach. M.: Flint, 2018
12.agapov A. B. Fundamenty administracji publicznej w dziedzinie informatyki w Federacji Rosyjskiej. M.: Lawyer, 2012
13 uniwersytety. Wykonanie instrumentu. 2012. T. 55, № 11
14. Moldovyan A. A. Cryptography w celu ochrony informacji o komputerach (część 1) // integralną. 2014. № 4 (18)
15.Rodanov O.a., Babin S.a., Zhdanov S.g. Wsparcie organizacyjne bezpieczeństwa informacji. - M.: Academy, 2016
16. Shultz V.L., Rudchenko A.D., Yurchenko A.v. Bezpieczeństwo działalności gospodarczej. M.: Wydawnictwo "Yurait", 2017
Aplikacje (istnieje archiwum z pracą).
POZYCJA
o ochronie danych osobowych
Klienci (subskrybenci)
w finansach LLC Ortes
Warunki i definicje
1.1. Informacje osobiste- wszelkie informacje związane z pewną lub zdefiniowaną osobą fizyczną na podstawie takich informacji (temat danych osobowych), w tym jej nazwisko, nazwa, patronymika, rok, miesiąc, data i miejsce urodzenia, adres, adres e-mail, numer telefonu, Rodzina, status społeczny, nieruchomości, edukacja, zawód, dochody, inne informacje.
1.2. Przetwarzanie danych osobowych- Działania (operacje) z danymi osobowymi, w tym gromadzenie, systematyzacji, akumulacji, przechowywania, wyrafinowania (aktualizacji, zmiany), stosowania, dystrybucji (w tym transmisji), płuciny, blokowanie.
1.3. Polityka prywatności- Obowiązkowe zgodne z wyznaczoną osobą odpowiedzialną, która zdobyła dostęp do danych osobowych, wymóg zapobiegania ich rozpowszechnianiu bez zgody przedmiotu lub innych podstaw prawnych.
1.4. Dystrybucja danych osobowych- działania mające na celu przeniesienie danych osobowych do określonego kręgu osób (transfer danych osobowych) lub zapoznanie się z danymi osobowymi nieograniczonego kręgu osób, w tym publikację danych osobowych w środkach Środki masowego przekazu, Zakwaterowanie w sieciach informacyjnych i telekomunikacyjnych lub zapewnienie dostępu do danych osobowych w inny sposób.
1.5. Korzystanie z danych osobowych- działania (operacje) z danymi osobowymi popełnionymi podejmowanie decyzji lub popełnienia innych działań, które generują konsekwencje prawne dotyczące przedmiotów danych osobowych lub w inny sposób wpływają na ich prawa i wolności lub prawa i wolność innych osób.
1.6. Blokowanie danych osobowych- Tymczasowe zakończenie zbierania, systematyzacji, akumulacji, stosowania, rozpowszechniania danych osobowych, w tym ich transferu.
1.7. Zniszczenie danych osobowych- Działania, w wyniku czego nie można przywrócić treści danych osobowych w systemie informacyjnym danych osobowych lub w wyniku czego niszczenie przewoźników materiałowych.
1.8. Definicja danych osobowych- Działania, w wyniku czego nie jest to niemożliwe bez użycia dodatkowych informacji do określenia przynależności danych osobowych do konkretnego przedmiotu.
1.9. Publiczne dane osobowe.- Dane osobowe, dostęp do nieograniczonego zakresu osób, które są świadczone za zgodą tematu lub zgodnie z przepisami federalnymi nie ma zastosowania do wymogu poufności.
1.10. Informacja- Dane (wiadomości, dane), niezależnie od formy ich prezentacji.
1.11. Klient (dane osobowe)- Osoby fizyczne Usługi konsumenckie Ortedy finansowe, dalsza "organizacja".
1.12. Operator- Państwowe ciało, ciało komunalne, prawne lub indywidualne, niezależnie lub wraz z innymi osobami organizującymi i (lub) przetwarzaniem danych osobowych, a także określenie celów przetwarzania danych osobowych, skład danych osobowych, które należy przetworzyć, działania (operacje) wykonane Dane osobiste. W ramach tego przepisu operator uznaje spółkę z ograniczoną odpowiedzialnością Ortes;
2. Przepisy ogólne.
2.1. Niniejsze rozporządzenie w sprawie przetwarzania danych osobowych (zwanej dalej rozporządzeniem) został opracowany zgodnie z Konstytucją Federacji Rosyjskiej, Kodeksu Cywilnego Federacji Rosyjskiej, Prawo Federalne "Informacje, Informacje Technologii i Ochrony Informacji", Prawo federalne 152-FZ "na danych osobowych", inne prawa federalne.
2.2. Celem opracowywania sytuacji jest określenie procedury przetwarzania i ochrony danych osobowych wszystkich organizacji organizacji, których dane mają być przetwarzane, na podstawie uprawnień operatora; Zapewnienie ochrony praw człowieka i wolności oraz obywatela w przetwarzaniu swoich danych osobowych, w tym ochrony praw do prywatności, tajemnic osobistych i rodzinnych, a także ustanowienia odpowiedzialności urzędników, którzy mają dostęp do danych osobowych Nieprzestrzenkowanie wymogów regulujących zasad i ochrony danych osobowych.
2.3. Procedura uruchamiania i zmiany pozycji.
2.3.1. Niniejsze rozporządzenie wchodzi w życie z momentu jego zatwierdzenia przez Dyrektora Generalnego Organizacji i działa w nieskończoność, przed zastąpieniem nową sytuacją.
2.3.2. Zmiany w rozporządzeniu są dokonywane na podstawie zamówień dyrektora generalnego organizacji.
3. Skład danych osobowych.
3.1. Skład danych osobowych klientów, w tym:
3.1.1. Pełne imię i nazwisko.
3.1.2. Rok urodzenia.
3.1.3. Miesiąc urodzenia.
3.1.4. Data urodzenia.
3.1.5. Miejsce urodzenia.
3.1.6. Szczegóły paszportu
3.1.7. Adres e-mail.
3.1.8. Numer telefonu (dom, komórkowy).
3.2. Organizacje można utworzyć (są tworzone, gromadzone), a następujące dokumenty i informacje są przechowywane, w tym w formacie elektronicznym.zawierające dane klientów:
3.2.1. Wniosek o zbadanie możliwości łączenia jednostki.
3.2.2. Traktat (oferta publiczna).
3.2.3. Potwierdzenie przystąpienia do umowy.
3.2.5. Kopiuje dokumenty tożsamości, a także inne dokumenty dostarczone przez klienta oraz zawierające dane osobowe.
3.2.6. Informacje o opłatach zamówień (towary / usługi) zawierające płatność i inne szczegóły klienta.
4. Cel przetwarzania danych osobowych.
4.1. Celem przetwarzania danych osobowych jest realizacja zestawu działań mających na celu osiągnięcie celu, w tym:
4.1.1. Świadczenie usług doradczych i informacji.
4.1.2. Inne transakcje nie zakazane przez prawo, a także zestaw działań z danymi osobowymi niezbędnymi do spełnienia powyższych transakcji.
4.1.3. W celu spełnienia wymagań prawodawstwa Federacji Rosyjskiej.
4.2. Warunkiem zatrzymania przetwarzania danych osobowych jest eliminacja organizacji, a także odpowiednim wymogiem klienta.
5. Kolekcja, przetwarzanie i ochrona danych osobowych.
5.1. Procedura uzyskania (zbierania) danych osobowych:
5.1.1. Wszystkie dane osobowe Klienta należy uzyskać od niego osobiście ze swoją pisemną zgodą, z wyjątkiem przypadków określonych w pkt 5.1.4 i 5.1.6 niniejszych warunków i innych przypadków przewidzianych przez prawa Federacji Rosyjskiej.
5.1.2. Klienta zgoda na wykorzystanie swoich danych osobowych jest utrzymywany w organizacji w formie papierowej i / lub elektronicznej.
5.1.3. Zezwolenie przedmiotu do przetwarzania danych osobowych jest ważny w całej kadencji umowy, a także przez 5 latod daty zakończenia relacji umownych klienta z organizacją. Po upływie określonego okresu Umowa jest uważana za wyłączeniem przez następne pięć lat w przypadku braku informacji o jego wycofaniu.
5.1.4. Jeśli dane osobowe klienta można uzyskać tylko z osoby trzeciej, klient musi zostać powiadomiony o tym z wyprzedzeniem, a pisemna zgoda powinna zostać uzyskana z niego. Osoba trzecia, która zapewnia dane osobowe Klienta, musi mieć zgodę z zastrzeżeniem przekazywania danych osobowych organizacji. Organizacja jest zobowiązana do otrzymania potwierdzenia danych osobowych przekazujących klientów trzeciej, że dane osobowe są przekazywane do jego zgody. Organizacja jest wymagana podczas interakcji z stronami trzecimi do zawarcia umowy o poufności informacji dotyczących danych osobowych klientów.
5.1.5. Organizacja jest zobowiązana do poinformowania Klienta o celu zamierzonego źródeł i metod uzyskiwania danych osobowych, a także charakter danych osobowych, które należy uzyskać oraz konsekwencje niewydolności klientów, aby wyrazić pisemną zgodę na ich otrzymanie.
5.1.6. Przetwarzanie danych osobowych klientów bez ich zgody przeprowadza się w następujących przypadkach:
5.1.6.1. Dane osobowe są publicznie dostępne.
5.1.6.2. Na wniosek upoważnionych organów państwowych w sprawach przewidzianych przez prawo federalne.
5.1.6.3. Przetwarzanie danych osobowych przeprowadza się na podstawie prawa federalnego ustanawiającego jego cel, warunki uzyskiwania danych osobowych i kręgu przedmiotów, których dane osobowe podlegają przetwarzaniu, a także określenia uprawnień operatora.
5.1.6.4. Przetwarzanie danych osobowych przeprowadza się w celu zawarcia i wykonania umowy, której jeden z stron jest przedmiotem danych osobowych - Klienta.
5.1.6.5. Przetwarzanie danych osobowych przeprowadza się do celów statystycznych podlegających obowiązkowym wyczerpaniu danych osobowych.
5.1.6.6. W innych przypadkach przewidziane przez prawo.
5.1.7. Organizacja nie ma prawa otrzymać i obsługiwać dane osobowe Klienta na temat jego rasowej, narodowej, poglądów politycznych, przekonań religijnych lub filozoficznych, zdrowia, intymnego życia.
5.2. Procedura przetwarzania danych osobowych:
5.2.1. Osobista jednostka danych zapewnia organizacjom wiarygodnych informacji o sobie.
5.2.2. Do dyspozycji Dostęp do danych osobowych klientów można uzyskać tylko pracownicy organizacji, zezwolenie na współpracę z danymi osobowymi klienta, do obsługi danych osobowych klientów i podpisali dane osobowe klienta.
5.2.3. Prawo do dostępu do danych osobowych klienta w organizacji ma:
Dyrektor Generalny Organizacji;
Pracownicy odpowiedzialni za obliczenia finansowe (menedżer, księgowy).
Pracownicy obsługi klienta (szef działu sprzedaży, menedżer).
Pracownicy IT (dyrektor techniczny, administrator systemu).
Klient jako jednostka danych osobowych.
5.2.3.1. Szacunkowa lista pracowników organizacji, z dostępem do danych osobowych klientów, jest określona przez porządek dyrektora generalnego organizacji.
5.2.4. Przetwarzanie danych osobowych Klienta można przeprowadzić wyłącznie do celów ustalonej pozycji i zgodności z ustawami prawnymi i innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej.
5.2.5. Przy określaniu objętości i treści przetworzonych danych osobowych organizacja prowadzona jest przez Konstytucję Federacji Rosyjskiej, ustawy o danych osobowych oraz innych przepisów federalnych.
5.3. Ochrona danych osobowych:
5.3.1. Zgodnie z ochroną danych osobowych klientów kompleks środków (organizacyjnych i administracyjnych, technicznych, prawnych) miały na celu zapobieganie bezprawnym lub przypadkowym dostępie do nich, zniszczenie, zmiany, blokowanie, kopiowanie, rozpowszechnianie danych osobowych przedmiotów, a także inne nielegalne działania.
5.3.2. Ochrona danych osobowych klienta odbywa się na koszt organizacji w sposób przepisany przez federalne prawo Federacji Rosyjskiej.
5.3.3. Organizacja w ochronie danych osobowych klientów przyjmuje wszystkie niezbędne środki organizacyjne i administracyjne, prawne i techniczne, w tym:
Ochrona antywirusowa.
Analiza ochrony.
Zapobieganie wykrywania i inwazji.
Kontrola dostępu.
Rejestracja i księgowość.
Zapewnienie uczciwości.
Organizacja regulacyjnych i metodologicznych aktów lokalnych regulujących ochronę danych osobowych.
5.3.4. Ogólna organizacja ochrony danych osobowych klientów prowadzona jest przez dyrektora generalnego organizacji.
5.3.5. Dostęp do danych osobowych klienta posiada pracownicy organizacji, że dane osobowe są konieczne w związku z wykonywaniem obowiązków pracy.
5.3.6. Wszyscy pracownicy związani z pokwitowaniem, przetwarzaniem i ochroną danych osobowych klientów są zobowiązani do podpisania umowy o nie ujawnianiu danych osobowych klientów.
5.3.7. Procedura wprowadzania dostępu do danych osobowych klienta obejmuje:
Zapoznanie pracownika w ramach malowania niniejszym rozporządzeniem. Jeśli istnieją inne akty regulacyjne (zamówienia, zamówienia, instrukcje itp.), Regulowanie przetwarzania i ochrony danych osobowych klienta, a te czynności również zaznajomi się również z obrazem.
Obliczanie pracownika (z wyjątkiem dyrektora generalnego) pisemnego obowiązku spełnienia poufności danych osobowych klientów i przestrzegać zasad ich przetwarzania zgodnie z wewnętrznymi aktami lokalnymi organizacji regulujące informacje poufne Problemy z bezpieczeństwem.
5.3.8. Pracownik organizacji, który ma dostęp do danych osobowych klientów w związku z wykonaniem obowiązków zatrudnienia:
Zapewnia przechowywanie informacji zawierających dane osobowe klienta, eliminując do nich dostęp osób trzecich.
W przypadku braku pracownika nie powinno być żadnych dokumentów zawierających dane osobowe klientów w miejscu pracy.
Przy wyjeździe do urlopu, podczas podróży służbowych oraz w innych przypadkach długiego braku pracownika w miejscu pracy, jest zobowiązany do przeniesienia dokumentów i innych przewoźników, zawierających dane osobowe klientów do osoby, na której lokalny akt społeczeństwa (według kolejności, zamówień) zostaną powierzone wykonaniu swoich obowiązków pracy.
Jeśli taka osoba nie zostanie wyznaczona, dokumenty i inne przewoźnicy zawierające dane osobowe klientów są przekazywane innym pracownikom, który ma dostęp do danych osobowych klientów, aby wskazać dyrektor generalny organizacji.
Po zwolnieniu pracownika, który ma dostęp do danych osobowych klientów, dokumentów i innych mediów zawierających dane osobowe klientów są przekazywane innym pracownikom, który ma dostęp do danych osobowych klientów, aby wskazać dyrektor generalny.
W celu wypełnienia przydzielonego zadania i na podstawie biura notatki z pozytywną uchwałą dyrektora generalnego, dostęp do danych osobowych Klienta może zapewnić innym pracownikom. Wstęp do danych osobowych Klienta innych pracowników organizacji, które nie mają odpowiednio urządzonego dostępu, jest zabronione.
5.3.9. Menedżer prac personalnych zapewnia:
Zapoznanie pracowników pod malowaniem niniejszym rozporządzeniem.
Obliczanie pracownikami pisemnymi w sprawie zgodności z poufnością danych osobowych Klienta (Umowa o ujawnieniu) i zgodności z zasadami ich przetwarzania.
Ogólna kontrola nad zgodnością z pracownikami do ochrony danych osobowych klientów.
5.3.10. Ochrona danych osobowych klientów przechowywanych w elektronicznych bazach danych organizacji, od nieautoryzowanego dostępu, zniekształceń i zniszczenia informacji, a także innych bezprawnych działań, są dostarczane przez administratora systemu.
5.4. Przechowywanie danych osobowych:
5.4.1. Dane osobowe klientów na papierze zapisanym w sejfach.
5.4.2. Klienci osobisty w formie elektronicznej są przechowywane w lokalnej sieci komputerowej organizacji, w folderach elektronicznych i plikach w komputerach osobistych dyrektora generalnego i personelu dozwolonego przez przetwarzanie danych osobowych klientów.
5.4.3. Dokumenty zawierające dane osobowe klientów są przechowywane w zamykanych szaf (sejfach) zapewniających ochronę przed nieautoryzowanym dostępem. Pod koniec dnia roboczego wszystkie dokumenty zawierające dane osobowe klientów są umieszczane w szafkach (sejfach) zapewniających ochronę przed nieautoryzowanym dostępem.
5.4.4. Zapewniona jest ochrona dostępu do elektronicznych baz danych zawierających dane osobowe:
Korzystanie z licencjonowanych programów antywirusowych i anty-kurcząt, które nie pozwalają na nieautoryzowane wejście do lokalnej sieci organizacji.
Obniżenie praw dostępu za pomocą konta.
Dwa szybkie system haseł: na poziomie lokalnego poziomu sieci komputera i poziomu bazy danych. Hasła są ustalane przez administratora systemu organizacji i komunikować się indywidualnie dla pracowników, którzy mają dostęp do danych osobowych klientów.
5.4.4.1. Nieautoryzowane wejście do komputerów zawierających dane osobowe klientów jest blokowane przez hasło zainstalowane przez administratora systemu i nie podlega ujawnieniu.
5.4.4.2. Wszystkie foldery elektroniczne i pliki zawierające osobiste dane klientów są chronione hasłem ustalonym przez pracownika PC organizacji i jest zgłaszane do administratora systemu.
5.4.4.3. Zmiana haseł przez administratora systemu odbywa się co najmniej 1 raz w ciągu 3 miesięcy.
5.4.5. Kopiowanie i wykonywanie dyskursu Dane osobowe Klienta są dozwolone wyłącznie do oficjalnych celów z pisemną zgodą Dyrektora Generalnego Organizacji.
5.4.6. Odpowiedzi na pisemne prośby o inne organizacje i instytucje dotyczące danych osobowych klientów są podawane tylko za pisemną zgodą samego klienta, chyba że ustalono inaczej z prawem. Odpowiedzi wykonane są na piśmie, w formie organizacji iw woluminie, która pozwala na nie ujawniać nadmiernej ilości danych osobowych klienta.
6. Zamek, usunięcie, zniszczenie danych osobowych
6.1. Zamówienie i odblokowanie danych osobowych:
6.1.1. Blokowanie danych osobowych klientów odbywa się za pomocą pisemnego zastosowania klienta.
6.1.2. Blokowanie danych osobowych oznacza:
6.1.2.2. Zakazać rozpowszechnianie danych osobowych za wszelkie środki (e-mail, komórkowy, nośniki materialne).
6.1.2.4. Wycofanie dokumentów papierowych związanych z klientem i zawierający swoje dane osobowe z wewnętrznego przepływu pracy organizacji i zakazu ich użycia.
6.1.3. Blokowanie danych osobowych klienta można tymczasowo usunąć, jeśli jest to wymagane do spełnienia przepisów Federacji Rosyjskiej.
6.1.4. Odblokowanie danych osobowych klienta odbywa się za swoją pisemną zgodą (jeśli istnieje potrzeba uzyskania zgody) lub stosowania klienta.
6.1.5. Uzgodnienie klienta do przetwarzania jego danych osobowych (jeśli jest to konieczne, otrzymuje) pociąga za sobą odblokowanie swoich danych osobowych.
6.2. Procedura Depozycji i zniszczenia danych osobowych:
6.2.1. Wytłaczanie danych osobowych klienta odbywa się na pisemnym oświadczeniu Klienta, pod warunkiem że wszystkie relacje umowne zostaną zakończone i co najmniej 5 lat przeszły w dniu końca.
6.2.2. W przypadku usunięcia dane osobowe w systemach informatycznych są zastępowane zestawem znaków, które nie mogą być określone przez osobowość danych osobowych do konkretnego klienta.
6.2.3. Głośniki papierowe do wyczerpania danych osobowych są zniszczone.
6.2.4. Organizacja jest zobowiązana do zapewnienia poufności w odniesieniu do danych osobowych, jeśli jest to konieczne do testowania systemów informacyjnych na terytorium dewelopera i zwalniają dane osobowe w systemach informatycznych przekazywanych do dewelopera.
6.2.5. Zniszczenie danych osobowych klientów oznacza rozwiązanie zakończenia dowolnego dostępu do danych osobowych klienta.
6.2.6. Niszcząc dane osobowe Klienta, pracownicy organizacji nie mogą uzyskać dostępu do danych osobowych przedmiotu w systemach informatycznych.
6.2.7. Papierowe głośniki papierowe w zniszczeniu danych osobowych są zniszczone, dane osobowe w systemach informatycznych są zboczeniowe. Odzyskiwanie danych osobowych nie podlegają.
6.2.8. Działanie zniszczenia danych osobowych jest nieodwracalny.
6.2.9. Okres, po którym możliwe jest działanie zniszczenia danych osobowych klienta, jest określony przez wygaśnięcie okresu określonego w pkt 7.3 niniejszego rozporządzenia.
7. Transfer i przechowywanie danych osobowych
7.1. Transfer danych osobowych:
7.1.1. Transmisja danych osobowych przedmiotu oznacza rozpowszechnianie informacji o kanałach komunikacyjnych oraz na przewoźnikach materialnych.
7.1.2. Przenosząc dane osobowe, pracownicy organizacji muszą być zgodne z następującymi wymogami:
7.1.2.1. Nie informuj danych osobowych klientów do celów komercyjnych.
7.1.2.2. Nie mów dane osobowe klienta przez stronę trzecią bez pisemnej zgody Klienta, z wyjątkiem przypadków ustanowionych przez federalne prawo Federacji Rosyjskiej.
7.1.2.3. Ostrzeżenie osób, które otrzymują dane osobowe klienta, że \u200b\u200bdane te mogą być używane tylko do celów, dla których są zgłaszane i wymagają tych osób, aby potwierdzić, że zasada ta jest przestrzegana;
7.1.2.4. Zezwalaj na dostęp do danych osobowych od klientów tylko do upoważnionych osób, podczas gdy osoby te muszą mieć prawo do otrzymywania tylko tych danych osobowych klientów, które są niezbędne do wykonywania określonych funkcji.
7.1.2.5. Przenieś dane osobowe klienta w ramach organizacji zgodnie z niniejszym rozporządzeniem, dokumentacją regulacyjną i technologiczną oraz opisami stanowisk.
7.1.2.6. Podaj dostęp do klienta do swoich danych osobowych podczas kontaktu lub podczas odbierania żądania klienta. Organizacja jest zobowiązana do poinformowania informacji o dostępności danych osobowych o niego, a także możliwość zapoznania się z nimi w ciągu dziesięciu dni roboczych od momentu odwołania.
7.1.2.7. Aby przenieść dane osobowe Klienta do przedstawicieli klientów w sposób przepisany przez prawo i dokumentację regulacyjną i technologiczną oraz ograniczyć te informacje wyłącznie przez dane osobowe przedmiotu, które są niezbędne do spełnienia określonych przedstawicieli ich funkcji.
7.2. Przechowywanie i korzystanie z danych osobowych:
7.2.1. W ramach przechowywania danych osobowych oznacza istnienie wpisów w systemach informacyjnych i nośnikach materialnych.
7.2.2. Klienci osobisty są przetwarzane i przechowywane w systemach informatycznych, a także na papierze w organizacji. Osobiste dane klientów są również przechowywane w formie elektronicznej: w lokalnej sieci komputerowej organizacji, w folderach elektronicznych i plikach w PC Dyrektora Generalnego i pracowników dokonanych do przetwarzania danych osobowych klientów.
7.2.3. Przechowywanie danych osobowych klienta można przeprowadzić nie dłużej niż wymaga celu przetwarzania, o ile nie dostarczono inaczej przez federalne prawa Federacji Rosyjskiej.
7.3. Warunki przechowywania danych osobowych:
7.3.1. Terminy przechowywania umów cywilnych zawierających dane osobowe klientów, a także ich wniosek, wykonanie dokumentów - 5 lat od końca umów.
7.3.2. W okresie przechowywania dane osobowe nie mogą być bezosobowe lub zniszczone.
7.3.3. Po upływie przechowywania danych osobowych mogą być bezosobowe w systemach informatycznych i zniszczonych na papierze zgodnie z procedurą ustanawiającą w pozycji i obowiązującym przepisie Federacji Rosyjskiej. (Ustawa aplikacyjna na zniszczenie danych osobowych)
8. Prawa operatora danych osobowych
Organizacja ma prawo do:
8.1. Bronić swoich zainteresowań w sądzie.
8.2. Podaj dane osobowe klientów osobom trzecim, jeśli jest to przewidziane przez obowiązujące przepisy (podatki, organy ścigania itp.).
8.3. Odmówić dostarczenia danych osobowych w sprawach przewidzianych przez prawo.
8.4. Użyj danych osobowych klientów bez zgody, w przypadkach przepisów świadczonych przez ustawodawstwo Federacji Rosyjskiej.
9. Prawa Klientowe
Klient ma prawo:
9.1. Wymagaj wyjaśnienia swoich danych osobowych, ich blokowania lub zniszczenia, jeśli dane osobowe są niekompletne, przestarzałe, niewiarygodne, nielegalnie otrzymane lub nie są konieczne dla zadeklarowanego celu przetwarzania, a także wykorzystać prawo do ochrony ich praw;
9.2. Wymagaj listy przetworzonych danych osobowych istniejących w organizacji i źródła ich odbioru.
9.3. Otrzymuj informacje o czasie przetwarzania danych osobowych, w tym terminu ich przechowywania.
9.4. Wymagaj powiadomienia wszystkich tych, którzy wcześniej zgłosili nieprawidłowe lub niekompletne dane osobowe, o wszystkich wyjątkach wykonanych w nich, korektach lub dodatkach.
9.5. Odwołanie do upoważnionego organu w celu ochrony praw jednostek danych osobowych lub w nakazie sądu nielegalnych działań lub bezczynności w przetwarzaniu jego danych osobowych.
10. Odpowiedzialność za naruszenie norm regulujących przetwarzanie i ochronę danych osobowych
10.1. Pracownicy Organizacji, winny naruszenia norm regulujących, przetwarzania i ochrony danych osobowych przenoszą dyscyplinę, administracyjną, cywilną lub karną odpowiedzialność zgodnie z obowiązującym przepisami Federacji Rosyjskiej i wewnętrznych aktów lokalnych organizacji.
Prawdopodobnie wszyscy, którzy kiedyś wziął pożyczkę, albo HR-Ohm stanął przed taką sytuacją, w której przedstawiciele banku nazywają pracodawcą i zażądać informacji o pracowniku Organizacji.
Jednocześnie, najczęściej w praktyce pracodawca nie jest zgodny z wymogami prawa 152-federalnego na rzecz ochrony danych osobowych i ujawnia informacje o pracowniku przez telefon. Sprawdź odbiorcę tych informacji, pracodawca nie może i często pisemna zgoda pracownika na takie wykorzystanie jego danych nie ma.
Kto w tej sytuacji zakłóca prawo: ten, który pyta lub ten, kto jest odpowiedzialny?
W tej sytuacji wszystko zależy od tego, jakie dokumenty z samego przedmiotu danych osobowych należą do innych. Istnieje sytuacja, w której ani ten, który nie prosi ani o ten, który odpowiada na prawo, nie narusza, ale zdarza się, że oba.
Zajmijmy się tym.
Więc jesteśmy bankiem. Osoba przyszła do nas iw celu uzyskania pożyczki zapewniła cały niezbędny pakiet dokumentów, w tym certyfikat zarobków, certyfikowany przez podpisy osób odpowiedzialnych osób pracodawcy i pieczęci, a także innych niezbędnych oryginałów i kopii dokumentów.
Ale pomimo pierwotnego certyfikatu zarobków, chcemy sprawdzić, czy wnioskodawca na temat prac kredytowych w tej organizacji i rzeczywistych dochodów jest określony w świadczonym świadectwie. W uczciwości muszę powiedzieć, że niedawno banki wciąż najczęściej poproś tylko o informacje o tym, czy ta osoba pracuje w określonej organizacji. Dla faktu, że jako bank, nie wysyłamy tego wniosku na piśmie, z naszymi uszczelkami i wskazaniem naszych informacji identyfikacyjnych i nie określają celów naszych celów życzenia i przyspieszyć procedurę, po prostu zadzwonić do telefonu określone w dokumentach, które zapewniły potencjalny klient banku.
Że byłem zawsze zaskoczony w tej procedurze, więc jest to pewna nielogiczność kroków potwierdzenia dokładności dostarczonych danych.
Oznacza to, że dokument z uszczelkami i podpisami nie jest nam bardzo odpowiadający, ale odpowiedź telefonicznie, określona przez pracownika, z jakiegoś powodu zorganizuje więcej.
A jaki telefon wskazał pracownik? Czy ten telefon należy do tej organizacji? Kto na drugim końcu drutu odpowie na mi: CEO? Główny księgowy? Kierownik personelu? Jak zamierzam zidentyfikować, że jest to urzędnicy danych? A może sekretarz, który pracuje tutaj na tydzień i nikogo nie znasz? Lub czyszczący? Lub strażnik? Może w zasadzie, ktoś, kto sam pracownik poprosił go odpowiednio o odpowiedź na prośbę Banku? A jeśli telefon określony przez pracownika nie odpowie, co to znaczy dla banku? Czy sprawdzi, że może osoba była pomylona w jednej cyfrze? Czy przerywa się z firmą telefoniczną? Może to jest ten telefon już nie używa, a pracownik nie wiedział o tym?
Ale naszym zadaniem jest zrozumienie, czy działania stron są prawnie legalne: bank i pracodawca w tej sprawie w zasadzie?
Jeżeli Bank ma pisemną zgodę przedmiotu, aby zweryfikować jego informacje i uzyskać informacje od swojego pracodawcy, a następnie działanie Banku jest legalne.
Co z pracodawcą?
Pracodawca może legalnie przedstawić informacje o pracowniku banku w następujących przypadkach:
2. Pracownik dozwolony pisanie na piśmie do konkretnego podmiotu prawnego. Ale w tym przypadku pracodawca jest zobowiązany do upewnienia się, że wniosek pochodzi z tego banku, do którego pracownik pozwolił dostarczyć informacje (czyli odpowiedź jest tylko na pisemny wniosek).
A jeśli nie ma takiej zgody od pracodawcy?
Nie jest uprawniony do dostarczania informacji o pracowniku. Wtedy pracodawca wypełnia swoje zobowiązania wynikające z ustawy o ochronie danych osobowych? Tak. Czy pracownik udzieli kredytu, jeśli pracodawca odmówi udzielenia informacji pracowniczych? Nieznany.
Ponadto, jeśli organizacja jest duża i ma szeroką sieć oddzielnych jednostek, nie zawsze jest możliwe natychmiastowe podjęcie takiej zgody. Zwłaszcza w przypadku, gdy pracownik spontanicznie postanowił otrzymać pożyczkę. I już tego samego dnia lub następnego pracownicy banku nazywają pracodawcą, aby sprawdzić dokładność dostarczonych informacji.
Ponadto Umowa musi zostać wydana na piśmie, nie wystarczy, aby pracownicy wzywa, na przykład do Departamentu Personalnego i poproszony o słownie odpowiedz na wniosek konkretnego banku.
Wszystko jest całkowicie zrozumiałe, że gdy pracodawca dostarcza informacji o pracach konkretnego pracownika banku w sprawie prośby telefonicznej, robi to w celu ochrony interesów pracownika najpierw, aby nie odmówić wydawania pożyczki. Ale automatycznie w tym przypadku narusza ustawę o ochronie danych osobowych, jeśli pracodawca nie martwi się o otrzymanie pisemnej zgody samego pracownika.
Jest to możliwe, jeśli banki zatrzymują praktykę nielegalnych kontroli telefonicznej, takie naruszenia i od pracodawcy będą mniej.
Ostatnio litera Banku Rosji z 14 marca 2014 N 42-T "na wzmocnienie kontroli ryzyka wynikające z instytucji kredytowych przy użyciu informacji zawierających dane osobowe obywateli", co zaleca instytucje kredytowe w celu wzmocnienia ryzyka wynikające z przetwarzania ( Do której przy okazji zastosowano również zbiór informacji zawierających dane osobowe, a także aktualizowanie dokumentów wewnętrznych określających: osobista odpowiedzialność pracowników instytucji kredytowych zaangażowanych w bezpośrednie przetwarzanie danych osobowych (w tym zbiórki), do oszczędzania i zapewnienia poufności informacji generowanych podczas obsługi klienta.
Jednocześnie, w powyższym liście, był bezpośrednio wskazany, że Bank Rosji w realizacji nadzoru nad bankami uwzględni przypadki identyfikacji niedociągnięć w realizacji przepisów dotyczących ochrony danych osobowych i rozważyć je jako Negatywny czynnik oceny jakości zarządzania instytucją kredytową, w tym oceną organizacji kontroli organizacji wewnętrznej.
Pozostaje mając nadzieję, że banki zostaną wreszcie stać się ustawą o ochronie danych osobowych, bez stosowania pracodawcy do przymusowego naruszenia przepisów.
Wprowadzenie
Stosowność. W nowoczesnym świecie informacje stają się strategicznym zasobem, jednym z głównych bogactwa stanu ekonomicznego. Szybka poprawa informatyzacji w Rosji, jej penetracja do wszystkich obszarów istotnych interesów jednostki, społeczeństwa i państw spowodowały oprócz niewątpliwych korzyści i pojawienia się szeregu istotnych problemów. Jednym z nich była potrzeba ochrony informacji. Biorąc pod uwagę, że obecnie potencjał gospodarczy jest coraz bardziej określany przez poziom rozwoju struktura informacji.Potencjalna podatność gospodarki z wpływów informacyjnych rośnie proporcjonalnie.
Dystrybucja systemów komputerowych, łącząc je w sieciach komunikacyjnych zwiększa ich możliwości penetracji elektronicznej. Problem przestępstwa komputerowego we wszystkich krajach świata, niezależnie od lokalizacji geograficznej, powoduje, że potrzeba przyciągnięcia wszystkich więcej uwagi i siły publiczne organizują walkę z tego typu przestępstwem. Szczególnie szerokie odmiany otrzymały przestępstwa w zautomatyzowanych systemach bankowych i e-commerce. Według danych zagranicznych straty bankowe w wyniku przestępstw komputerowych co roku tworzą wiele miliardów dolarów. Chociaż poziom wprowadzenia najnowszych technologii informacyjnych do praktyki w Rosji nie jest tak istotne, przestępstwa komputerowe sprawiają, że coraz bardziej o sobie, a ochrona państwa i społeczeństwa z nich stała się superwadach dla właściwych organów.
Znaczenie kwestii ochrony danych osobowych nie jest wątpliwości. Przede wszystkim wynika to z terminu określonego w celu doprowadzenia systemów informacyjnych danych osobowych (AHD) zgodnie z prawem federalnym z dnia 27 lipca 2006 r. Nr 152-FZ "na danych osobowych". Okres ten jest nieubłaganie zbliża się, a jednocześnie oczywista złożoność spełnienia wymogów dokumentów układu kierowniczego regulatorów prowokuje masę sporów i niejednoznacznych interpretacji. Jednocześnie bliskość niektórych wytycznych, ich nieokreślony status prawny, a także szereg innych problemów, nie przyczyniają się do rozwiązania problemu. Wszystko to tworzy sytuację, w której ramy regulacyjne nie jest ostatecznie ustalone, a wymagania prawodawstwa są teraz konieczne.
maj 2009 minęło pierwsze spotkanie grupy roboczej na danych osobowych w ARB. Wydarzenie podczas otwartej dyskusji było dość wyraźnie wskazane przez obszary problemowe, które ekscytująca społeczność bankową. Odbywamy się głównie dokładnie techniczną ochronę danych osobowych i przyszłej interakcji między instytucjami kredytowymi i finansowymi i FSTEC. Przedstawiciele Banku Rosji wyrażają w ich przemówieniu o rozwoju w organizacji wykonania prawa "na danych osobowych". Fundamentalnie nowy i ważny można nazwać próbami Banku Rosji, aby znaleźć kompromis z organami regulacyjnymi dla preparatu wymagania techniczne Dla społeczności bankowej. Szczególnie chciałbym zwrócić uwagę na działalność Banku Centralnego Federacji Rosyjskiej w pracy z FSTEC z Rosji. Biorąc pod uwagę całą zdecydowaną większość trudności w wypełnianiu wymogów wytycznych FSTEC, Bank Rosji postanowił przygotować własne dokumenty (projekty dokumentów), które są obecnie zgodne z FSTEC. Można założyć, że prawdopodobieństwo pojawienia się nowego standardu przemysłu dla instytucji kredytowych i finansowych dla danych osobowych jest wysoki.
Celem pracy kursu jest studiowanie sposobów ochrony danych osobowych w systemach bankowych online.
Aby osiągnąć cel, rozwiązano następujące zadania:
badanie podejść, podstawowe zasady bezpieczeństwa;
określenie metod i środków bezpieczeństwa;
identyfikacja funkcji zapewnienia danych osobowych w systemach bankowych online;
opracowanie działań bezpieczeństwa danych osobowych w systemach bankowych online.
Przedmiotem badań prac jest systemy bankowości informacyjnej.
Przedmiotem badania jest bezpieczeństwo danych osobowych w systemach bankowych online.
Teoretyczna i metodologiczna podstawy badania były przepisy teoretyczne, prace naukowców, badania specjalistów w dostarczaniu informacji.
Podstawą metodologiczną pracy kursu było systematyczne podejście do badania problemu bezpieczeństwa.
Używana logiczna, porównawcza analiza prawna, systemowa. Ponadto zastosowana metoda analizy strukturalnej pozwala na niezbędną opiekę do badania poszczególnych składników zjawiska w ramach badań i analizuje stosunek tych elementów ze sobą, a także z ogólną liczbą całkowitą.
1. Teoretyczne aspekty trwałych danych w systemach online bankowości
1.1 podejścia, zasady bezpieczeństwa
W ramach bezpieczeństwa systemów informatycznych należy rozumieć środki, które chroniące system informacyjny przed losową lub celową interwencją w reżimach jego działania są rozumieć.
Istnieją dwa główne podejścia do bezpieczeństwa komputera.
Pierwszy jest fragmentaryczny, w jego ramach istnieje orientacja na temat przeciwdziałania ściśle określonymi zagrożeniami w pewnych warunkach (na przykład specjalistyczne produkty antywirusowe, autonomiczne środki szyfrowania itp.). W podejściu występuje zarówno zalety - sugerując wysoki poziom selektywności w części ściśle określonego problemu i wad - obejmujące fragmentację ochrony - the.e. Ściśle określone przedmioty.
Proces zarządzania ochroną informacji zawiera elementy prezentowane na FIG. jeden.
Drugie podejście jest systematyczne, jego cechą jest to, że w ramach, w ramach ochrona informacji obejmuje bardziej w dużej mierze - chronione środowisko przetwarzające, przechowywanie i transmisję informacji, które łączy heterogeniczne metody i środki przeciwdziałania zagrożeniom: oprogramowanie i techniczne, legalne , organizacyjne i gospodarcze i gospodarcze. Dzięki określonym środowisku chronionym można zagwarantować pewien poziom bezpieczeństwa zautomatyzowanego systemu informacyjnego.
Podejście systemowe do ochrony informacji opiera się na następujących zasadach metodologicznych:
ostatecznym celem jest absolutny priorytet ostatecznego (globalnego) celu;
jedność - wspólne rozważanie systemu jako całości "i jako całość części (elementów);
łączność - rozważanie dowolnej części systemu wraz z jego połączeniami ze środowiskiem;
modułowa konstrukcja - podświetlanie modułów w systemie i rozważanie go jako zestaw modułów;
hierarchia - wprowadzenie hierarchii części (elementów) i ich rankingu;
funkcjonalność - Wspólne rozważanie struktury i funkcji z funkcją priorytetową nad strukturą;
rozwój - rozliczanie zmienności systemu, jego zdolność do rozwijania, rozszerzania, wymiany części, gromadzenia informacji;
decentralizacja - kombinacje podejmowania decyzji i zarządzanie centralizacją i decentralizacją;
niepewność - księgowość niepewności i losowości w systemie.
Nowoczesni badacze identyfikują następujące metodyczne,
organizacyjne i wdrażające zasady informacji (w tym komputera) bezpieczeństwa.
Zasada legalności. W odniesieniu do obecnego prawodawstwa w dziedzinie bezpieczeństwa informacji.
Zasada niepewności. Korzystanie z niejednoznaczności zachowania tematu, tj. Kto, kiedy i jak możesz zakłócić bezpieczeństwo obiektu bezpieczeństwa.
Zasada niemożności tworzenia idealnego systemu ochrony. Wynika z zasady niepewności i ograniczonych zasobów tych funduszy.
Zasady minimalnego ryzyka i minimalnego uszkodzenia. Niemożność tworzenia idealnego systemu ochrony. Zgodnie z nią konieczne jest uwzględnienie określonych warunków istnienia przedmiotu ochrony przez cały czas.
Zasada bezpiecznego czasu. Wydajność czasu bezwzględnego, tj. podczas których obiekty ochrony muszą zostać zapisane; i czas względny, tj. Przedział czasu od momentu identyfikacji szkodliwych działań, dopóki atakujący osiągnie cel.
Zasada "ochrona wszystkich ze wszystkich". Zakłada, że \u200b\u200borganizacja środków ochronnych przed wszelkimi formami zagrożeń dla obiektów ochrony, co jest konsekwencją zasady niepewności.
Zasady odpowiedzialności osobistej. Zapewnia osobistą odpowiedzialność każdego pracownika przedsiębiorstwa, instytucji i organizacji za zgodność z systemem bezpieczeństwa w ramach swoich uprawnień, obowiązków funkcjonalnych i istniejących instrukcji.
Zasada ograniczenia autorytetu. Zapewnia ograniczenie organu z podmiotem zapoznania się z informacjami, do których dostęp nie jest wymagany do normalnego wykonywania ich obowiązków funkcjonalnych, a także wprowadzenie zakazu dostępu do obiektów i Strefy, które nie są wymagane przez charakter działania.
Zasada interakcji i współpracy. W wewnętrznej manifestacji wiąże się z uprawą relacji zaufania między pracownikami odpowiedzialnymi za bezpieczeństwo (w tym informacje) a personel. W zewnętrznej manifestacji - ustanowienie współpracy ze wszystkimi zainteresowanymi organizacjami i osobami (na przykład agencjami egzekwowania prawa).
Zasada złożoności i indywidualności regeneruje niemożność zapewnienia bezpieczeństwa obiektu ochrony w dowolnym przypadku, ale tylko zestaw zintegrowanych, połączonymi i zduplikowanych działań wdrażanych z indywidualnym odniesieniem do określonych warunków.
Zasada kolejnych granic bezpieczeństwa. Zapewnia ona jak najwcześniejszy adekwatność bezpieczeństwa jednego lub innego przedmiotu ochrony lub niekorzystnego incydentu do zwiększenia prawdopodobieństwa, że \u200b\u200bzaliczka alarmu alarmu bezpieczeństwa zapewni pracowników odpowiedzialnych za bezpieczeństwo, Możliwość ustalenia przyczyny alarmu i organizuje skuteczne środki na przeciwdziałanie.
Zasady ochrony gumowej równości i równości. Ealter oznacza brak obszarów niezabezpieczonych w przełączeniu ochrony. Równość obejmuje stosunkowo równą ochronę ochrony zagranicznej zgodnie z stopniem zagrożenia dla obiektu ochrony.
Metody zapewnienia ochrony informacji w przedsiębiorstwie są następujące:
Przeszkolą jest metodą zablokowania fizycznego dla atakującego do chronionych informacji (do sprzętu, nośników informacji itp.).
Kontrola dostępu jest metodą ochrony informacji, regulując wykorzystanie wszystkich zasobów zautomatyzowanego systemu informacyjnego przedsiębiorstwa. Kontrola dostępu zawiera następujące funkcje ochrony:
identyfikacja użytkowników, personelu i zasobów systemu informacyjnego (przypisywanie każdego obiektu osobistego identyfikatora);
uwierzytelnianie (uwierzytelnianie) obiektu lub przedmiotem identyfikatora zgłoszonego do nich;
weryfikacja uprawnień (sprawdzanie zgodności dnia tygodnia, pora dnia wymagała zasobów i procedur ustanowionych przez Regulamin);
rejestracja odwołań do chronionych zasobów;
odpowiedź (alarm, wyłączenie, opóźnienie, odmowa w zapytaniu podczas próby nieautoryzowanych działań).
Maskowanie jest metodą ochrony informacji w zautomatyzowanym systemie informacyjnym korporacyjnym przez zamknięcie kryptograficzne.
Rozporządzenie jest metodą ochrony informacji, które tworzy takie warunki do zautomatyzowanego przetwarzania, przechowywania i przekazywania informacji, w których można zminimalizować możliwość nieautoryzowanego dostępu do niego.
Wymuszanie - metoda ochrony informacji, w których użytkownicy i personel systemowy są zmuszeni do przestrzegania zasad przetwarzania, przekazywania i wykorzystania informacji chronionych pod zagrożeniem dotyczącym odpowiedzialności materialnej, administracyjnej i karnej.
Ruch jest metodą ochrony informacji, które zachęca do użytkowników i personelu systemu nie narusza ustalonych przepisów, zgodnie z obowiązującymi normami moralnymi i etycznymi.
Powyższe metody zapewnienia bezpieczeństwa informacji są realizowane przy użyciu następujących środków trwałych: fizyczne, sprzętowe, oprogramowanie, oprogramowanie do sprzętowe, kryptograficzne, organizacyjne, legislacyjne i moralne oraz etyczne.
Fizyczne środki ochrony są przeznaczone do zewnętrznej ochrony obiektów obiektów, chronić składniki zautomatyzowanego systemu informacyjnego przedsiębiorstwa i są zaimplementowane jako urządzenia autonomiczne i systemy.
Ochrona sprzętu - są to urządzenia elektroniczne, elektromechaniczne i inne, bezpośrednio osadzone w jednostkach zautomatyzowanego systemu informacyjnego lub urządzone w postaci niezależnych urządzeń i koniugatu z tymi blokami. Są one przeznaczone do wewnętrznej ochrony elementów strukturalnych funduszy i systemów wyposażenia komputerowego: zaciski, przetwórców, urządzeń peryferyjnych, linii komunikacyjnych itp.
Oprogramowanie zabezpieczające są przeznaczone do wykonywania logicznych i inteligentnych funkcji ochrony i są zawarte w oprogramowaniu zautomatyzowanego systemu informacyjnego lub do składu środków, kompleksów i systemów sterowania.
Oprogramowanie oprogramowania jest najczęstszym rodzajem ochrony, posiadającą następujące pozytywne właściwości: wszechstronność, elastyczność, prostota realizacji, możliwość zmiany i rozwoju. Ta okoliczność czyni je jednocześnie i najbardziej wrażliwymi elementami ochrony systemu informacyjnego przedsiębiorstwa.
Ochrona oprogramowania sprzętowa - środki, w których oprogramowanie (oprogramowanie sprzętowe) i części sprzętowe są w pełni ze sobą powiązane i nierozłączne.
Narzędzia kryptograficzne - środki ochrony przez konwersję informacji (szyfrowanie).
Fundusze organizacyjne - środki organizacyjne i techniczne i prawne w celu regulacji zachowania personelu.
Fundusze legislacyjne - akty prawne kraju, które regulują zasady dotyczące wykorzystania, przetwarzania i przekazywania ograniczonych informacji dostępu oraz ustanawiające środki odpowiedzialne za naruszenie tych zasad.
Środki moralne i etyczne - normy, tradycje w społeczeństwie, na przykład: kodeks zawodowych zachowań członków Stowarzyszenia Użytkowników EMM w Stanach Zjednoczonych.
1.2 Metody i metody bezpieczeństwa
W celu wdrożenia środków bezpieczeństwa stosuje się różne mechanizmy szyfrowania. Jakie są te stosowane metody? Początkowo, wysyłając dane (tekst, mowę lub wzór), są one niezabezpieczone lub jako eksperci są nazywani - otwartymi. Otwarte dane mogą łatwo przechwycić innych użytkowników (celowo lub nie wyczyszczone). Jeśli jest cel zapobiegania pewnych informacji osobom trzecim partii, takie dane są szyfrowane. Użytkownik, który jest przeznaczony do tych informacji, jest następnie obsiany z nim przy użyciu odwrotnej konwersji krypta, odbierając dane w potrzebie formularza.
Szyfrowanie jest symetryczne (stosowany jest jeden tajny klucz do szyfrowania) i asymetryczny (jeden klucz publiczny jest wykorzystywany do szyfrowania, a do deszyfrowania - drugi, nie jest powiązany - tj. Kiedy znany z nich, nie możesz zdefiniować innego).
Mechanizmy bezpieczeństwa są zarówno:
) Cyfrowe mechanizmy podpisu elektronicznego opierają się na algorytmach asymetrycznych szyfrowania i obejmują dwa procedury: formacja podpisu nadawcy i jej identyfikacja przez odbiorcę. Podpis tworzący nadawcę zapewnia szyfrowanie bloku danych lub jego dodatek do kryptograficznego, suma kontrolnego, aw obu przypadkach stosuje się tajny klucz nadawcy. Do identyfikacji używany jest klucz publiczny.
) Mechanizmy kontroli dostępu sprawdzają uprawnienia programów i użytkowników, aby uzyskać dostęp do zasobów sieciowych. Podczas uzyskiwania dostępu do zasobu przez połączenie, kontrola jest wykonywana zarówno w punkcie inicjacji, jak iw punktach pośrednich, a także w punkcie końcowym.
) Mechanizmy integralności danych są stosowane do oddzielnego bloku i strumienia danych. Nadawca uzupełnia przenoszony blok kwoty kryptograficznej, a odbiorca porównuje go z wartością kryptograficzną odpowiadającą otrzymanym bloku. Brakuje świadectwu zniekształceń informacji w bloku.
) Mechanizmy ruchu. W oparciu o pokolenie bloków AIS, szyfrowania i organizacji transmisji na kanałach sieciowych. Zatem neutralizowany jest możliwość uzyskania informacji, obserwując charakterystyka zewnętrzna Wątki krążące kanały komunikacyjne.
) Mechanizmy kontroli routingu zapewniają wybór tras informacyjnych informacji o sieci komunikacyjnej w taki sposób, aby wykluczyć przeniesienie tajnych informacji na niebezpiecznych fizycznie niewiarygodnych kanałach.
) Mechanizmy arbitrażowe zapewniają potwierdzenie charakterystyki danych przekazywanych między obiektami, stroną trzecią. W tym celu informacje wysyłane lub odebrane przez obiekty przechodzą przez arbitra, co pozwala mu potwierdzić wymienione właściwości.
Głównymi wadami systemu bezpieczeństwa obiektów gospodarczych to:
-wąskie, nie systematyczne zrozumienie problemu bezpieczeństwa obiektu; -zaniedbanie zapobiegania zagrożeniom, prace nad zasadą "pojawił się zagrożenie - zaczynamy go wyeliminować"; -niekompetencja w gospodarce bezpieczeństwa, niemożność porównywania kosztów i wyników; -"Technocratizm" wytycznych i specjalistów służby bezpieczeństwa, interpretacja wszystkich zadań w języku znanego regionu. Jako wyjście w pierwszym rozdziale definiujemy następujące elementy. Wspieranie systemów informacyjnych nazywane są pewnymi środkami, przez które system informacyjny jest chroniony przed losową lub celową interwencją w trybach funkcjonowania. Aby zapewnić bezpieczeństwo, podano dwa główne podejścia: 1) fragmentaryczny, w tym, który przeciwdziałanie pewnych zagrożeń w pewnych warunkach; oraz 2) systemowe, w których tworzone jest chronione środowisko przetwarzania, przechowywanie i przesyłanie informacji, łącząc różne rodzaje metod i środków przeciwdziałających zagrożeniom. W przypadku ochrony informacji, stosuje się różne środki i mechanizmy. Założymy się do narzędzi: szyfrowanie, cyfrowy rekord elektroniczny, kontrola dostępu, formulację ruchu itp. bankowość Online System Security 2. Cechy zapewnienia bezpieczeństwa danych osobowych w systemach bankowych online 2.1. Ogólne warunki Zabezpieczanie danych osobowych w systemach internetowych banków Informacje ochronne są stanem bezpieczeństwa informacji i jego infrastruktury wspierającej (komputery, linie komunikacyjne, systemy zasilania itp.) Z przypadkowych lub celowych efektów, oszustwa do uszkodzenia właścicieli lub użytkowników tych informacji. Również bezpieczeństwo informacyjne poświadczenia rozumieją: zapewnił niezawodność komputera; bezpieczeństwo cennych poświadczeń; ochrona danych osobowych od wprowadzania zmian w osobach nieupoważnionych; utrzymywanie udokumentowanych rachunków w komunikacji elektronicznej. Obiekty bezpieczeństwa informacji są zasoby informacyjnezawierające informacje przypisane do informacji handlowych i poufnych; jak również fundusze i systemy informatyzacji. Właściciel zasobów informacyjnych, systemów informacyjnych, technologii i środków ich przepisu stanowią przedmiot, który jest właścicielem i stosując te obiekty oraz wdrażanie organu zamówienia w granicach ustalonych przez prawo. Użytkownik Informacji jest przedmiotem obracającym się do systemu informacyjnego lub pośrednika w celu uzyskania potrzebnych informacji i użyć go. Zasoby informacyjne są oddzielnymi dokumentami i indywidualnymi tablicami dokumentów, dokumentów i macierzy dokumentów w systemach informatycznych. Groźba bezpieczeństwa informacyjnego leży w potencjalnie możliwym działaniu, co poprzez wpływ na składniki systemu osobistego może prowadzić do uszkodzenia właścicieli zasobów informacyjnych lub użytkowników systemu. Tryb prawny zasobów informacyjnych zależy od standardów ustanawiających: procedura dokumentowania informacji; własność poszczególnych dokumentów i indywidualnych tablic dokumenty, dokumenty i tablice dokumentów w systemach informatycznych; kategoria informacji o dostępu do niego; Procedura ochrony prawnej informacji. Podstawowa zasada naruszona przy wdrażaniu zagrożenia informacyjnego w rachunkowości jest zasadą dokumentacji informacji. Dokument księgowy otrzymany z zautomatyzowanego systemu informacyjnego rachunkowości nabywa siłę prawną po podpisaniu przez oficera w sposób określony przez ustawodawstwo Federacji Rosyjskiej. Wszystkie wiele potencjalnych zagrożeń w charakterze ich wystąpienia można podzielić na dwie klasy: naturalne (cel) i sztuczne. Naturalne zagrożenia są spowodowane obiektywnymi przyczynami, z reguły, niezależnie od księgowego prowadzącego do pełnego lub częściowego zniszczenia rachunkowości wraz z jego składnikami. Te zjawiska naturalne obejmują: trzęsienia ziemi, wieje błyskawice, pożary itp. Sztuczne zagrożenia są związane z działalnością ludzi. Można je podzielić na niezamierzone (niezamierzone), spowodowane zdolnością pracowników do podejmowania wszelkich błędów z powodu inagitowania lub zmęczenia, bolesnego stanu itp Na przykład, księgowy podczas wprowadzania informacji do komputera nie może nacisnąć klawisza, wykonaj niezamierzone błędy w programie, aby wziąć wirusa, przypadkowo ujawnić hasła. Celowe (intencjonalne) zagrożenia związane są z aspiracjami najemczych ludzi - intruzów, którzy celowo tworzą niewiarygodne dokumenty. Groźby bezpieczeństwa pod względem ich kierunku można podzielić na następujące grupy: zagrożenia przenikania i danych czytania z bazy danych baz danych i programów komputerowych ich przetwarzania; zagrożenia dla bezpieczeństwa poświadczeń, prowadzące do ich zniszczenia lub zmiany, w tym fałszowanie dokumentów płatniczych (wymagania dotyczące płatności, zamówień itp.); zagrożenia dostępności danych wynikających, gdy użytkownik nie może uzyskać dostępu do danych konta; zagrożenie nieprzestrzeganiem operacji, gdy jeden użytkownik przesyła wiadomość do innego, a następnie nie potwierdza przesyłanych danych. Procesy informacyjne są procesami gromadzenia, przetwarzania, akumulacji, przechowywania, wyszukiwania i rozpowszechniania informacji. System informacyjny jest organizacyjnym zestawem dokumentów (tablice dokumentów i technologii informacyjnych, w tym wykorzystujący środki sprzętu komputerowego i procesy informacyjne wykonawcze). Dokumentacja informacji przeprowadza się w sposób określony przez organy państwowe odpowiedzialne za organizację urzędu pracy standaryzację dokumentów i ich macierzy, bezpieczeństwo Federacji Rosyjskiej. W zależności od źródła zagrożeń można je podzielić na wewnętrzny i zewnętrzny. Źródłem zagrożeń wewnętrznych jest działalność personelu organizacji. Zagrożenia zewnętrzne pochodzą spoza pracowników innych organizacji, od hakerów i innych osób. Zagrożenia zewnętrzne można podzielić na: lokalny, który sugeruje penetrację przemocy na terytorium organizacji i uzyskać je dostęp oddzielny komputer lub sieć lokalna; zdalne zagrożenia są charakterystyczne dla systemów związanych z globalnymi sieciami (Internet, SWIFT International Banking Calculation System itp.). Takie zagrożenia występują najczęściej w systemie płatności elektroniczne. Podczas obliczania dostawców z kupującymi, użyj w obliczeniach sieci internetowych. Źródła takich informacji Ataki mogą mieć tysiące kilometrów. I wpływ jest narażony nie tylko do komputera, ale także informacje księgowe. Umyślne i niezamierzone błędy w rachunkowości, co prowadzi do wzrostu ryzyka księgowego, są następujące: błędy w zapisach rekordów; nieprawidłowe kody; nieautoryzowana księgowość; naruszenie limitów testowych; nieodebrane konta; błędy w danych przetwarzania lub wyjściowych; błędy podczas formowania lub regulacji książek referencyjnych; Niekompletne konta; Nieprawidłowe zadanie zapisów w okresach; Fałszowanie danych; naruszenie wymogów aktów regulacyjnych; naruszenie zasad polityki osobistej; Utrzymanie jakości potrzeb usług. Szczególnym niebezpieczeństwem jest informacje, które składają się tajemnice handlowe i związane z informacjami osobistymi i raportowymi (dane na partnerach, klienci, banki, informacje analityczne na rynku). Aby to było chronione i podobne informacje, konieczne jest wydanie umowy z personelem księgowości, usług finansowych i innych jednostek gospodarczych wskazującą listę informacji, które nie podlegają reklamie. Ochrona informacji w zautomatyzowanych systemach księgowych opiera się na następujących zasadach podstawowych. Zapewnienie fizycznego oddzielenia obszarów przeznaczonych do przetwarzania tajnych i nieszczepliwych informacji. Zapewnienie ochrony informacji kryptograficznych. Zapewnienie uwierzytelniania abonentów i instalacji abonenta. Zapewnienie rozgraniczenia dostępu przedmiotów i ich procesów do informacji. Zapewnienie uwierzytelniania i integralności komunikatów dokumentalnych, gdy są one przesyłane przez kanały komunikacyjne. Zapewnienie ochrony sprzętu i środków technicznych systemu, pomieszczenia, w których są umieszczone, z wycieku poufnych informacji na temat kanałów technicznych. Zapewnienie ochrony szyfrowania, sprzętu, technicznego i oprogramowania z wycieku informacyjnego z powodu zakładek sprzętu i oprogramowania. Zapewnienie kontrolowania integralności oprogramowania i części informacji zautomatyzowanego systemu. Używaj jako krajowe mechanizmy ochrony Zasoby informacji państwowej Federacji Rosyjskiej są otwarte i publicznie dostępne. Wyjątkiem jest udokumentowane informacje przypisane przez prawo do kategorii ograniczonego dostępu. Udokumentowane informacje o ograniczonym dostępie w warunkach jego trybu prawnego są podzielone na informacje związane z tajemnicami państwowymi i poufnymi. Lista poufnych informacji, w szczególności informacje związane z działalnością handlową, została ustanowiona przez dekret Prezesa Federacji Rosyjskiej z 6 marca 1997 r. Nr 188 (Załącznik Ilość zmian. Zapewnienie środków ochrony organizacyjno-reżimi. Wskazane jest wykorzystanie i dodatkowe środki bezpieczeństwa komunikacji w systemie. Organizacja ochrony informacji o natężeniu, czasie trwania i ruchu wymiany ruchu. Używaj do przesyłania i przetwarzania informacji i metod, które utrudniają przechwytywanie. Ochrona informacji z nieautoryzowanego dostępu ma na celu stworzenie trzech głównych właściwości w zakresie chronionych informacji: poufność (informacje niejawne powinny być dostępne tylko dla tego, do którego jest przeznaczony); integralność (informacje na podstawie których dokonane są ważne decyzje powinny być wiarygodne, dokładne i w pełni zabezpieczone przed możliwymi niezamierzonymi i złośliwymi zakłóceniami); gotowość (informacje i pokrewne usługi informacyjne powinny być dostępne, gotowe do zainteresowanych stron zawsze wtedy, gdy potrzebują potrzeby). Metody zapewnienia ochrony danych osobowych to: przeszkody; Dostęp, przebranie, regulacja, przymus, monitowanie. Przeszkoda należy uznać za metodę fizycznego zablokowania ścieżki atakującego do chronionych danych osobowych. Metoda ta jest realizowana przez przepustowość przedsiębiorstwa, w tym obecność wejścia do niego, blokada ścieżki nieupoważnionych osób do działu księgowego, kasjera itp. Zarządzanie dostępem jest metodą ochrony informacji osobistych i raportowania wdrażanych przez: uwierzytelnianie - Ustawianie autentyczności obiektu lub z zastrzeżeniem identyfikatora zgłoszonego do nich (przeprowadzane przez mapowanie wprowadzonego identyfikatora z komputerem zapisanym w pamięci); kontrole autoryzacji - Weryfikacja zgodności żądanych zasobów i operacji przeprowadzonych na przydzielonych zasobach i dozwolonych procedurach; Rejestracja odwołań do zasobów chronionych; informowanie i odpowiedź podczas próby nieautoryzowanych działań. (Cryptography to sposób na ochronę informacji poprzez konwersję informacji (szyfrowanie)). W kompleksie BEST-4 rozgraniczenie dostępu do informacji jest dokonywane na poziomie poszczególnych podsystemów i jest dostarczany przez określenie oddzielnych haseł dostępu. Dla początkowe ustawienia Lub w dowolnym momencie administrator systemu może określić lub zmienić jedno lub więcej haseł. Hasło jest wymagane przy każdym wejściu do podsystemu. Ponadto niektóre moduły zapewniają własny system do rozgraniczenia dostępu do informacji. Zapewnia możliwość ochrony ze specjalnymi hasłami każdego elementu menu. Hasła mogą być również chronione z dostępem do poszczególnych podzbiorów podstawowych dokumentów: więc, w AWP "Rachunkowość dla zapasów" i "Rachunkowość towarów i produktów" Istnieje możliwość określenia haseł dostępu do każdego magazynu oddzielnie, w AWP "Rachunkowość operacji gotówkowych" - hasła dostępu do każdej Casse, w AWP "Rachunkowość rachunkowości Banku" - hasła dostępu do każdego konta bankowego. Należy zauważyć, że w celu skutecznego rozróżnienia dostępu do informacji konieczne jest, aby sami chronić hasła na dostęp do jednego lub innych bloków. W 1C.Perman, wersja 7.7 Istnieje własna obrona informacji - prawa dostępu. W celu integracji i podzielenia dostępu użytkownika do informacji podczas pracy z systemem 1C. komputery osobisteKonfigurator systemu umożliwia ustawienie prawa do pracy z informacjami przetwarzanymi przez system dla każdego użytkownika. Prawa mogą być określone w dość szerokiej gamie - od możliwości oglądania niektórych typów dokumentów do kompletnego zestawu praw dotyczących wprowadzania, przeglądania, regulacji i usuwania dowolnych typów danych. Przypisanie do użytkownika praw dostępu odbywa się w 2 etapach. W pierwszym etapie typowe zestawy informacji o współpracy z informacjami, różniące, z reguły, tworzona jest szerokość dostępnych możliwości dostępu. W drugim etapie użytkownik jest umieszczony zgodnie z jednym z tych typowych zestawów praw. Wszystkie prace nad tworzenie typowych zestawów praw są wykonane na karcie "Prawa" okna konfiguracji. To okno jest wywoływane do ekranu, wybierając element "Open Configuration" z menu konfiguracji menu głównego programu. 2.2 Kompleks środków w celu zapewnienia bezpieczeństwa danych osobowych w systemach bankowych on-line Uzasadnienie Bezpieczeństwa Działania Bezpieczeństwa PD jest wykonywane pod uwagę wyniki oceny ryzyka zagrożeń i identyfikacji CMD na podstawie "podstawowych działań dla organizacji i pomocy technicznej danych osobowych przetwarzanych w systemach informacyjnych danych osobowych". Jednocześnie należy zidentyfikować środki: identyfikacja i zamykanie kanałów technicznych wycieku PDN do mieszkań; ochrona PD z nieautoryzowanego dostępu i bezprawnych działań; instalacja, konfiguracja i zastosowanie sprzętu ochronnego. Wydarzenia dotyczące identyfikacji i zamykania kanałów technicznych wycieków PDN w PDN są sformułowane na podstawie analizy i oceny zagrożeń bezpieczeństwa PDN. Działania do ochrony PDS podczas przetwarzania ich w CPTN z nieautoryzowanego dostępu i bezprawnych działań obejmują: kontrola dostępu; rejestracja i księgowość; zapewnienie uczciwości; monitorowanie braku niekomkarżonych możliwości; ochrona antywirusowa; zapewnienie bezpiecznego interstytucyjnego interakcji CDN; analiza bezpieczeństwa; wtrącenia do wykrywania. Zaleca się rejestrację zarządzania dostępem, rejestracją i księgową, aby być realizowanym na podstawie oprogramowania do blokowania nieautoryzowanych działań, alarmów i rejestracji. Są one specjalne, nie są uwzględnione w rdzeniu dowolnego oprogramowania systemu operacyjnego i oprogramowania i ochrony sprzętu samych systemów operacyjnych, elektronicznych baz PDN i programów aplikacji. Wykonują funkcje ochrony na własną rękę lub w kompleksie z innymi środkami ochrony i mają na celu wyjątek lub trudność przeprowadzania niebezpiecznych użytkowników użytkownika lub intruz. Obejmują one specjalne narzędzia i systemy ochrony oprogramowania, w których wdrażane są funkcje diagnozy, rejestracji, zniszczenia, alarmu i imitacji. Narzędzia diagnostyczne przeprowadzają badania systemu plików i podstawy PDN, stały zbieranie informacji o funkcjonowaniu elementów podsystemu bezpieczeństwa bezpieczeństwa. Środki zniszczenia mają na celu zniszczenie danych rezydualnych i mogą zapewnić awaryjne zniszczenie danych w przypadku zagrożenia NSD, którego nie można zablokować przez system. Środki alarmowe są zaprojektowane, aby zapobiec operatorom, gdy są one określane do ochrony i zapobiegania przez administratora, gdy fakt NSD jest wykryty do PDN i innych faktów naruszenia standardowego trybu funkcjonowania CDN. Media imitacja symuluje pracę z gwałcicielami, gdy wykryto NSD próby chronionego pliku PDN lub oprogramowania. Imitacja pozwala zwiększyć czas na określenie miejsca i charakteru NSD, co jest szczególnie ważne w sieciach rozproszonych geograficznie i disinform oprawie o lokalizacji chronionych PDN. Podsystem zapewnienia integralności jest realizowany głównie przez systemy operacyjne i systemy zarządzania bazami danych. Środki zwiększające niezawodność i zapewnienie integralności przesyłanych danych i niezawodności transakcji, które są wbudowane w systemy operacyjne i systemy zarządzania bazami danych opierają się na obliczeniach kwoty kontrolne., Powiadomienie o awarii pakietu wiadomości, powtórzenie pakietu nieziarnionego. Podsystem dla braku braku zadeklarowanych możliwości jest wdrażany w większości przypadków opartych na systemach zarządzania bazami danych, narzędzi do ochrony informacji, narzędzi ochrony informacji antywirusowych. Aby zapewnić bezpieczeństwo środowisk PDN i oprogramowania i sprzętu, przetwarzanie tych informacji zaleca się stosowanie specjalnych narzędzi antywirusowych, które wykonują: wykrywanie i (lub) blokujące destrukcyjne wpływy wirusowe na oprogramowanie do szerokości systemu i aplikacji, które wdraża przetwarzanie PD, a także na PDN; wykrywanie i usunięcie nieznanych wirusów; zapewnienie samokontroli (zapobieganie infekcji) tego antywirusa, gdy zaczyna się. Przy wyborze narzędzia ochrony antywirusowej wskazane jest rozważenie następujących czynników: kompatybilność tych funduszy z regularnym oprogramowaniem CDN; stopień zmniejszania wykonywania funkcjonowania głównego przeznaczenia; obecność scentralizowanych kontroli do funkcjonowania narzędzi ochrony antywirusowej z miejsca pracy administratora bezpieczeństwa informacji w CETS; możliwość natychmiastowego powiadomienia administratora bezpieczeństwa informacji o mieszkaniach wszystkich zdarzeń i faktów manifestacji oprogramowania i oddziaływania matematycznego (PMW); dostępność szczegółowej dokumentacji operacyjnej dla ochrony antywirusowej; zdolność do wykonywania okresowych testów lub środków autotestowania ochrony antywirusowej; możliwość budowy składu ochrony przed nowym PMW dodatkowe środki Bez znaczących ograniczeń dotyczących zdrowia godności i "konfliktu" z innymi rodzajami ochrony. Opis zamówienia instalacji, ustawień, konfiguracji i podawania narzędzi ochrony antywirusowej, a także procedurę wykrywania faktów atak wirusowy Lub inne naruszenia wymagań ochrony z oprogramowania i oddziaływania matematycznego powinny być uwzględnione w zarządzaniu administratorem bezpieczeństwa informacji w projekcie. W celu wdrożenia rozbrojenia dostępu do zasobów krajowych zapory są używane do interakcji interwencjach, który jest realizowany przez oprogramowanie i sprzętowe zapory (ME). Zapora jest instalowana między siecią chronioną, zwaną siecią wewnętrzną i zewnętrzną. Zapora jest częścią chronionej sieci. Za to, dzięki ustawieniom reguły ograniczające dostęp z sieci wewnętrznej w zagranicy przeciwnie. Aby zapewnić bezpieczną interakcję interwencyjną w klasach PM i 4, zaleca się używanie mnie nie niższe niż piąty poziom ochrony. Aby zapewnić bezpieczną zaporę w klasie klasy 2, zaleca się użycie mnie nie niższego niż czwarty poziom ochrony. Aby zapewnić bezpieczną interakcję interwencyjną w klasie 1, zaleca się użycie mnie nie niższego niż trzeci poziom bezpieczeństwa. Podsystem analizy bezpieczeństwa jest realizowany na podstawie korzystania z narzędzi testowych (analizy bezpieczeństwa) i monitorowanie bezpieczeństwa informacji. Narzędzia analizy ochrony są stosowane do monitorowania ustawień ochrony systemu operacyjnego na stacjach roboczych i serwerach oraz umożliwiają oceny możliwości przeprowadzania ataków na sprzęt sieciowy, kontrolować bezpieczeństwo oprogramowania. Aby to zrobić, odkrywają topologię sieci, szukając niezabezpieczonych lub nieautoryzowanych połączenia siecioweSprawdź ustawienia zaporów. Taka analiza jest wykonana na podstawie szczegółowych opisów luk w zabezpieczeniach ustawień obronnych (na przykład przełączników, routerów, firewall) lub oprogramowania do systemu operacyjnego lub oprogramowania do aplikacji. Wynikiem narzędzia do analizy bezpieczeństwa jest raport, w którym podsumowano informacje o lucach. Narzędzia do wykrywania podatności mogą działać na poziomie sieci (w tym przypadku są one nazywane "opartymi na sieci"), poziomem systemu operacyjnego ("opartego na hoście") i poziomie aplikacji ("oparte na aplikacji"). Korzystając z oprogramowania do skanowania, można szybko zrobić mapę wszystkich dostępnych kluczy, zidentyfikować usługi używane na każdym z nich i protokołów, aby określić swoje podstawowe ustawienia i założenia dotyczące prawdopodobieństwa wdrożenia NSD. Zgodnie z wynikami skanowania systemu wygenerowano zalecenia i środki w celu wyeliminowania zidentyfikowanych wad. W celu określenia zagrożeń związanych z systemami wykrywania włamań są używane przez zapalnik. Takie systemy opierają się na cechach wdrażania ataków, etapów ich rozwoju i opierają się na wielu sposobach wykrywania ataków. Przydziel trzy grupy metod wykrywania ataku: podpisy; metody identyfikacji anomalii; połączone metody (stosowanie połączeń algorytmów zdefiniowanych w metodach i metodach do identyfikacji anomalii). Aby wykryć włamania do klas PM i 4, zaleca się stosowanie systemów wykrywania ataku sieciowego przy użyciu metod analizy sygnatur. Aby wykryć włamania do Kodeksu 1 i 2 klasy, zaleca się stosowanie systemów wykrywania ataku sieciowego przy użyciu metodami sygnatur analizujących sposoby identyfikacji anomalii. Aby chronić PDN przed przeciekiem na kanałach technicznych, stosuje się środki organizacyjne i techniczne, aby wyeliminować wyciek akustycznego (mowy), informacje o gatunku, a także wycieków informacyjnych ze względu na boczne emisje elektromagnetyczne i przechylenia. W konkluzji, w drugim rozdziale pracy podejmujemy następujące wnioski. Ochrona danych osobowych jest stan bezpieczeństwa informacji i infrastruktury wspierających ją z losowych lub celowych wpływu natury naturalnej lub sztucznej, oszustwa do właścicieli lub użytkowników tych informacji. Zidentyfikowano obiekty bezpieczeństwa informacji w rachunkowości: Zasoby informacyjne zawierające Informacje związane z informatyką komercyjną i środkami i systemami. Główne metody stosowane w ramach ochrony informacji są: wykrywanie i bezpośrednio ochrona. Wniosek Problem bezpieczeństwa informacji o obiektach ekonomicznych wielowymiarowych i potrzebuje dalszych opracowania. W nowoczesnym świecie informatyzacja staje się strategicznym zasobem krajowym, jednym z głównych bogactwa stanu ekonomicznego. Szybka poprawa informatyzacji w Rosji, jej przenikanie do wszystkich obszarów istotnych interesów jednostki, społeczeństwa i państw wiązał się z oprócz niewątpliwych korzyści i pojawienia się szeregu istotnych problemów. Jeden z nich stał się potrzebą informacji. Biorąc pod uwagę, że obecnie potencjał gospodarczy jest coraz bardziej określony przez poziom rozwoju infrastruktury informacyjnej, potencjalna podatność gospodarki w stosunku do efektów informacyjnych rośnie proporcjonalnie. Wdrożenie zagrożeń bezpieczeństwa informacji jest naruszenie poufności, uczciwości i dostępności informacji. Z pozycji podejście systemowe Aby chronić informacje, konieczne jest użycie całego arsenału istniejących środków ochrony we wszystkich elementy konstrukcyjne Obiekt gospodarczy i na wszystkich etapach cyklu technologicznego przetwarzania informacji. Metody i wyposażenie ochronne powinny niezawodnie pokrywać możliwymi sposobami bezprawnego dostępu do zabezpieczonych tajemnic. Skuteczność bezpieczeństwa informacji oznacza, że \u200b\u200bjego koszty wykonywania nie powinny być bardziej możliwymi stratami ze sprzedaży zagrożenia informacyjne. Planowanie informacji przeprowadza się poprzez opracowanie każdej informacji o szczegółowych planach ochrony informacji. Clority jest potrzebna do wdrożenia uprawnień i praw użytkowników do uzyskania dostępu do określonych typów informacji, zapewniając kontrolę nad środkami ochrony i natychmiastowej odpowiedzi na ich awarię. BIBLIOGRAFIA 1.Zautomatyzowane technologie informacyjne w bankowości / ed. prof. G.A. Titoroneko. - M.: Finstatinform, 2007 2.Zautomatyzowane technologie informacyjne w gospodarce / ed. prof. G.A. Titoroneko. - m.: Uniti, 2010 .Ageev A. S. Organizacja i nowoczesne metody ochrony informacji. - m.: Bank "Bank. Centrum biznesowe", 2009 .Adzhiev, V. Mity na oprogramowanie bezpieczeństwa: lekcje słynnych katastrof. - Open Systems, 199 №6 .Alekseev, V.I. Bezpieczeństwo informacji gmin. - Voronezh: Wydawnictwo VSTU, 2008. .Alekseev, V.M. Kryteria międzynarodowe oceny bezpieczeństwa technologii informacyjnych i ich praktyczne użycie: Studia. Adres. - Penza: PubLI Penz. Stan UN-TA, 2002 .Alekseev, V.M. Urządzenie regulacyjne ochrony informacji przed nieautoryzowanym dostępem. - Penza: PubLI Penz. Stan UN-TA, 2007 .Alekseev, V.M. Zapewnienie bezpieczeństwa informacji podczas opracowywania oprogramowania. - Penza: PubLI Penz. Stan Uniwersytet, 2008. .Aleshin, l.i. Ochrona bezpieczeństwa informacji i bezpieczeństwa: Kurs wykładowy L. I. Aleshin; MOSK. Stan Uniwersytet kultury. - m.: MOSK. Stan University of Culture, 2010 .Ahramenka, N.F. i inne. Przestępstwo i kara w systemie płatności z dokumentami elektronicznymi // Zarządzanie obroną informacyjną, 1998 .Banki i operacje bankowe. TUTORIAL / ED. E.F. Zhukov. - M.: Banki i wymiana, jedność, 2008 .Barsukov, V.S. Bezpieczeństwo: technologia, fundusze, usługi. - M.: Kudice - Image, 2007 .Banurin, Yu.m. Problemy z prawami komputerowymi. - M.: Jurid. oświetlony, 1991. .Banurin, Yu.m. Przestępstwo komputerowe I. bezpieczeństwo komputera. M.: Юр.lit., 2009 .Bezrukov, n.n. Wprowadzenie do wirusologii komputerowej. Ogólne zasady działania, klasyfikacji i katalogu najczęstszych wirusów w M5-005. K., 2005. .BYKOV, V.A. Biznes elektroniczny i bezpieczeństwo / V. A. BYKOV. - M.: Radio i komunikacja, 2000 .Varfolomeyev, a.a. Bezpieczeństwo informacji. Matematyczne podstawy kryptologii. Część 1. - M.: Mafi, 1995 .Vekhov, VB. Przestępstwa komputerowe: sposoby popełnienia i ujawnienia. - M.: Prawo i prawo, 1996 .VOLOBUEV, S.V. Wprowadzenie do bezpieczeństwa informacji. - OBNINSK: ONN. In-t atom.energetics, 2001 .VOLOBUEV, S.V. Bezpieczeństwo informacji zautomatyzowanych systemów. - OBNINSK: ONN. In-t atom.energetics, 2001 .All-Rosyjska konferencja naukowa i praktyczna "Bezpieczeństwo informacji w systemie szkolnym", 28-29 listopada 2000, NSTU, Nowosybirsk, Rosja: IBV 2000. - Nowosybirsk, 2001 23.Galatenko, V.a. Bezpieczeństwo informacji: Praktyczne podejście V. A. Galatenko; Ed. V. B. Betelin; Ros. ACAD. Nauka, badania naukowe. Systemy in-T. Badania - m.: Science, 1998 .Galatenko, V.a. Podstawy bezpieczeństwa informacji: przebieg wykładów. - M.: Uniwersytet Internet informujący. Technologie, 2003. .Gennadiev, np. Teoretyczne podstawy informatyki i bezpieczeństwa informacji. - M.: Radio i komunikacja, 2000 .Gicka, Sebastiannar. Ukrywanie informacji w plikach graficznych formatu DIS VMR. ... Cand. tehn. Nauki: 05.13.19 - SPB., 2001 .Gick, s.n. Trzymanie informacji w plikach graficznych formatu formatu NMR: autor. dez. ... Cand. tehn. Nauki: 05.13.19 S.-Petersburg. Stan W-tot. Mechanika i optyka. - SPB., 2001 .Golubev, V.v. Zarządzanie bezpieczeństwem. - Petersburg: Peter, 2004 .Gorbatov, V. Bezpieczeństwo informacji. Podstawy ochrony prawnej. - M.: Mafi (TU), 1995 .Gorlova, I.i., ed. Informacje Wolność i bezpieczeństwo informacji: Materiały stażysty. Naukowy Conf., Krasnodar, 30-31 października 2001 - Krasnodar, 2001 .Greensburg, A.S. i inne. Ochrona zasobów Informacji o zarządzaniu publicznym. - m.: Uniti, 2003 .Bezpieczeństwo informacji Rosji w kontekście globalnego społeczeństwa informacyjnego "InfoForum-5": SAT. Materiały 5. alot. Conf., Moskwa, 4-5 lutego 2003 - m.: LLC ed. dziennik Biznes i bezpieczeństwo Rosji, 2003 .Bezpieczeństwo informacji: SAT. metoda. Materiały M-in Education Ros. Federacja [i in.] - m.: Tsniaatominform, 2003 34.Technologie informacyjne // Gospodarka i życie. №25, 2001. 35.Technologie informacyjne w marketingu: podręcznik do uniwersytetów. - M.: 2003 .Technologie informacyjne w gospodarce i zarządzania: Podręcznik / Kozyrev A.a.- M.: Wydawnictwo Mikhailova V.a., 2005 .Lopatin, v.n. Bezpieczeństwo informacji o Rosji. ... Dr Heride. Nauki: 12.00.01. .Łukashin, V.I. Bezpieczeństwo informacji. - m.: MOSK. Stan Uniwersytet Ekonomiczny, Statystyki i Informatyki .Lucin, I.N., Zheldakov A.a., Kuznetsov N.a. Podświetlanie ochrony hasłem // Informatyzacja systemów ścigania. M., 1996. .Mac Clow, Stuart. Hakowanie w sieci. Ataki i ochrona Stuart McClar, Saumil Shah, Sriray Shah. - m.: Williams, 2003 .Malyuk, A.a. Teoretyczne podstawy formalizacji prognozy oszacowania poziomu bezpieczeństwa informacji w systemach przetwarzania danych. - M.: Mafi, 1998PB., 2000 .Efektywność ekonomiczna systemów bezpieczeństwa informacji. Chebotar P.P. - Mołdawska Akademia Ekonomiczna, 2003 .Yakovlev, V.v. Bezpieczeństwo informacji i ochrona informacji w sieciach transportu kolejowego korporacyjnego. - M., 2002 .Yarochkin, V.I. Bezpieczeństwo informacji. - m.: Mir, 2003 .Yarochkin, V.I. Bezpieczeństwo informacji. - M.: Fundacja "Mir", 2003: ACAD. Projekt .Yasenev, V.N. Zautomatyzowane systemy informacyjne w gospodarce i zapewnienie ich bezpieczeństwa: samouczek. - N.Novgorod, 2002Podobne prace na - ochrona danych osobowych w systemach bankowych online
Jabrail Mathiev, szef ochrony danych osobowych o części handlowej firmyReignvox.
Stała praca z ogromnymi tablicami danych klientów wymaga banku dowolnego formatu ciągłej pracy w dziedzinie tych danych.
Dlatego temat bezpieczeństwa informacji oraz z nim oraz tematu zaufania jest szczególnie istotne w sektorze finansowym. Ponadto wymóg ochrony danych osobowych zawartych w strukturze systemu informacyjnego nowoczesnej spółki finansowej i prawnie uzasadnione - prawo federalne nr 152 "na danych osobowych" Całkowicie zobowiązuje każdą firmę przetwarzającą te dane, aby je chronić ściśle określony okres. Zarówno nowe, jak i istniejące systemy informacyjne, przetwarzanie danych osobowych, należy podsumować z wymogami przepisów do 1 stycznia 2011 r. Biorąc pod uwagę takie ściśle wyznaczone ramy tymczasowe, organizacje przetwarzające takie informacje pozostają mniej czasu na spełnienie wymogów prawa.
Co należy zacząć chronić dane osobowe? Na co liczy się limity czasu? Kto poinstruuje pracę? Jaki jest średni koszt projektu i jak zminimalizować koszty? Wszystkie te pytania są dziś istotne dla każdej wiodącej firmy w sektorze finansowym. Odpowiedzi na nich pozwalają nadać szerokim doświadczeniu w Reignvox w dziedzinie ochrony danych osobowych w strukturach finansowych.
Życie w trybie odliczania
Prawo federalne nr 152 "na danych osobowych" wchodzi w pełną siłę od 1 stycznia 2011 r. - ponad sześć miesięcy przed okresem oznaczonym prawodawcom. Ale nie powinieneś ulec zwodniczego wrażenia o przekroczeniu czasu.
Po pierwsze, wprowadzenie projektu mającego na celu spełnienie wymogów ochrony danych osobowych wymaga od czterech do sześciu miesięcy w zależności od jego złożoności. Ale ta figura nie jest ostateczna - daty mogą wzrosnąć do sześciu-osiem miesięcy Ze względu na okres, który Bank spędza wybór przyzwoitych integratora do rozwoju i utrzymania projektu. Prowadzenie tego rodzaju prac nad siłami własnymi jest obarczona z utratą obiektywizmu bankowego na etapie badań i analizy, która istnieje w środkach ochrony, a także potrzeba znalezienia poszczególnych zasobów pracy dla tej pracy. W tym przypadku należy pamiętać o takich czynnikach, jak obecność specjalistów przygotowanych na temat ochrony danych osobowych, niezbędnej kwoty wsparcia regulacyjnego i metodologicznego, bezpłatne zasoby w ramach samego zadania ochrony danych osobowych. Praktyka pokazuje, że zwykle integratorzy osób trzecich, którzy zazwyczaj spełniają wszystkie te wymagania w kompleksie.
Po drugie, wracając do tematu terminów określonych przez prawo "na danych osobowych" przed operatorami danych (a banki są tylko takimi operatorami, pytanie nie jest już tego warte w zasadzie), bez względu na to, co mówią o swoich " Przeniesienie "Pierwsze kontrole regulatorów mają już miejsce. Wniosek - To jest dość logiczne: znaczenie problemu nie jest tylko zachowane, wzrosła, a jego decyzja staje się pilną potrzebą.
"I Larchchik właśnie się otworzył ..."
Istnieją aktywne dyskusje wokół zadania przynoszenia osoby zgodnie z przepisami prawa "na danych osobowych", który jest głównie aktywny, suma jest głównie zredukowana do jednego: rozwiązanie tego problemu jest bardzo problematyczne ze względu na całość jego cechy organizacyjne i prawne. Taki wniosek nie jest dość wierny: praktyka stosowania wymogów dotyczących ochrony danych osobowych, która pojawiła się w pierwszym kwartale 2010 r. (W tym w sektorze bankowym), potwierdza zrozumienie i interpretowalność wymagań CDN. Ich formułowanie, wdrażanie i potwierdzenie dokumentów tego ostatniego z minimalnym ryzykiem błędów nie jest zbyt trudne w jego wdrożeniu, ile jest ważne w zakresie bezpieczeństwa biznesu bankowego. Jeszcze bardziej upraszcza zadanie przekazywania go do integratora osób trzecich, których specjalistów w większości i profesjonalnie spełniają projekt w celu ochrony danych osobowych, biorąc pod uwagę indywidualne cechy biznesu bankowego.
Zatem pierwszym priorytetem jest wybór firmy integratora, która zostanie postanowiona powierzyć zarządzanie projektem.
"Typowy" \u003d "Ekskluzywny"?
Taki znak równości między danymi wzajemnie wyłącznymi koncepcjami ma prawo istnieć. Niniejsze oświadczenie jest wspierane przez praktyczne doświadczenie w sprawie udanych projektów ochrony danych osobowych już zakończonych przez REINVOX.
Z jednej strony każdy taki projekt zawiera standardową liczbę kroków: etap systemów informacyjnych danych osobowych, etap systemu ochrony danych osobowych, stacji implementacji Studpienn, etap oceny korezydenta, wymagania certyfikatu certyfikatu i etap wsparcia utworzonego systemu. Ponadto ocena zgodności Kodeksu, jako etap, jest opcjonalna i prowadzona jest według uznania firmy Klienta. Jak również etap wsparcia utworzonego systemu.
Tych jest zwykle kończy się na pierwszym etapie (etap kontroli systemów informatycznych), ponieważ to jest to, co pozwala zidentyfikować i opisywać te wymagania, które zostaną przesłane dalej do systemów. A te parametry są już indywidualne i koncentrują się na każdym konkretnym kliencie, zoptymalizowany zgodnie z jego potrzebami.
W trakcie tego badania analizowane są zasoby informacyjne, typowe rozwiązaniaDotyczy budowy infrastruktury IT, płynie danych osobowych, dostępnych systemów i narzędzi bezpieczeństwa informacji.
Na tym samym etapie opracowywane jest model zagrożeń i odporność na bezpieczeństwo PD, szacowana jest potrzeba zapewnienia bezpieczeństwa PDN w PDA za pomocą kryptocionów.
Klasyczny schemat do przechowywania drugiego etapu obejmuje audyt ram regulacyjnych oraz ocenę jej zgodności z wymogami regulatorów. Jego wynik staje się rozwojem brakujących dokumentów wewnętrznych, a także rozwój zadania technicznego dla rozwoju SPSPDN. Na tym samym etapie integrator przebiega do bezpośredniego rozwoju zestawu środków ochrony informacji.
Pod koniec tego etapu bank jest już dość zdolny do skutecznego sprawdzania czeku jednego z regulatorów.
Istota trzeciego etapu jest zmniejszona do wdrażania systemów i konfigurowania istniejącego sprzętu ochronnego. Po testowaniu, jeśli to konieczne, udoskonalenie kompleksu technicznego i oprogramowania.
Na każdym z opisanych etapów przed REINVOX, jak przed integratorem, istnieją różne dodatkowe zadania, ze względu na specyfikę biznesu, które prowadzone przez firmę klienta z jego wielkości, infrastruktury, procesów biznesowych i wielu innych punktów. I od wielu z tych elementów za każdym razem, gdy jest nowa, indywidualnie dostosowana koncepcja projektu w celu ochrony danych osobowych.
"... i owce są nienaruszone"
Minimalizacja wydatków, optymalizacja budżetowa, oszczędności - Która fraza nie ma odebrania, istota pozostanie jednym - racjonalnym podejściem do wykorzystania zasobów pieniężnych - jest to, kto jest drugim kamieniem węgielnym sukcesu struktury finansowej (po zaufaniu, oczywiście). W związku z tym pragnienie obniżenia kosztów, a nie ze szkodą dla bezpieczeństwa informacji jest naturalny i dość osiągalny.
Koszt średniego typowego projektu tworzenia systemu ochrony danych osobowych dla struktury bankowej wynosi około 1,5 miliona rubli. Przy obliczaniu tej kwoty uwzględniono szereg zasad, zgodnie z poniŜym budżetem w celu utworzenia systemu ochrony danych osobowych.
Przede wszystkim staramy się zachować już istniejącą infrastrukturę IT w organizacji. Zazwyczaj mówić o dwóch scenariuszach polarnych ochrony PDN. Pierwsza jest główna zmiana wszystkich Kerennów, a druga jest formalnym, który składa się tylko w uwolnieniu wewnętrznych dokumentów regulacyjnych, bez wprowadzania zmian w PM. Rozważamy optymalną trzecią opcję precyzyjnie zawarta w zachowaniu obecnej infrastruktury IT Banku, którym towarzyszy modyfikowanie niektórych elementów, dodając nowe niezbędne w celu zapewnienia zgodności z prawem.
W tym przypadku mówimy o pierwszej zasadzie na podstawie Maksymalne wykorzystanie istniejących narzędzi bezpieczeństwa informacji Przy projektowaniu systemów ochrony informacji. Fundusze obronne w każdej firmie są stosowane niezależnie od potrzeby ochrony danych osobowych, są to systemy ochrony antywirusowej oraz wbudowane narzędzia do kontroli dostępu do systemu operacyjnego oraz ekrany Firewater. I wiele innych środków. Dlatego maksymalna liczba wymagań jest zamknięta przez istniejące narzędzia bezpieczeństwa. I tylko wtedy, gdy pewne wymagania nie są zadowoleni z obecnych środków ochrony, konieczne jest zakup i wdrożenie dodatkowe.
Druga zasada jest zasadą ekonomiczna logiczna struktura systemów informacyjnych Dane osobiste. Po tej zasadzie, w ramach wprowadzenia projektu w celu ochrony danych osobowych w banku, związek z kilku systemów w tym samym pokoju staje się ekonomicznie uzasadnione, w połączeniu ze spadkiem klasy segmentów niekrytycznych. W ten sposób powstaje centrum "centrum danych", ochrona, w której jest zapewniona przez obwód. Pozwala to w dużej mierze minimalizować koszty oddzielenia przepływów w różnych systemach.
Zasada trzeciego - bronić tylko z odpowiednich zagrożeń. Jednocześnie aktualizacja zagrożeń jest opisana w obowiązkowym dla systemów specjalnych dokument o nazwie "model zagrożenia". Po aktualizacji zagrożeń te z nich są odrzucane, których prawdopodobieństwo jest niskie, a szkody podczas wdrażania jest małe.
Z zastrzeżeniem wykorzystania już spędzonych technik, zadanie przynoszenia niedźwiedzia każdego banku zgodnie z wymogami prawodawstwa w dniu 1 stycznia 2011 r. Jest w pełni wdrożone. Aby zmaksymalizować sukces wprowadzenia takich technologii w sektorze bankowym, nadal konieczne jest zapamiętanie zintegrowanego podejścia do pracy nad projektem. W tym przypadku wynika z organizacji wspólnej pracy specjalistów różnych działów - technologii informatycznych, bezpieczeństwa informacji i zarządzania projektami, finansistami, prawnikami - gwarantując zgodność z niezbędnym saldem ogólnego podejścia do ochrony krytycznych danych w ramach struktura finansowa.
Odniesienie: Reignvox to rosyjska firma specjalizująca się w innowacyjnych projektach i rozwoju w dziedzinie technologii informacyjnych i zapewniając ich bezpieczeństwo informacji.
Celem stworzenia spółki jest świadczenie usług zapewniających ochronę danych osobowych zgodnie z wymogami prawa "na danych osobowych" FZ-152 z dnia 27 lipca 2006 r. I budową zintegrowanych systemów ochrony informacji.
Reignvox jest członkiem międzyregionalnej organizacji publicznej "Stowarzyszenie Ochrony Informacyjnej" (MOO "AZA"), współpracownik członka Unii InfoComunication (Unii InfoComunication), a także członkiem Stowarzyszenia Banków Regionalnych Rosji.
Reignvox ma znaczące doświadczenie w pomyślnym wdrożeniu projektów w celu ochrony danych osobowych w dużych bankach komercyjnych. Wśród swoich klientów, banknotów, VneShecombank, CentroCredit, Tempbank, Alta Bank itp.
Oszacowanie:
