बैंकिंग क्षेत्र में व्यक्तिगत डेटा। विषय पर थीसिस: उद्यम पीजेएससी सिटीबैंक में व्यक्तिगत डेटा सुरक्षा प्रणाली का विकास। आप व्यक्तिगत डेटा कैसे स्थानांतरित कर सकते हैं

मरीना प्रोखोरोवा,पत्रिका "व्यक्तिगत डेटा" के संपादक

नतालिया समोइलोवा,कंपनी "इन्फोटेक्नोप्रोजेक्ट" के वकील

व्यक्तिगत डेटा प्रोसेसिंग के क्षेत्र में अब तक विकसित नियामक ढांचा, दस्तावेज़ जिन्हें संगठनों में व्यक्तिगत डेटा की सुरक्षा पर काम के अधिक प्रभावी संगठन के लिए अपनाया जाना बाकी है, तैयारी के तकनीकी पहलू जानकारी के सिस्टमव्यक्तिगत डेटा के संचालक - ये विषय हैं हाल ही मेंव्यक्तिगत डेटा के मुद्दे पर समर्पित कई समाचार पत्रों और पत्रिका प्रकाशनों में इस पर चर्चा की गई। इस लेख में मैं इन संगठनों में संसाधित व्यक्तिगत डेटा की "गैर-तकनीकी" सुरक्षा के रूप में बैंकिंग और क्रेडिट संस्थानों के काम को व्यवस्थित करने के ऐसे पहलू पर ध्यान देना चाहूंगा।

आइए एक विशिष्ट उदाहरण से शुरू करें

हम जून 2008 में सर्बैंक के खिलाफ शुरू किए गए व्यक्तिगत डेटा की सुरक्षा पर एक मामले की न्यायिक समीक्षा के बारे में बात कर रहे हैं। मुकदमे का सार इस प्रकार था। नागरिक और बैंक के बीच एक गारंटी समझौता संपन्न हुआ, जिसके अनुसार नागरिक ने ऋण समझौते के तहत उधारकर्ता के दायित्वों की पूर्ति के लिए बैंक को जवाब देने का दायित्व स्वीकार किया। उत्तरार्द्ध ने ऋण समझौते द्वारा स्थापित अवधि के भीतर अपने दायित्वों को पूरा नहीं किया; एक अविश्वसनीय ग्राहक के रूप में गारंटर के बारे में जानकारी बैंक की स्वचालित सूचना प्रणाली "स्टॉप लिस्ट" में दर्ज की गई थी, जो बदले में, उसे प्रदान करने से इनकार करने का आधार था। ऋण के साथ. इसके अलावा, बैंक ने ऋण समझौते के तहत उधारकर्ता द्वारा अपने दायित्वों की अनुचित पूर्ति के बारे में नागरिक को सूचित भी नहीं किया। इसके अलावा, गारंटी समझौते में यह संकेत नहीं दिया गया कि उधारकर्ता द्वारा अपने दायित्वों की अनुचित पूर्ति की स्थिति में, बैंक को स्टॉप लिस्ट सूचना प्रणाली में गारंटर के बारे में जानकारी दर्ज करने का अधिकार है। इस प्रकार, बैंक ने नागरिक की सहमति के बिना स्टॉप लिस्ट सूचना प्रणाली में उसके बारे में जानकारी शामिल करके उसके व्यक्तिगत डेटा को संसाधित किया, जो कला के भाग 1 की आवश्यकताओं का उल्लंघन करता है। 27 जुलाई 2006 के संघीय कानून संख्या 152-एफजेड के 9 "व्यक्तिगत डेटा पर", जिसके अनुसार व्यक्तिगत डेटा का विषय अपने व्यक्तिगत डेटा को प्रदान करने का निर्णय लेता है और अपनी इच्छा से और अपने हित में उनके प्रसंस्करण के लिए सहमति देता है। इसके अलावा, कला के भाग 1 में दिए गए तरीके से। उसी कानून के 14, एक नागरिक ने स्टॉप लिस्ट सूचना प्रणाली में उसके बारे में दर्ज की गई जानकारी से परिचित होने का अवसर प्रदान करने के साथ-साथ इस जानकारी को अवरुद्ध करने और इसे नष्ट करने की मांग के साथ बैंक से संपर्क किया। बैंक ने नागरिक की मांगों को पूरा करने से इनकार कर दिया।

मामले के विचार के परिणामों के आधार पर, व्लादिवोस्तोक के लेनिन्स्की जिला न्यायालय ने एक नागरिक के उल्लंघन किए गए अधिकारों की रक्षा के लिए रूस के सर्बैंक के खिलाफ प्रिमोर्स्की क्षेत्र के लिए रोसकोम्नाडज़ोर के कार्यालय के दावों को संतुष्ट किया और बैंक को इसके बारे में जानकारी नष्ट करने का आदेश दिया। स्टॉप लिस्ट सूचना प्रणाली से नागरिक।

यह उदाहरण किस प्रकार महत्वपूर्ण है? बैंक, अपने बड़ी संख्या में ग्राहकों के व्यक्तिगत डेटा को संग्रहीत करते हुए, बिना किसी हिचकिचाहट के, उन्हें एक डेटाबेस से दूसरे डेटाबेस में ले जाते हैं, और अक्सर इस बारे में व्यक्तिगत डेटा के विषय को सूचित किए बिना, अपने व्यक्तिगत डेटा के साथ इस तरह के कार्यों के लिए उनकी सहमति प्राप्त करना तो दूर की बात है। बेशक, बैंकिंग गतिविधि में कई विशेषताएं हैं, और अक्सर ग्राहकों के व्यक्तिगत डेटा का उपयोग न केवल बैंक द्वारा संपन्न समझौतों को पूरा करने के लिए किया जाता है, बल्कि ग्राहक द्वारा अपने दायित्वों की पूर्ति पर बैंक को नियंत्रित करने के लिए भी किया जाता है, लेकिन इसका मतलब है कि किसी भी तरह का हेरफेर व्यक्तिगत डेटा को पहले से ही अपने विषय की सहमति की आवश्यकता होती है।

प्रावधानों की व्याख्या करने में कठिनाइयाँ

व्यक्तिगत डेटा के साथ किसी भी संचालन को कानूनी क्यों नहीं बनाया जाता? बेशक, इसके लिए तीसरे पक्ष के विशेषज्ञों की भागीदारी की सबसे अधिक आवश्यकता होगी, क्योंकि बड़े बैंकों के कानूनी विभागों के वकील भी केवल एक निश्चित क्षेत्र में प्रथम श्रेणी के पेशेवर हैं, और उन्हें काम करने की बारीकियों से परिचित होना होगा व्यक्तिगत डेटा का क्षेत्र लगभग शून्य से। तो सबसे अच्छा तरीका यह है कि व्यक्तिगत डेटा के साथ काम को व्यवस्थित करने के लिए सेवाओं के प्रावधान में विशेषज्ञता रखने वाली कंपनियों को शामिल किया जाए, जिसमें ऑडिट करने में सक्षम कंपनियां भी शामिल हैं ताकि यह सुनिश्चित किया जा सके कि आप जो गैर-तकनीकी सुरक्षा उपाय कर रहे हैं वह विधायक की आवश्यकताओं का अनुपालन करते हैं।

विश्लेषणात्मक अध्ययनों के परिणाम हमें यह निष्कर्ष निकालने की अनुमति देते हैं कि संघीय कानून संख्या 152-एफजेड "व्यक्तिगत डेटा पर" के किन प्रावधानों की व्याख्या सबसे बड़ी कठिनाइयों का कारण बनती है।

इस नियामक दस्तावेज़ के अनुच्छेद 22 के भाग 1 के अनुसार, ऑपरेटर व्यक्तिगत डेटा के प्रसंस्करण के बारे में अधिकृत निकाय को सूचित करने के लिए बाध्य है। अपवादों में वह मामला है जब संसाधित व्यक्तिगत डेटा एक समझौते के समापन के संबंध में प्राप्त किया गया था जिसमें व्यक्तिगत डेटा का विषय एक पक्ष है... और ऑपरेटर द्वारा केवल उक्त समझौते के निष्पादन के लिए उपयोग किया जाता है संघीय कानून संख्या 152-एफजेड के अनुच्छेद 22 के भाग 2 के खंड 2 के आधार पर "व्यक्तिगत डेटा पर।" इस प्रावधान के साथ सटीक रूप से कार्य करते हुए, कुछ बैंक व्यक्तिगत डेटा के प्रसंस्करण के बारे में अधिसूचना प्रस्तुत नहीं करते हैं, और कई खुद को ऑपरेटर नहीं मानते हैं, जो मौलिक रूप से गलत है।

इसके अलावा, अनुबंध से संबंधित व्यक्तिगत डेटा के ऑपरेटर के रूप में बैंकों की एक और आम गलती निम्नलिखित है। कला के अनुसार. उपरोक्त कानून के 6, व्यक्तिगत डेटा का प्रसंस्करण ऑपरेटर द्वारा व्यक्तिगत डेटा के विषयों की सहमति से किया जा सकता है, अनुबंध को पूरा करने के उद्देश्य से प्रसंस्करण के कार्यान्वयन सहित मामलों के अपवाद के साथ, पार्टियों में से एक जो व्यक्तिगत डेटा का विषय है। इसलिए, कई बैंकिंग संस्थान इस तरह के समझौते के समापन के तथ्य से व्यक्तिगत डेटा के विषय पर सहमति की कमी की व्याख्या करते हैं।

लेकिन आइए इसके बारे में सोचें, क्या बैंक, एक ऑपरेटर होने के नाते, किसी समझौते का समापन करते समय प्राप्त विषय के व्यक्तिगत डेटा का उपयोग नहीं करता है, उदाहरण के लिए, नई सेवाओं के बारे में सूचनाएं भेजने के लिए, "स्टॉप लिस्ट" बनाए रखने के लिए? इसका मतलब यह है कि व्यक्तिगत डेटा का प्रसंस्करण न केवल अनुबंध को पूरा करने के उद्देश्य से किया जाता है, बल्कि अन्य उद्देश्यों के लिए भी किया जाता है, जिसकी उपलब्धि बैंकों के लिए व्यावसायिक हित में है, इसलिए:

बैंकों को व्यक्तिगत डेटा के प्रसंस्करण के बारे में अधिकृत निकाय को एक अधिसूचना प्रस्तुत करने की आवश्यकता है;
बैंकों को व्यक्तिगत डेटा को केवल विषय की सहमति से ही संसाधित करना चाहिए।

इसका मतलब यह है कि बैंकों को अपने ग्राहकों के व्यक्तिगत डेटा के साथ काम करने के लिए एक प्रणाली व्यवस्थित करनी होगी, यानी ऐसे डेटा की गैर-तकनीकी सुरक्षा सुनिश्चित करनी होगी।

व्यक्तिगत डेटा के प्रसंस्करण के लिए लिखित सहमति

व्यक्तिगत डेटा के प्रसंस्करण के लिए व्यक्तिगत डेटा के विषय की सहमति के लिए, संघीय कानून संख्या 152-एफजेड "व्यक्तिगत डेटा पर" ऑपरेटरों को केवल कानून द्वारा निर्दिष्ट मामलों में व्यक्तिगत डेटा को संसाधित करने के लिए लिखित सहमति प्राप्त करने के लिए बाध्य करता है। वहीं, कला के भाग 3 के अनुसार। 9, अपने व्यक्तिगत डेटा के प्रसंस्करण के लिए विषय की सहमति की प्राप्ति साबित करने का दायित्व ऑपरेटर पर है। यदि आवश्यक हो तो ऐसे सबूत इकट्ठा करने में समय बर्बाद न करने के लिए (उदाहरण के लिए, गवाहों की खोज करना), हमारी राय में, किसी भी मामले में लिखित रूप में विषयों से सहमति प्राप्त करना बेहतर है।

आइए हम व्यक्तिगत डेटा के प्रसंस्करण के लिखित रूप के लिए एक और तर्क दें। अक्सर, बैंकों की गतिविधियों में किसी विदेशी राज्य के क्षेत्र में डेटा (व्यक्तिगत डेटा सहित) का स्थानांतरण शामिल होता है। इस अवसर पर कला का भाग 1. संघीय कानून संख्या 152-एफजेड के 12 "व्यक्तिगत डेटा पर" में कहा गया है कि व्यक्तिगत डेटा के सीमा पार हस्तांतरण की शुरुआत से पहले, ऑपरेटर यह सुनिश्चित करने के लिए बाध्य है कि जिस विदेशी राज्य के क्षेत्र में व्यक्तिगत डेटा स्थानांतरित किया गया है वह पर्याप्त सुरक्षा प्रदान करता है। व्यक्तिगत डेटा विषयों के अधिकार. यदि ऐसी सुरक्षा प्रदान नहीं की जाती है, तो व्यक्तिगत डेटा का सीमा पार स्थानांतरण केवल व्यक्तिगत डेटा के विषय की लिखित सहमति से संभव है। यह माना जा सकता है कि किसी बैंक कर्मचारी के लिए किसी विदेशी देश में अपनी सुरक्षा की पर्याप्तता की डिग्री स्थापित करने की तुलना में व्यक्तिगत डेटा को संसाधित करने के लिए ग्राहक की लिखित सहमति प्राप्त करना आसान है।

कृपया ध्यान दें कि लिखित सहमति में जो जानकारी शामिल होनी चाहिए वह कला के भाग 4 में सूचीबद्ध है। उपर्युक्त संघीय कानून के 9, और यह सूची संपूर्ण है। और वाक्यांश के तहत एक हस्ताक्षर, उदाहरण के लिए, एक ऋण समझौते में: "मैं अपने व्यक्तिगत डेटा के उपयोग के लिए सहमत हूं," संघीय कानून संख्या 152-एफजेड "व्यक्तिगत डेटा पर" के अनुसार, उनके प्रसंस्करण के लिए सहमति नहीं है!

ऐसा प्रतीत होता है कि कानून के कुछ ही बिंदु हैं, लेकिन उनकी गलत व्याख्या के कारण कितनी जटिलताएँ, यहाँ तक कि मुकदमेबाजी भी हो सकती है। इसके अलावा, आज, जब विषयों का व्यक्तिगत डेटा अक्सर विभिन्न संरचनाओं की प्रतिस्पर्धा में एक वस्तु बन जाता है, उनकी सुरक्षा के मुद्दों का सफल समाधान, बैंकिंग और क्रेडिट संस्थानों की सूचना प्रणालियों की सुरक्षा सुनिश्चित करना प्रतिष्ठा और अच्छे नाम को बनाए रखने की कुंजी बन जाता है। कोई भी संगठन.

हर दिन, नागरिकों में उनके व्यक्तिगत डेटा के प्रसार के संभावित नकारात्मक परिणामों के बारे में जागरूकता बढ़ रही है, जो विशेष प्रकाशनों के उद्भव से सुगम है। सूचना संसाधन भी हैं विभिन्न कंपनियाँ. उनमें से कुछ आम तौर पर "सूचना सुरक्षा" की अवधारणा से संबंधित मुद्दों की पूरी विस्तृत श्रृंखला को कवर करते हैं, अन्य तकनीकी सुरक्षा के उपायों और साधनों की समीक्षा के लिए समर्पित हैं, जबकि अन्य, इसके विपरीत, गैर-तकनीकी सुरक्षा से जुड़ी समस्याओं पर ध्यान केंद्रित करते हैं। . दूसरे शब्दों में, व्यक्तिगत डेटा सुरक्षा के मुद्दों पर जानकारी अधिक सुलभ होती जा रही है, जिसका अर्थ है कि नागरिक अपने अधिकारों की रक्षा करने में अधिक समझदार होंगे।

पद

व्यक्तिगत डेटा की सुरक्षा पर

ग्राहक (ग्राहक)

ऑर्टेस-फाइनेंस एलएलसी में

शब्द और परिभाषाएं

1.1. व्यक्तिगत जानकारी- ऐसी जानकारी (व्यक्तिगत डेटा का विषय) के आधार पर पहचाने गए या निर्धारित किए गए किसी व्यक्ति से संबंधित कोई भी जानकारी, जिसमें उसका अंतिम नाम, पहला नाम, संरक्षक, वर्ष, महीना, जन्म तिथि और जन्म स्थान, पता, ईमेल पता शामिल है। फ़ोन नंबर, पारिवारिक, सामाजिक, संपत्ति की स्थिति, शिक्षा, पेशा, आय, अन्य जानकारी।

1.2. व्यक्तिगत डेटा का प्रसंस्करण- संग्रह, व्यवस्थितकरण, संचय, भंडारण, स्पष्टीकरण (अद्यतन करना, बदलना), उपयोग, वितरण (स्थानांतरण सहित), प्रतिरूपण, अवरोधन सहित व्यक्तिगत डेटा के साथ क्रियाएं (संचालन)।

1.3. व्यक्तिगत डेटा की गोपनीयता- व्यक्तिगत डेटा तक पहुंच प्राप्त करने वाले नामित जिम्मेदार व्यक्ति के लिए एक अनिवार्य आवश्यकता है कि वह विषय की सहमति या अन्य कानूनी आधार के बिना उनके प्रसार की अनुमति न दे।

1.4. व्यक्तिगत डेटा का प्रसार- व्यक्तिगत डेटा को व्यक्तियों के एक निश्चित समूह में स्थानांतरित करना (व्यक्तिगत डेटा का स्थानांतरण) या असीमित संख्या में व्यक्तियों के व्यक्तिगत डेटा से खुद को परिचित करना, जिसमें मीडिया में व्यक्तिगत डेटा का प्रकाशन, सूचना और दूरसंचार नेटवर्क में पोस्ट करना या किसी को -या किसी अन्य तरीके से व्यक्तिगत डेटा तक पहुंच प्रदान करना।

1.5. व्यक्तिगत डेटा का उपयोग- निर्णय लेने या अन्य कार्यों को करने के उद्देश्य से किए गए व्यक्तिगत डेटा के साथ कार्य (संचालन) जो व्यक्तिगत डेटा के विषयों के संबंध में कानूनी परिणामों को जन्म देते हैं या अन्यथा उनके अधिकारों और स्वतंत्रता या अन्य व्यक्तियों के अधिकारों और स्वतंत्रता को प्रभावित करते हैं।

1.6. व्यक्तिगत डेटा को ब्लॉक करना- उनके स्थानांतरण सहित व्यक्तिगत डेटा के संग्रह, व्यवस्थितकरण, संचय, उपयोग, प्रसार की अस्थायी समाप्ति।

1.7. व्यक्तिगत डेटा का विनाश- ऐसी कार्रवाइयाँ जिनके परिणामस्वरूप व्यक्तिगत डेटा सूचना प्रणाली में व्यक्तिगत डेटा की सामग्री को पुनर्स्थापित करना असंभव है या जिसके परिणामस्वरूप व्यक्तिगत डेटा का भौतिक मीडिया नष्ट हो जाता है।

1.8. व्यक्तिगत डेटा का वैयक्तिकरण- वे क्रियाएँ जिनके परिणामस्वरूप उपयोग के बिना असंभव है अतिरिक्त जानकारीकिसी विशिष्ट विषय के लिए व्यक्तिगत डेटा का स्वामित्व निर्धारित करना।

1.9. सार्वजनिक व्यक्तिगत डेटा- व्यक्तिगत डेटा, असीमित संख्या में व्यक्तियों तक पहुंच, जो विषय की सहमति से प्रदान की जाती है या जो, संघीय कानूनों के अनुसार, गोपनीयता आवश्यकताओं के अधीन नहीं है।

1.10. जानकारी— सूचना (संदेश, डेटा) उनकी प्रस्तुति के रूप की परवाह किए बिना।

1.11. ग्राहक (व्यक्तिगत डेटा का विषय)- व्यक्तिऑर्टेस-फाइनेंस एलएलसी की सेवाओं का उपभोक्ता, जिसे इसके बाद "संगठन" के रूप में जाना जाएगा।

1.12. ऑपरेटर- राज्य निकाय, नगर निकाय, कानूनी इकाई या व्यक्ति, स्वतंत्र रूप से या संयुक्त रूप से अन्य व्यक्तियों के साथ व्यक्तिगत डेटा के प्रसंस्करण का आयोजन और (या) करने के साथ-साथ व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों का निर्धारण, संसाधित किए जाने वाले व्यक्तिगत डेटा की संरचना , व्यक्तिगत डेटा के साथ किए गए कार्य (संचालन)। इन विनियमों के ढांचे के भीतर, ऑपरेटर सीमित देयता कंपनी "ऑर्टेस-फाइनेंस" है;

2. सामान्य प्रावधान.

2.1. व्यक्तिगत डेटा के प्रसंस्करण पर यह विनियमन (बाद में विनियमन के रूप में संदर्भित) संविधान के अनुसार विकसित किया गया है रूसी संघ, रूसी संघ का नागरिक संहिता, संघीय कानून "सूचना, सूचना प्रौद्योगिकी और सूचना संरक्षण पर", संघीय कानून 152-एफजेड "व्यक्तिगत डेटा पर", अन्य संघीय कानून।

2.2. विनियम विकसित करने का उद्देश्य संगठन के सभी ग्राहकों के व्यक्तिगत डेटा को संसाधित करने और संरक्षित करने की प्रक्रिया निर्धारित करना है, जिनका डेटा ऑपरेटर के अधिकार के आधार पर प्रसंस्करण के अधीन है; किसी व्यक्ति और नागरिक के व्यक्तिगत डेटा के प्रसंस्करण के दौरान उनके अधिकारों और स्वतंत्रता की सुरक्षा सुनिश्चित करना, जिसमें गोपनीयता, व्यक्तिगत और पारिवारिक रहस्यों के अधिकारों की सुरक्षा, साथ ही विफलता के लिए व्यक्तिगत डेटा तक पहुंच वाले अधिकारियों की जिम्मेदारी स्थापित करना शामिल है। व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा को नियंत्रित करने वाले नियमों की आवश्यकताओं का अनुपालन करना।

2.3. विनियमों को लागू करने और बदलने की प्रक्रिया।

2.3.1. यह विनियमन संगठन के महानिदेशक द्वारा अनुमोदन के क्षण से लागू होता है और नए विनियमन द्वारा प्रतिस्थापित होने तक अनिश्चित काल तक वैध रहता है।

2.3.2. विनियमों में परिवर्तन संगठन के महानिदेशक के आदेशों के आधार पर किए जाते हैं।

3. व्यक्तिगत डेटा की संरचना.

3.1. ग्राहकों के व्यक्तिगत डेटा में अन्य बातों के अलावा ये भी शामिल हैं:

3.1.1. पूरा नाम।

3.1.2. जन्म का साल।

3.1.3. जन्म का माह।

3.1.4. जन्म की तारीख।

3.1.5. जन्म स्थान।

3.1.6. पासपोर्ट विवरण

3.1.7. मेल पता।

3.1.8. फ़ोन नंबर (घर, सेल).

3.2. निम्नलिखित दस्तावेज़ों और सूचनाओं को संगठन में बनाया (बनाया, एकत्र किया) और संग्रहीत किया जा सकता है, जिनमें शामिल हैं इलेक्ट्रॉनिक प्रारूप में, जिसमें ग्राहकों के बारे में डेटा शामिल है:

3.2.1. किसी व्यक्ति को जोड़ने की संभावना पर सर्वेक्षण के लिए आवेदन।

3.2.2. समझौता (सार्वजनिक प्रस्ताव)।

3.2.3. समझौते में शामिल होने की पुष्टि.

3.2.5. पहचान दस्तावेजों की प्रतियां, साथ ही ग्राहक द्वारा प्रदान किए गए अन्य दस्तावेज और व्यक्तिगत डेटा शामिल हैं।

3.2.6. ऑर्डर (वस्तुओं/सेवाओं) के भुगतान पर डेटा, जिसमें भुगतान और ग्राहक के अन्य विवरण शामिल हैं।

4. व्यक्तिगत डेटा संसाधित करने का उद्देश्य.

4.1. व्यक्तिगत डेटा को संसाधित करने का उद्देश्य लक्ष्य प्राप्त करने के उद्देश्य से कार्यों का एक सेट पूरा करना है, जिसमें शामिल हैं:

4.1.1. परामर्श एवं सूचना सेवाएँ प्रदान करना।

4.1.2. अन्य लेनदेन जो कानून द्वारा निषिद्ध नहीं हैं, साथ ही उपरोक्त लेनदेन के निष्पादन के लिए आवश्यक व्यक्तिगत डेटा के साथ कार्यों का एक सेट।

4.1.3. रूसी संघ के कानून की आवश्यकताओं का अनुपालन करने के लिए।

4.2. व्यक्तिगत डेटा के प्रसंस्करण को समाप्त करने की शर्त संगठन का परिसमापन, साथ ही ग्राहक का संबंधित अनुरोध है।

5. व्यक्तिगत डेटा का संग्रह, प्रसंस्करण और सुरक्षा।

5.1. व्यक्तिगत डेटा प्राप्त करने (एकत्रित करने) की प्रक्रिया:

5.1.1. इन विनियमों के खंड 5.1.4 और 5.1.6 में निर्दिष्ट मामलों और रूसी संघ के कानूनों द्वारा प्रदान किए गए अन्य मामलों को छोड़कर, ग्राहक के सभी व्यक्तिगत डेटा को उसकी लिखित सहमति से व्यक्तिगत रूप से प्राप्त किया जाना चाहिए।

5.1.2. अपने व्यक्तिगत डेटा के उपयोग के लिए ग्राहक की सहमति को संगठन द्वारा कागज और/या इलेक्ट्रॉनिक रूप में संग्रहीत किया जाता है।

5.1.3. व्यक्तिगत डेटा के प्रसंस्करण के लिए विषय की सहमति समझौते की पूरी अवधि के लिए वैध है, साथ ही 5 साल के भीतरसंगठन के साथ ग्राहक के संविदात्मक संबंध की समाप्ति की तारीख से। निर्दिष्ट अवधि की समाप्ति के बाद, इसके निरस्तीकरण की जानकारी के अभाव में सहमति को हर अगले पांच वर्षों के लिए विस्तारित माना जाता है।

5.1.4. यदि ग्राहक का व्यक्तिगत डेटा केवल किसी तीसरे पक्ष से प्राप्त किया जा सकता है, तो ग्राहक को इसके बारे में पहले से सूचित किया जाना चाहिए और उससे लिखित सहमति प्राप्त की जानी चाहिए। ग्राहक का व्यक्तिगत डेटा प्रदान करने वाले तीसरे पक्ष के पास व्यक्तिगत डेटा को संगठन में स्थानांतरित करने के लिए विषय की सहमति होनी चाहिए। संगठन ग्राहक के व्यक्तिगत डेटा को स्थानांतरित करने वाले तीसरे पक्ष से पुष्टि प्राप्त करने के लिए बाध्य है कि व्यक्तिगत डेटा उसकी सहमति से स्थानांतरित किया गया है। संगठन, तीसरे पक्षों के साथ बातचीत करते समय, ग्राहकों के व्यक्तिगत डेटा के संबंध में जानकारी की गोपनीयता पर उनके साथ एक समझौता करने के लिए बाध्य है।

5.1.5. संगठन ग्राहक को व्यक्तिगत डेटा प्राप्त करने के उद्देश्यों, इच्छित स्रोतों और तरीकों के साथ-साथ प्राप्त किए जाने वाले व्यक्तिगत डेटा की प्रकृति और ग्राहक द्वारा इसे प्राप्त करने के लिए लिखित सहमति देने से इनकार करने के परिणामों के बारे में सूचित करने के लिए बाध्य है। .

5.1.6. ग्राहकों की सहमति के बिना उनके व्यक्तिगत डेटा का प्रसंस्करण निम्नलिखित मामलों में किया जाता है:

5.1.6.1. व्यक्तिगत डेटा सार्वजनिक रूप से उपलब्ध है.

5.1.6.2. संघीय कानून द्वारा प्रदान किए गए मामलों में अधिकृत राज्य निकायों के अनुरोध पर।

5.1.6.3. व्यक्तिगत डेटा का प्रसंस्करण एक संघीय कानून के आधार पर किया जाता है जो इसका उद्देश्य, व्यक्तिगत डेटा प्राप्त करने की शर्तें और उन विषयों की श्रेणी स्थापित करता है जिनका व्यक्तिगत डेटा प्रसंस्करण के अधीन है, साथ ही ऑपरेटर की शक्तियों को परिभाषित करता है।

5.1.6.4. व्यक्तिगत डेटा का प्रसंस्करण एक समझौते के समापन और निष्पादन के उद्देश्य से किया जाता है, जिसमें से एक पक्ष व्यक्तिगत डेटा का विषय है - ग्राहक।

5.1.6.5. व्यक्तिगत डेटा का प्रसंस्करण सांख्यिकीय उद्देश्यों के लिए किया जाता है, जो व्यक्तिगत डेटा के अनिवार्य गुमनामीकरण के अधीन है।

5.1.6.6. अन्य मामलों में कानून द्वारा प्रदान किया गया।

5.1.7. संगठन को ग्राहक की जाति, राष्ट्रीयता, राजनीतिक विचारों, धार्मिक या दार्शनिक मान्यताओं, स्वास्थ्य की स्थिति, अंतरंग जीवन के बारे में व्यक्तिगत डेटा प्राप्त करने और संसाधित करने का अधिकार नहीं है।

5.2. व्यक्तिगत डेटा संसाधित करने की प्रक्रिया:

5.2.1. व्यक्तिगत डेटा का विषय संगठन को अपने बारे में विश्वसनीय जानकारी प्रदान करता है।

5.2.2. केवल संगठन के कर्मचारी जो ग्राहक के व्यक्तिगत डेटा के साथ काम करने के लिए अधिकृत हैं और जिन्होंने ग्राहक के व्यक्तिगत डेटा के लिए गैर-प्रकटीकरण समझौते पर हस्ताक्षर किए हैं, उनके पास ग्राहकों के व्यक्तिगत डेटा के प्रसंस्करण तक पहुंच हो सकती है।

5.2.3. निम्नलिखित को संगठन में ग्राहक के व्यक्तिगत डेटा तक पहुँचने का अधिकार है:

 संगठन के महा निदेशक;

 वित्तीय खाते बनाए रखने के लिए जिम्मेदार कर्मचारी (प्रबंधक, लेखाकार)।

 ग्राहक संबंध विभाग के कर्मचारी (बिक्री विभाग के प्रमुख, प्रबंधक)।

 आईटी कर्मचारी (तकनीकी निदेशक, सिस्टम प्रशासक)।

 व्यक्तिगत डेटा के विषय के रूप में ग्राहक।

5.2.3.1. संगठन के कर्मचारियों के नामों की सूची, जिनके पास ग्राहकों के व्यक्तिगत डेटा तक पहुंच है, संगठन के सामान्य निदेशक के आदेश द्वारा निर्धारित की जाती है।

5.2.4. ग्राहक के व्यक्तिगत डेटा का प्रसंस्करण केवल विनियमों द्वारा स्थापित उद्देश्यों और रूसी संघ के कानूनों और अन्य नियामक कानूनी कृत्यों के अनुपालन के लिए किया जा सकता है।

5.2.5. संसाधित व्यक्तिगत डेटा की मात्रा और सामग्री का निर्धारण करते समय, संगठन को रूसी संघ के संविधान, व्यक्तिगत डेटा पर कानून और अन्य संघीय कानूनों द्वारा निर्देशित किया जाएगा।

5.3. व्यक्तिगत जानकारी की सुरक्षा:

5.3.1. ग्राहक के व्यक्तिगत डेटा की सुरक्षा को उपायों (संगठनात्मक, प्रशासनिक, तकनीकी, कानूनी) के एक सेट के रूप में समझा जाता है, जिसका उद्देश्य विषयों के व्यक्तिगत डेटा के अनधिकृत या आकस्मिक पहुंच, विनाश, संशोधन, अवरोधन, प्रतिलिपि, वितरण को रोकना है। अन्य गैरकानूनी कार्यों के रूप में।

5.3.2. ग्राहक के व्यक्तिगत डेटा की सुरक्षा रूसी संघ के संघीय कानून द्वारा स्थापित तरीके से संगठन की कीमत पर की जाती है।

5.3.3. ग्राहकों के व्यक्तिगत डेटा की सुरक्षा करते समय, संगठन सभी आवश्यक संगठनात्मक, प्रशासनिक, कानूनी और तकनीकी उपाय करता है, जिनमें शामिल हैं:

 एंटी-वायरस सुरक्षा.

 सुरक्षा विश्लेषण.

 घुसपैठ का पता लगाना और रोकथाम।

 अभिगम नियंत्रण.

 पंजीकरण और लेखांकन।

 अखंडता सुनिश्चित करना।

 व्यक्तिगत डेटा की सुरक्षा को विनियमित करने वाले मानक और पद्धतिगत स्थानीय कृत्यों का संगठन।

5.3.4. ग्राहकों के व्यक्तिगत डेटा की सुरक्षा का सामान्य संगठन संगठन के महानिदेशक द्वारा किया जाता है।

5.3.5. संगठन के जिन कर्मचारियों को अपने कार्य कर्तव्यों के निष्पादन के संबंध में व्यक्तिगत डेटा की आवश्यकता होती है, उनके पास ग्राहक के व्यक्तिगत डेटा तक पहुंच होती है।

5.3.6. ग्राहकों के व्यक्तिगत डेटा की प्राप्ति, प्रसंस्करण और सुरक्षा से जुड़े सभी कर्मचारियों को ग्राहकों के व्यक्तिगत डेटा के गैर-प्रकटीकरण पर एक समझौते पर हस्ताक्षर करना आवश्यक है।

5.3.7. ग्राहक के व्यक्तिगत डेटा तक पहुंच प्राप्त करने की प्रक्रिया में शामिल हैं:

 कर्मचारी को इन विनियमों के साथ हस्ताक्षर से परिचित कराना। यदि ग्राहक के व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा को नियंत्रित करने वाले अन्य नियम (आदेश, निर्देश, निर्देश इत्यादि) हैं, तो इन कृत्यों को हस्ताक्षर से भी परिचित कराया जाता है।

 किसी कर्मचारी से (सामान्य निदेशक के अपवाद के साथ) ग्राहकों के व्यक्तिगत डेटा की गोपनीयता बनाए रखने और गोपनीय जानकारी की सुरक्षा को नियंत्रित करने वाले संगठन के आंतरिक स्थानीय नियमों के अनुसार उनके प्रसंस्करण के नियमों का अनुपालन करने के लिए लिखित प्रतिबद्धता का अनुरोध करना।

5.3.8. संगठन का एक कर्मचारी जिसके पास कार्य कर्तव्यों के प्रदर्शन के संबंध में ग्राहकों के व्यक्तिगत डेटा तक पहुंच है:

 तीसरे पक्ष द्वारा उन तक पहुंच को छोड़कर, ग्राहक के व्यक्तिगत डेटा वाली जानकारी का भंडारण प्रदान करता है।

 किसी कर्मचारी की अनुपस्थिति में, उसके कार्यस्थल पर ग्राहकों के व्यक्तिगत डेटा वाले कोई दस्तावेज़ नहीं होने चाहिए।

 छुट्टी पर जाते समय, व्यावसायिक यात्रा के दौरान और किसी कर्मचारी की अपने कार्यस्थल से लंबे समय तक अनुपस्थिति के अन्य मामलों में, वह ग्राहकों के व्यक्तिगत डेटा वाले दस्तावेजों और अन्य मीडिया को उस व्यक्ति को स्थानांतरित करने के लिए बाध्य है जिसे सौंपा जाएगा। कंपनी के स्थानीय अधिनियम (आदेश, डिक्री) द्वारा इसका निष्पादन।

 यदि ऐसे व्यक्ति को नियुक्त नहीं किया जाता है, तो ग्राहकों के व्यक्तिगत डेटा वाले दस्तावेज़ और अन्य मीडिया को किसी अन्य कर्मचारी को स्थानांतरित कर दिया जाता है, जिसके पास संगठन के सामान्य निदेशक के निर्देशानुसार ग्राहकों के व्यक्तिगत डेटा तक पहुंच होती है।

 ग्राहकों के व्यक्तिगत डेटा तक पहुंच रखने वाले कर्मचारी को बर्खास्त करने पर, ग्राहकों के व्यक्तिगत डेटा वाले दस्तावेज़ और अन्य मीडिया को सामान्य निदेशक के निर्देश पर किसी अन्य कर्मचारी को स्थानांतरित कर दिया जाता है, जिसके पास ग्राहकों के व्यक्तिगत डेटा तक पहुंच होती है।

 सौंपे गए कार्य को पूरा करने के लिए और सामान्य निदेशक के सकारात्मक संकल्प के साथ एक ज्ञापन के आधार पर, ग्राहक के व्यक्तिगत डेटा तक पहुंच किसी अन्य कर्मचारी को प्रदान की जा सकती है। ग्राहक के व्यक्तिगत डेटा तक संगठन के अन्य कर्मचारियों की पहुंच, जिनके पास उचित रूप से अधिकृत पहुंच नहीं है, निषिद्ध है।

5.3.9. मानव संसाधन प्रबंधक प्रदान करता है:

 हस्ताक्षर के विरुद्ध इन विनियमों से कर्मचारियों को परिचित कराना।

 कर्मचारियों से ग्राहक के व्यक्तिगत डेटा (गैर-प्रकटीकरण अनुबंध) की गोपनीयता बनाए रखने और उनके प्रसंस्करण के नियमों के अनुपालन के लिए लिखित प्रतिबद्धता का अनुरोध करना।

 ग्राहक के व्यक्तिगत डेटा की सुरक्षा के उपायों के साथ कर्मचारियों के अनुपालन पर सामान्य नियंत्रण।

5.3.10. संगठन के इलेक्ट्रॉनिक डेटाबेस में संग्रहीत ग्राहकों के व्यक्तिगत डेटा की अनधिकृत पहुंच, विरूपण और सूचना के विनाश के साथ-साथ अन्य गैरकानूनी कार्यों से सुरक्षा, सिस्टम प्रशासक द्वारा सुनिश्चित की जाती है।

5.4. व्यक्तिगत डेटा का भंडारण:

5.4.1. कागज पर ग्राहकों का व्यक्तिगत डेटा तिजोरियों में संग्रहीत किया जाता है।

5.4.2. ग्राहकों का व्यक्तिगत डेटा संगठन के स्थानीय कंप्यूटर नेटवर्क में इलेक्ट्रॉनिक फ़ोल्डरों और फ़ाइलों में इलेक्ट्रॉनिक रूप से संग्रहीत किया जाता है व्यक्तिगत कम्प्यूटर्सग्राहकों के व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत महानिदेशक और कर्मचारी।

5.4.3. ग्राहकों के व्यक्तिगत डेटा वाले दस्तावेज़ बंद अलमारियों (तिजोरियों) में संग्रहीत किए जाते हैं जो अनधिकृत पहुंच से सुरक्षा प्रदान करते हैं। कार्य दिवस के अंत में, ग्राहकों के व्यक्तिगत डेटा वाले सभी दस्तावेज़ अलमारियाँ (तिजोरियों) में रखे जाते हैं जो अनधिकृत पहुंच से सुरक्षा प्रदान करते हैं।

5.4.4. ग्राहकों के व्यक्तिगत डेटा वाले इलेक्ट्रॉनिक डेटाबेस तक पहुंच की सुरक्षा निम्न द्वारा सुनिश्चित की जाती है:

 लाइसेंस प्राप्त एंटी-वायरस और एंटी-हैकर प्रोग्राम का उपयोग करना जो संगठन के स्थानीय नेटवर्क में अनधिकृत प्रवेश की अनुमति नहीं देता है।

 उपयोग अधिकारों का विभेदन खाता.

 दो-स्तरीय पासवर्ड प्रणाली: स्थानीय कंप्यूटर नेटवर्क स्तर पर और डेटाबेस स्तर पर। पासवर्ड संगठन के सिस्टम प्रशासक द्वारा निर्धारित किए जाते हैं और उन कर्मचारियों को व्यक्तिगत रूप से सूचित किए जाते हैं जिनके पास ग्राहकों के व्यक्तिगत डेटा तक पहुंच होती है।

5.4.4.1. ग्राहकों के व्यक्तिगत डेटा वाले पीसी में अनधिकृत प्रविष्टि को एक पासवर्ड द्वारा अवरुद्ध किया जाता है, जो सिस्टम प्रशासक द्वारा निर्धारित किया जाता है और प्रकटीकरण के अधीन नहीं है।

5.4.4.2. ग्राहकों के व्यक्तिगत डेटा वाले सभी इलेक्ट्रॉनिक फ़ोल्डर और फ़ाइलें एक पासवर्ड द्वारा संरक्षित होती हैं, जिसे पीसी के लिए जिम्मेदार संगठन कर्मचारी द्वारा सेट किया जाता है और सिस्टम प्रशासक को रिपोर्ट किया जाता है।

5.4.4.3. सिस्टम एडमिनिस्ट्रेटर द्वारा हर 3 महीने में कम से कम एक बार पासवर्ड बदले जाते हैं।

5.4.5. ग्राहक के व्यक्तिगत डेटा की प्रतिलिपि बनाने और उसका सार निकालने की अनुमति केवल संगठन के महानिदेशक की लिखित अनुमति के साथ आधिकारिक उद्देश्यों के लिए है।

5.4.6. ग्राहकों के व्यक्तिगत डेटा के बारे में अन्य संगठनों और संस्थानों के लिखित अनुरोधों का जवाब केवल ग्राहक की लिखित सहमति से ही दिया जाता है, जब तक कि कानून द्वारा अन्यथा प्रदान न किया गया हो। प्रतिक्रियाएँ संगठन के लेटरहेड पर लिखित रूप में प्रदान की जाती हैं, और इस हद तक कि ग्राहक के व्यक्तिगत डेटा की अत्यधिक मात्रा का खुलासा न किया जा सके।

6. व्यक्तिगत डेटा को अवरुद्ध करना, प्रतिरूपण करना, नष्ट करना

6.1. व्यक्तिगत डेटा को ब्लॉक और अनब्लॉक करने की प्रक्रिया:

6.1.1. ग्राहकों के व्यक्तिगत डेटा को ब्लॉक करना ग्राहक के लिखित आवेदन के साथ किया जाता है।

6.1.2. व्यक्तिगत डेटा को ब्लॉक करने का तात्पर्य है:

6.1.2.2. किसी भी माध्यम से व्यक्तिगत डेटा के प्रसार पर प्रतिबंध (ई-मेल, सेलुलर, भौतिक मीडिया)।

6.1.2.4. संगठन के आंतरिक दस्तावेज़ प्रवाह से ग्राहक से संबंधित कागज़ी दस्तावेज़ों को हटाना और उनके व्यक्तिगत डेटा को शामिल करना और उनके उपयोग पर प्रतिबंध लगाना।

6.1.3. यदि रूसी संघ के कानून का अनुपालन करना आवश्यक हो तो ग्राहक के व्यक्तिगत डेटा को अवरुद्ध करना अस्थायी रूप से हटाया जा सकता है।

6.1.4. ग्राहक के व्यक्तिगत डेटा को अनब्लॉक करना उसकी लिखित सहमति (यदि सहमति प्राप्त करने की आवश्यकता है) या ग्राहक के आवेदन से किया जाता है।

6.1.5. अपने व्यक्तिगत डेटा के प्रसंस्करण के लिए ग्राहक की बार-बार सहमति (यदि इसे प्राप्त करना आवश्यक है) में उसके व्यक्तिगत डेटा को अनब्लॉक करना शामिल है।

6.2. व्यक्तिगत डेटा के वैयक्तिकरण और विनाश की प्रक्रिया:

6.2.1. ग्राहक के व्यक्तिगत डेटा का प्रतिरूपण ग्राहक के लिखित आवेदन पर होता है, बशर्ते कि सभी संविदात्मक संबंध पूरे हो चुके हों और अंतिम अनुबंध की समाप्ति की तारीख से कम से कम 5 वर्ष बीत चुके हों।

6.2.2. प्रतिरूपण करते समय, सूचना प्रणालियों में व्यक्तिगत डेटा को वर्णों के एक सेट द्वारा प्रतिस्थापित किया जाता है, जिससे यह निर्धारित करना असंभव हो जाता है कि व्यक्तिगत डेटा किसी विशिष्ट ग्राहक का है या नहीं।

6.2.3. जब व्यक्तिगत डेटा का प्रतिरूपण किया जाता है, तो कागज़ी दस्तावेज़ वाहक नष्ट हो जाते हैं।

6.2.4. यदि डेवलपर के क्षेत्र में सूचना प्रणालियों का परीक्षण करना और डेवलपर को हस्तांतरित सूचना प्रणालियों में व्यक्तिगत डेटा का प्रतिरूपण करना आवश्यक है तो संगठन व्यक्तिगत डेटा के संबंध में गोपनीयता सुनिश्चित करने के लिए बाध्य है।

6.2.5. ग्राहक के व्यक्तिगत डेटा को नष्ट करने का तात्पर्य ग्राहक के व्यक्तिगत डेटा तक किसी भी पहुंच को समाप्त करना है।

6.2.6. यदि ग्राहक का व्यक्तिगत डेटा नष्ट हो जाता है, तो संगठन के कर्मचारी सूचना प्रणालियों में विषय के व्यक्तिगत डेटा तक नहीं पहुंच सकते हैं।

6.2.7. जब व्यक्तिगत डेटा नष्ट हो जाता है, तो कागजी दस्तावेज़ वाहक नष्ट हो जाते हैं, और सूचना प्रणालियों में व्यक्तिगत डेटा गुमनाम हो जाता है। व्यक्तिगत डेटा को पुनर्स्थापित नहीं किया जा सकता.

6.2.8. व्यक्तिगत डेटा को नष्ट करने की कार्रवाई अपरिवर्तनीय है।

6.2.9. वह अवधि जिसके बाद ग्राहक के व्यक्तिगत डेटा का विनाश संभव है, इन विनियमों के खंड 7.3 में निर्दिष्ट अवधि के अंत तक निर्धारित किया जाता है।

7. व्यक्तिगत डेटा का स्थानांतरण और भंडारण

7.1. व्यक्तिगत डेटा का स्थानांतरण:

7.1.1. किसी विषय के व्यक्तिगत डेटा के स्थानांतरण का अर्थ संचार चैनलों और मूर्त मीडिया पर सूचना का प्रसार है।

7.1.2. व्यक्तिगत डेटा स्थानांतरित करते समय, संगठन के कर्मचारियों को निम्नलिखित आवश्यकताओं का पालन करना होगा:

7.1.2.1. व्यावसायिक उद्देश्यों के लिए ग्राहक के व्यक्तिगत डेटा का खुलासा न करें।

7.1.2.2. रूसी संघ के संघीय कानून द्वारा स्थापित मामलों को छोड़कर, ग्राहक की लिखित सहमति के बिना किसी तीसरे पक्ष को ग्राहक के व्यक्तिगत डेटा का खुलासा न करें।

7.1.2.3. ग्राहक का व्यक्तिगत डेटा प्राप्त करने वाले व्यक्तियों को चेतावनी दें कि इस डेटा का उपयोग केवल उन उद्देश्यों के लिए किया जा सकता है जिनके लिए उन्हें संचारित किया गया था, और इन व्यक्तियों से पुष्टि की आवश्यकता है कि इस नियम का अनुपालन किया गया है;

7.1.2.4. केवल विशेष रूप से अधिकृत व्यक्तियों को ही ग्राहकों के व्यक्तिगत डेटा तक पहुंच की अनुमति दें, और इन व्यक्तियों को केवल उन ग्राहकों के व्यक्तिगत डेटा प्राप्त करने का अधिकार होना चाहिए जो विशिष्ट कार्य करने के लिए आवश्यक हैं।

7.1.2.5. इन विनियमों, नियामक और तकनीकी दस्तावेज़ीकरण और नौकरी विवरण के अनुसार ग्राहक के व्यक्तिगत डेटा को संगठन के भीतर स्थानांतरित करें।

7.1.2.6. संपर्क करते समय या ग्राहक का अनुरोध प्राप्त होने पर ग्राहक को उसके व्यक्तिगत डेटा तक पहुंच प्रदान करें। संगठन ग्राहक को उसके बारे में व्यक्तिगत डेटा की उपलब्धता के बारे में सूचित करने के साथ-साथ आवेदन की तारीख से दस कार्य दिवसों के भीतर इससे परिचित होने का अवसर प्रदान करने के लिए बाध्य है।

7.1.2.7. ग्राहक के व्यक्तिगत डेटा को कानून और विनियामक और तकनीकी दस्तावेज़ीकरण द्वारा निर्धारित तरीके से ग्राहक के प्रतिनिधियों को हस्तांतरित करें और इस जानकारी को केवल विषय के उन व्यक्तिगत डेटा तक सीमित करें जो उक्त प्रतिनिधियों के लिए अपने कार्य करने के लिए आवश्यक हैं।

7.2. व्यक्तिगत डेटा का भंडारण और उपयोग:

7.2.1. व्यक्तिगत डेटा का भंडारण सूचना प्रणालियों और मूर्त मीडिया में रिकॉर्ड के अस्तित्व को संदर्भित करता है।

7.2.2. ग्राहकों के व्यक्तिगत डेटा को सूचना प्रणालियों के साथ-साथ संगठन में कागज पर संसाधित और संग्रहीत किया जाता है। ग्राहकों का व्यक्तिगत डेटा इलेक्ट्रॉनिक रूप से भी संग्रहीत किया जाता है: संगठन के स्थानीय कंप्यूटर नेटवर्क पर, सामान्य निदेशक और ग्राहकों के व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत कर्मचारियों के पीसी पर इलेक्ट्रॉनिक फ़ोल्डरों और फ़ाइलों में।

7.2.3. ग्राहक के व्यक्तिगत डेटा को प्रसंस्करण के प्रयोजनों के लिए आवश्यकता से अधिक समय तक संग्रहीत नहीं किया जा सकता है, जब तक कि रूसी संघ के संघीय कानूनों द्वारा अन्यथा प्रदान न किया गया हो।

7.3. व्यक्तिगत डेटा संग्रहीत करने की अवधि:

7.3.1. ग्राहकों के व्यक्तिगत डेटा के साथ-साथ उनके निष्कर्ष और निष्पादन से जुड़े दस्तावेजों वाले सिविल अनुबंधों की भंडारण अवधि अनुबंध की समाप्ति की तारीख से 5 वर्ष है।

7.3.2. भंडारण अवधि के दौरान, व्यक्तिगत डेटा को गुमनाम या नष्ट नहीं किया जा सकता है।

7.3.3. भंडारण अवधि की समाप्ति पर, व्यक्तिगत डेटा को सूचना प्रणालियों में गुमनाम किया जा सकता है और रूसी संघ के नियमों और वर्तमान कानून में स्थापित तरीके से कागज पर नष्ट किया जा सकता है। (व्यक्तिगत डेटा के विनाश पर परिशिष्ट अधिनियम)

8. व्यक्तिगत डेटा ऑपरेटर के अधिकार

संगठन का अधिकार है:

8.1. अदालत में अपने हितों की रक्षा करें.

8.2. वर्तमान कानून (कर, कानून प्रवर्तन एजेंसियों, आदि) द्वारा आवश्यक होने पर ग्राहकों का व्यक्तिगत डेटा तीसरे पक्ष को प्रदान करें।

8.3. कानून द्वारा प्रदान किए गए मामलों में व्यक्तिगत डेटा प्रदान करने से इनकार करें।

8.4. रूसी संघ के कानून द्वारा प्रदान किए गए मामलों में, ग्राहक की सहमति के बिना उसके व्यक्तिगत डेटा का उपयोग करें।

9. ग्राहक के अधिकार

ग्राहक का अधिकार है:

9.1. यदि व्यक्तिगत डेटा अधूरा, पुराना, अविश्वसनीय, अवैध रूप से प्राप्त किया गया है या प्रसंस्करण के घोषित उद्देश्य के लिए आवश्यक नहीं है, तो आपके व्यक्तिगत डेटा के स्पष्टीकरण, उनके अवरोधन या विनाश की आवश्यकता है, और आपके अधिकारों की रक्षा के लिए कानून द्वारा प्रदान किए गए उपाय भी करें;

9.2. संगठन में उपलब्ध संसाधित व्यक्तिगत डेटा की सूची और उसकी प्राप्ति के स्रोत की आवश्यकता है।

9.3. व्यक्तिगत डेटा के प्रसंस्करण की शर्तों के बारे में जानकारी प्राप्त करें, जिसमें उनके भंडारण की अवधि भी शामिल है।

9.4. उन सभी व्यक्तियों को अधिसूचना की आवश्यकता है जिन्हें पहले सभी अपवादों, सुधारों या किए गए परिवर्धन के बारे में गलत या अपूर्ण व्यक्तिगत डेटा प्रदान किया गया था।

9.5. व्यक्तिगत डेटा विषयों के अधिकारों की सुरक्षा के लिए अधिकृत निकाय से या अपने व्यक्तिगत डेटा के प्रसंस्करण के दौरान गैरकानूनी कार्यों या निष्क्रियताओं के खिलाफ अदालत में अपील करें।

10. व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा को नियंत्रित करने वाले नियमों के उल्लंघन की जिम्मेदारी

10.1. संगठन के कर्मचारी जो व्यक्तिगत डेटा की प्राप्ति, प्रसंस्करण और सुरक्षा को नियंत्रित करने वाले नियमों का उल्लंघन करने के दोषी हैं, वे रूसी संघ के वर्तमान कानून और संगठन के आंतरिक स्थानीय कृत्यों के अनुसार अनुशासनात्मक, प्रशासनिक, नागरिक या आपराधिक दायित्व वहन करते हैं।

आवश्यक नियमों के कार्यान्वयन पर नियंत्रण। प्रयुक्त साहित्य की सूची:

1. संघीय कानून "बैंकों और बैंकिंग गतिविधियों पर"

2. www.grandars.ru [ इलेक्ट्रॉनिक संसाधन] एक्सेस मोड: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (एक्सेस की तिथि: 05.5.2016)

3. In-bank.ru [इलेक्ट्रॉनिक संसाधन] एक्सेस मोड: http://journal.ib-bank.ru/post/411 (एक्सेस तिथि: 05.5.2016)

खलेस्तोवा डारिया रॉबर्टोव्ना

ईमेल: [ईमेल सुरक्षित]

बैंकिंग क्षेत्र में व्यक्तिगत डेटा संरक्षण की विशेषताएं

टिप्पणी

यह आलेख बैंकिंग उद्योग में ग्राहकों के व्यक्तिगत डेटा की सुरक्षा की विशेषताओं पर चर्चा करता है। कई विनियामक और कानूनी अधिनियम सूचीबद्ध हैं, जिनके आधार पर बैंक में व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा के लिए एक प्रणाली बनाई जानी चाहिए। बैंकिंग संस्थानों में डेटा सुरक्षा के आयोजन के लिए उपायों की एक सूची पर प्रकाश डाला गया है।

कीवर्ड

व्यक्तिगत डेटा, बैंकों में सुरक्षा, सूचना सुरक्षा,

व्यक्तिगत जानकारी की सुरक्षा

सूचना प्रौद्योगिकी के युग में व्यक्तिगत डेटा की सुरक्षा विशेष रूप से प्रासंगिक हो गई है। ऐसे अधिक से अधिक मामले हैं जहां हमलावर संगठनों की सूचना प्रणाली पर हमला करके किसी गोपनीय जानकारी तक पहुंच प्राप्त करते हैं। निस्संदेह, हमले बैंकिंग क्षेत्र को नजरअंदाज नहीं करते हैं। चूंकि बैंकिंग प्रणालियों में बड़ी संख्या में ग्राहकों का व्यक्तिगत डेटा होता है, इसलिए उनकी सुरक्षा पर राज्य और वित्तीय संस्थानों के मालिकों का पूरा ध्यान होना चाहिए।

सबसे पहले, यह समझने लायक है कि यदि कोई व्यक्ति बैंक का ग्राहक बन जाता है तो उसका कौन सा व्यक्तिगत डेटा बैंक को उपलब्ध हो सकता है। तो, यह आवश्यक है: अंतिम नाम, प्रथम नाम और संरक्षक; तिथि और जन्म स्थान; नागरिकता; पंजीकरण का स्थान और वास्तविक निवास; सभी पासपोर्ट डेटा (श्रृंखला, संख्या, कब और किसके द्वारा दस्तावेज़ जारी किया गया था); मोबाइल नंबर और घर का फोन; कार्य का स्थान, धारित पद। ज्यादातर मामलों में, संस्थाएं किसी व्यक्ति से अतिरिक्त जानकारी मांगती हैं, लेकिन इसके बिना भी, व्यक्ति जो डेटा की सूची बैंक को सौंपता है, वह प्रभावशाली होती है। बेशक, ग्राहक को उम्मीद है कि प्रसंस्करण और भंडारण के दौरान उसका व्यक्तिगत डेटा विश्वसनीय रूप से संरक्षित किया जाएगा।

वित्तीय संस्थानों के लिए व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा के लिए एक प्रणाली को कुशलतापूर्वक व्यवस्थित करने में सक्षम होने के लिए, नियामक और कानूनी कृत्यों की एक सूची की रूपरेखा तैयार करना आवश्यक है, जिस पर बैंक को ग्राहकों के व्यक्तिगत डेटा के साथ काम करते समय भरोसा करना चाहिए: का संविधान रूसी संघ देश का सबसे महत्वपूर्ण दस्तावेज़ है; रूसी संघ का श्रम संहिता; रूसी संघ का नागरिक संहिता और आपराधिक संहिता; संघीय कानून संख्या 152 "व्यक्तिगत डेटा पर"; संघीय कानून संख्या 149 “पर

सूचना, सूचना प्रौद्योगिकी और सूचना सुरक्षा"; संघीय कानून संख्या 395-1 "बैंकों और बैंकिंग गतिविधियों पर"। बैंकों में भी, व्यक्तिगत डेटा के प्रसंस्करण और भंडारण के लिए एक प्रणाली बनाते समय, कई स्थानीय दस्तावेज़ बनाए जाते हैं जो डेटा के साथ काम पर अतिरिक्त नियंत्रण प्रदान करते हैं।

जब कोई बैंकिंग संगठन किसी ग्राहक से व्यक्तिगत डेटा प्राप्त करता है, तो वह उसे सौंपी गई जानकारी को अनधिकृत पहुंच (आकस्मिक या जानबूझकर), अवरोधन, संशोधन, विनाश और अन्य अवैध कार्यों से बचाने के लिए सभी संगठनात्मक और तकनीकी उपाय करने का दायित्व लेता है। बैंकों में व्यक्तिगत डेटा के प्रसंस्करण और सुरक्षा के उच्च गुणवत्ता वाले संगठन के लिए कई उपायों पर प्रकाश डालना उचित है: बैंक की सूचना प्रणाली में डेटा के प्रसंस्करण और सुरक्षा सुनिश्चित करने के लिए जिम्मेदार लोगों की नियुक्ति; नियंत्रण उपायों का कार्यान्वयन और कर्मचारियों को प्रासंगिक नियामक ढांचे और आंतरिक दस्तावेजों से परिचित कराना, जिन पर बैंक की डेटा सुरक्षा प्रणाली आधारित है; बैंक में व्यक्तिगत डेटा के प्रसंस्करण के दौरान खतरों की पहचान और उनका मुकाबला करने के उपाय; सुरक्षा प्रणाली को संचालन में लाने से पहले, डेटा सुरक्षा सुनिश्चित करने के लिए लागू संगठनात्मक और तकनीकी उपायों की प्रभावशीलता का आकलन; व्यक्तिगत डेटा के सभी कंप्यूटर भंडारण मीडिया का लेखा-जोखा; कर्मचारियों के लिए प्रसंस्करण और सुरक्षा प्रणाली तक पहुंच के लिए नियम स्थापित करना; यदि संरक्षित डेटा तक अनधिकृत पहुंच का पता चलता है, तो खतरे को खत्म करने और खोए हुए डेटा को पुनर्स्थापित करने के लिए उपाय किए जाते हैं। और ग्राहकों के व्यक्तिगत डेटा को संग्रहीत और संरक्षित करने के लिए मौजूदा प्रणाली वाले बैंकों के लिए एक अनिवार्य उपाय सुरक्षा प्रणाली की निरंतर निगरानी और सुधार करना है।

इस प्रकार, यह ध्यान देने योग्य है कि बैंकों में व्यक्तिगत डेटा का प्रसंस्करण, भंडारण और संरक्षण रूसी संघ के नियामक ढांचे द्वारा परिभाषित शर्तों के आधार पर किया जाना चाहिए। प्रत्येक वित्तीय संस्थान को: अपने ग्राहकों के व्यक्तिगत डेटा की सुरक्षा का आयोजन करते समय वैधता के सिद्धांत का पालन करना चाहिए; संगठनात्मक और तकनीकी डेटा सुरक्षा के लिए उपायों की एक पूरी श्रृंखला लागू करना; सूचना सुरक्षा से संबंधित स्थानीय दस्तावेज़ बनाते समय, इस क्षेत्र में सर्वोत्तम रूसी और अंतर्राष्ट्रीय प्रथाओं पर भरोसा करें; ग्राहक के व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए नियामक प्राधिकरणों (FSTEK, Roskomnadzor, FSB) की सभी आवश्यकताओं का अनुपालन करें।

प्रयुक्त साहित्य की सूची:

1. खलेस्तोवा डी.आर., पोपोव के.जी. "व्यक्तिगत डेटा सुरक्षा के कानूनी पहलुओं के मुद्दे पर"

2. संघीय कानून "बैंकों और बैंकिंग गतिविधियों पर"

3. बैंक ऑफ रशिया [इलेक्ट्रॉनिक संसाधन] एक्सेस मोड: http://www.cbr.ru/ (एक्सेस की तिथि: 05/06/2016)

©खलेस्तोवा डी.आर., पोपोव के.जी., 2016

खलेस्तोवा डारिया रॉबर्टोव्ना

IUPP BashSU, ऊफ़ा, रूसी संघ के द्वितीय वर्ष के छात्र ई-मेल: [ईमेल सुरक्षित]पोपोव किरिल गेनाडिविच पीएच.डी., एसोसिएट प्रोफेसर, सूचना सुरक्षा विभाग, बश्किर स्टेट यूनिवर्सिटी, ऊफ़ा, रूसी संघ

ईमेल: [ईमेल सुरक्षित]

जानकारी प्राप्त करने के सबसे कानूनी तरीके के रूप में बिजनेस इंटेलिजेंस

टिप्पणी

लेख व्यवसाय खुफिया तरीकों पर चर्चा करता है। यह यह भी बताता है कि बिज़नेस इंटेलिजेंस व्यवसाय में एक कानूनी गतिविधि क्यों है। पालन करने के लिए हाइलाइट किए गए बुनियादी सिद्धांत हैं:

1. व्यक्तिगत डेटा सुरक्षा की सैद्धांतिक नींव

1.1 रूसी संघ में व्यक्तिगत डेटा की सुरक्षा के लिए विधायी ढांचा

1.3.1 सामान्य विशेषताएँव्यक्तिगत डेटा सूचना प्रणाली में अनधिकृत पहुंच के खतरों के स्रोत।

1.3.2 व्यक्तिगत डेटा सूचना प्रणाली के ऑपरेटिंग वातावरण तक सीधी पहुंच के खतरों की सामान्य विशेषताएं

1.3.3 इंटरनेटवर्किंग प्रोटोकॉल का उपयोग करके कार्यान्वित व्यक्तिगत डेटा की सुरक्षा के लिए खतरों की सामान्य विशेषताएं

1.4 बैंक की विशेषताएँ और उसकी गतिविधियाँ

1.5 व्यक्तिगत डेटा डेटाबेस

1.5.1 संगठन के कर्मचारियों के व्यक्तिगत डेटा की सूचना प्रणाली

1.5.2 अभिगम नियंत्रण और प्रबंधन प्रणाली की व्यक्तिगत डेटा सूचना प्रणाली

1.5.3 स्वचालित बैंकिंग प्रणाली की व्यक्तिगत डेटा सूचना प्रणाली

1.6 डिवाइस और स्थानीय खतरे संगणक संजालजार

1.7 सूचना सुरक्षा उपाय

2.2 सॉफ्टवेयर और हार्डवेयर सुरक्षा

2.3 बुनियादी सुरक्षा नीति

2.3.1 सूचना सुरक्षा मुद्दों के बारे में कर्मचारियों की जागरूकता बढ़ाने के लिए प्रणाली

2.3.4 कर्मचारियों के लिए ईमेल का उपयोग करने की प्रक्रिया

2.3.5 बैंक की पासवर्ड नीति

3. परियोजना का आर्थिक औचित्य

निष्कर्ष

अनुप्रयोग।

परिचय

व्यापक कम्प्यूटरीकरण, जो 20वीं सदी के अंत में शुरू हुआ, आज भी जारी है। उद्यमों में प्रक्रियाओं के स्वचालन से श्रमिक उत्पादकता बढ़ती है। सूचना प्रणाली के उपयोगकर्ता अपने कार्य कर्तव्यों को पूरा करने के लिए आवश्यक डेटा तुरंत प्राप्त कर सकते हैं। वहीं, डेटा तक पहुंच आसान बनाने के साथ-साथ इस डेटा की सुरक्षा को लेकर भी दिक्कतें आ रही हैं। विभिन्न सूचना प्रणालियों तक पहुंच होने के कारण, हमलावर व्यक्तिगत लाभ के लिए उनका उपयोग कर सकते हैं: काले बाजार में बेचने के लिए डेटा एकत्र करना, चोरी करना धनसंगठन के ग्राहकों से, संगठन के व्यापार रहस्यों की चोरी।

इसलिए सुरक्षा की समस्या गंभीर है महत्वपूर्ण सूचनासंगठनों के लिए यह बहुत तीव्र है। वित्तीय संगठनों की सूचना प्रणालियों को हैक करके धन चुराने की विभिन्न तकनीकों या तरीकों के बारे में मीडिया में तेजी से जानकारी मिल रही है। व्यक्तिगत डेटा सूचना प्रणालियों तक पहुंच प्राप्त करने के बाद, एक हमलावर वित्तीय संगठनों के ग्राहकों से डेटा चुरा सकता है और उनके वित्तीय लेनदेन के बारे में जानकारी वितरित कर सकता है, जिससे बैंक ग्राहक को वित्तीय और प्रतिष्ठा दोनों नुकसान हो सकता है। इसके अलावा, ग्राहक के बारे में जानकारी प्राप्त करने के बाद, जालसाज ग्राहक को बैंक कर्मचारी बनकर सीधे कॉल कर सकते हैं और धोखे से, सोशल इंजीनियरिंग तकनीकों का उपयोग करके, दूरस्थ बैंकिंग प्रणालियों के लिए पासवर्ड ढूंढ सकते हैं और ग्राहक के खाते से पैसे निकाल सकते हैं।

हमारे देश में व्यक्तिगत डेटा की चोरी और अवैध वितरण की समस्या बहुत गंभीर है। इंटरनेट पर बड़ी संख्या में ऐसे संसाधन हैं जिनमें चुराए गए व्यक्तिगत डेटा डेटाबेस शामिल हैं, जिनकी मदद से, उदाहरण के लिए, संख्या के आधार पर चल दूरभाष, आप किसी व्यक्ति के बारे में बहुत विस्तृत जानकारी पा सकते हैं, जिसमें उसका पासपोर्ट विवरण, आवासीय पता, तस्वीरें और बहुत कुछ शामिल है।

इस थीसिस प्रोजेक्ट में, मैं पीजेएससी सिटीबैंक में एक व्यक्तिगत डेटा सुरक्षा प्रणाली बनाने की प्रक्रिया का पता लगाता हूं।

1. व्यक्तिगत डेटा सुरक्षा की मूल बातें

1.1 व्यक्तिगत डेटा की सुरक्षा के लिए विधायी ढांचा

आज रूस में व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के क्षेत्र में राज्य विनियमन है। रूसी संघ में व्यक्तिगत डेटा संरक्षण प्रणाली को विनियमित करने वाले मुख्य कानूनी कार्य रूसी संघ का संविधान और संघीय कानून "व्यक्तिगत डेटा पर" दिनांक 27 जुलाई, 2006 नंबर 152-एफजेड हैं। ये दो मुख्य कानूनी अधिनियम रूसी संघ में व्यक्तिगत डेटा के बारे में मुख्य सिद्धांत स्थापित करते हैं:

प्रत्येक नागरिक को गोपनीयता, व्यक्तिगत और पारिवारिक रहस्य, अपने सम्मान और अच्छे नाम की सुरक्षा का अधिकार है;

प्रत्येक व्यक्ति को पत्राचार, टेलीफोन वार्तालाप, डाक, टेलीग्राफ और अन्य संदेशों की गोपनीयता का अधिकार है। इस अधिकार पर प्रतिबंध की अनुमति केवल अदालत के फैसले के आधार पर ही दी जाती है;

किसी व्यक्ति की सहमति के बिना उसके निजी जीवन के बारे में जानकारी का संग्रह, भंडारण, उपयोग और प्रसार की अनुमति नहीं है;

व्यक्तिगत डेटा का प्रसंस्करण वैध और निष्पक्ष आधार पर किया जाना चाहिए;

व्यक्तिगत डेटा का प्रसंस्करण विशिष्ट, पूर्व-निर्धारित और वैध उद्देश्यों की प्राप्ति तक सीमित होना चाहिए। व्यक्तिगत डेटा के प्रसंस्करण की अनुमति नहीं है जो व्यक्तिगत डेटा एकत्र करने के उद्देश्यों से असंगत है।

व्यक्तिगत डेटा वाले डेटाबेस को संयोजित करने की अनुमति नहीं है, जिसका प्रसंस्करण उन उद्देश्यों के लिए किया जाता है जो एक दूसरे के साथ असंगत हैं।

केवल व्यक्तिगत डेटा जो उनके प्रसंस्करण के उद्देश्यों को पूरा करता है, प्रसंस्करण के अधीन है।

व्यक्तिगत डेटा को संसाधित करते समय, व्यक्तिगत डेटा की सटीकता, उनकी पर्याप्तता और, जहां आवश्यक हो, व्यक्तिगत डेटा को संसाधित करने के उद्देश्यों के संबंध में प्रासंगिकता सुनिश्चित की जानी चाहिए। ऑपरेटर को अधूरे या गलत डेटा को हटाने या स्पष्ट करने के लिए आवश्यक उपाय करने चाहिए या यह सुनिश्चित करना चाहिए।

व्यक्तिगत डेटा का भंडारण ऐसे रूप में किया जाना चाहिए जिससे व्यक्तिगत डेटा के विषय की पहचान करना संभव हो, व्यक्तिगत डेटा को संसाधित करने के प्रयोजनों के लिए आवश्यक से अधिक नहीं, जब तक कि व्यक्तिगत डेटा संग्रहीत करने की अवधि संघीय कानून द्वारा स्थापित न हो, और वह समझौता जिसमें व्यक्तिगत डेटा का विषय एक पक्ष, लाभार्थी या गारंटर है। संसाधित व्यक्तिगत डेटा प्रसंस्करण लक्ष्यों की उपलब्धि पर या इन लक्ष्यों को प्राप्त करने की आवश्यकता के नुकसान की स्थिति में विनाश या प्रतिरूपण के अधीन है, जब तक कि अन्यथा संघीय कानून द्वारा प्रदान नहीं किया जाता है।

रूसी संघ के बैंकिंग क्षेत्र के संगठनों में व्यक्तिगत डेटा संरक्षण के क्षेत्र में कानूनी प्रभाव डालने वाले अन्य नियम हैं:

रूसी संघ का संघीय कानून दिनांक 27 जुलाई 2006 संख्या 149 एफजेड "सूचना, सूचना प्रौद्योगिकी और सूचना सुरक्षा पर";

रूसी संघ का श्रम संहिता (अध्याय 14);

रूसी संघ की सरकार का 1 नवंबर, 2012 नंबर 1119 का फरमान "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर";

रूस के FSTEC का आदेश दिनांक 18 फरवरी, 2013 नंबर 21 "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री के अनुमोदन पर।"

आइए कानून में प्रयुक्त मुख्य परिभाषाओं पर विचार करें।

व्यक्तिगत डेटा - प्रत्यक्ष या अप्रत्यक्ष रूप से पहचाने गए या पहचाने जाने योग्य व्यक्ति (व्यक्तिगत डेटा का विषय) से संबंधित कोई भी जानकारी।

व्यक्तिगत डेटा ऑपरेटर - एक राज्य निकाय, नगर निकाय, कानूनी इकाई या व्यक्ति, स्वतंत्र रूप से या संयुक्त रूप से अन्य व्यक्तियों के साथ व्यक्तिगत डेटा का आयोजन और (या) प्रसंस्करण करता है, साथ ही व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों, व्यक्तिगत की संरचना का निर्धारण करता है। संसाधित किया जाने वाला डेटा, व्यक्तिगत डेटा के साथ किए गए कार्य (संचालन);

व्यक्तिगत डेटा का प्रसंस्करण - कोई भी कार्रवाई (संचालन) या कार्यों का सेट (संचालन) स्वचालन उपकरण का उपयोग करके या ऐसे साधनों के उपयोग के बिना व्यक्तिगत डेटा के साथ किया जाता है, जिसमें संग्रह, रिकॉर्डिंग, व्यवस्थितकरण, संचय, भंडारण, स्पष्टीकरण (अद्यतन करना, बदलना) शामिल है। व्यक्तिगत डेटा का निष्कर्षण, उपयोग, स्थानांतरण (वितरण, प्रावधान, पहुंच), प्रतिरूपण, अवरोधन, विलोपन, विनाश;

व्यक्तिगत डेटा का स्वचालित प्रसंस्करण - उपकरणों का उपयोग करके व्यक्तिगत डेटा का प्रसंस्करण कंप्यूटर प्रौद्योगिकी;

व्यक्तिगत डेटा का प्रसार - व्यक्तिगत डेटा को अनिश्चित संख्या में व्यक्तियों के समक्ष प्रकट करने के उद्देश्य से की जाने वाली कार्रवाइयाँ;

व्यक्तिगत डेटा प्रदान करना - किसी निश्चित व्यक्ति या व्यक्तियों के एक निश्चित समूह को व्यक्तिगत डेटा का खुलासा करने के उद्देश्य से की जाने वाली कार्रवाइयाँ;

व्यक्तिगत डेटा को अवरुद्ध करना - व्यक्तिगत डेटा के प्रसंस्करण की अस्थायी समाप्ति (ऐसे मामलों को छोड़कर जहां व्यक्तिगत डेटा को स्पष्ट करने के लिए प्रसंस्करण आवश्यक है);

व्यक्तिगत डेटा का विनाश - कार्य जिसके परिणामस्वरूप व्यक्तिगत डेटा सूचना प्रणाली में व्यक्तिगत डेटा की सामग्री को पुनर्स्थापित करना असंभव हो जाता है और (या) जिसके परिणामस्वरूप व्यक्तिगत डेटा का भौतिक मीडिया नष्ट हो जाता है;

व्यक्तिगत डेटा का प्रतिरूपण - ऐसी क्रियाएं जिसके परिणामस्वरूप अतिरिक्त जानकारी के उपयोग के बिना व्यक्तिगत डेटा के किसी विशिष्ट विषय के लिए व्यक्तिगत डेटा के स्वामित्व को निर्धारित करना असंभव हो जाता है;

व्यक्तिगत डेटा की सूचना प्रणाली - डेटाबेस और सूचना प्रौद्योगिकियों में निहित व्यक्तिगत डेटा का एक सेट जो उनके प्रसंस्करण को सुनिश्चित करता है और तकनीकी साधन;

व्यक्तिगत डेटा का सीमा-पार स्थानांतरण किसी विदेशी राज्य के क्षेत्र में किसी विदेशी राज्य के प्राधिकारी, विदेशी व्यक्ति या विदेशी कानूनी इकाई को व्यक्तिगत डेटा का स्थानांतरण है।

बायोमेट्रिक व्यक्तिगत डेटा - वह जानकारी जो किसी व्यक्ति की शारीरिक और जैविक विशेषताओं को दर्शाती है, जिसके आधार पर कोई अपनी पहचान (बायोमेट्रिक व्यक्तिगत डेटा) स्थापित कर सकता है और जिसका उपयोग ऑपरेटर द्वारा व्यक्तिगत डेटा के विषय की पहचान स्थापित करने के लिए किया जाता है।

व्यक्तिगत डेटा की सुरक्षा व्यक्तिगत डेटा की सुरक्षा की स्थिति है, जो व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित होने पर व्यक्तिगत डेटा की गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करने के लिए उपयोगकर्ताओं, तकनीकी साधनों और सूचना प्रौद्योगिकियों की क्षमता की विशेषता है।

1.2 व्यक्तिगत डेटा की सूचना सुरक्षा के लिए खतरों का वर्गीकरण।

सूचना सुरक्षा खतरे को सूचना सुरक्षा संपत्तियों के उल्लंघन के खतरे के रूप में समझा जाता है - किसी संगठन की सूचना संपत्तियों की उपलब्धता, अखंडता या गोपनीयता।

खतरों की सूची, उनके कार्यान्वयन की संभावना का आकलन, साथ ही घुसपैठिए का मॉडल खतरे के कार्यान्वयन के जोखिम का विश्लेषण करने और स्वचालित प्रणाली की सुरक्षा प्रणाली के लिए आवश्यकताओं को तैयार करने के आधार के रूप में कार्य करता है। संभावित खतरों की पहचान करने के अलावा, कई विशेषताओं के अनुसार उनके वर्गीकरण के आधार पर पहचाने गए खतरों का विश्लेषण करना आवश्यक है। प्रत्येक वर्गीकरण विशेषता से संबंधित खतरे हमें इस विशेषता द्वारा प्रतिबिंबित आवश्यकता का विवरण देने की अनुमति देते हैं।

चूंकि आधुनिक स्वचालित प्रणालियों में संग्रहीत और संसाधित की गई जानकारी बहुत बड़ी संख्या में कारकों के संपर्क में आती है, इसलिए खतरों के पूरे सेट का वर्णन करने के कार्य को औपचारिक बनाना असंभव हो जाता है। इसलिए, संरक्षित प्रणाली के लिए, आमतौर पर खतरों की सूची निर्धारित नहीं की जाती है, बल्कि खतरे के वर्गों की एक सूची निर्धारित की जाती है।

एनपीपी सूचना सुरक्षा के लिए संभावित खतरों का वर्गीकरण निम्नलिखित बुनियादी मानदंडों के अनुसार किया जा सकता है:

घटना की प्रकृति से:

वस्तुनिष्ठ भौतिक प्रक्रियाओं या प्राकृतिक घटनाओं के एनपीपी पर प्रभाव के कारण होने वाले प्राकृतिक खतरे;

मानव गतिविधि के कारण एनपीपी सुरक्षा के लिए कृत्रिम खतरे।

अभिव्यक्ति की मंशा की डिग्री के अनुसार:

कर्मियों की त्रुटियों या लापरवाही के कारण होने वाले खतरे, उदाहरण के लिए, सुरक्षात्मक उपकरणों का गलत उपयोग, डेटा के साथ काम करते समय लापरवाही;

जानबूझकर की गई कार्रवाई की धमकियां, उदाहरण के लिए, हमलावरों द्वारा एक स्वचालित प्रणाली की हैकिंग, नियोक्ता से बदला लेने के उद्देश्य से किसी संगठन के कर्मचारियों द्वारा डेटा को नष्ट करना।

धमकियों के प्रत्यक्ष स्रोत द्वारा:

प्राकृतिक खतरे, जैसे प्राकृतिक आपदाएँ, मानव निर्मित आपदाएँ;

मानवीय खतरे, उदाहरण के लिए: सूचना का विनाश, गोपनीय डेटा का खुलासा;

अनुमत हार्डवेयर और सॉफ़्टवेयर, जैसे भौतिक हार्डवेयर विफलता, सॉफ़्टवेयर त्रुटियाँ, सॉफ़्टवेयर विरोध;

अनधिकृत सॉफ़्टवेयर और हार्डवेयर, उदाहरण के लिए, हार्डवेयर बुकमार्क, सॉफ़्टवेयर बुकमार्क का परिचय।

खतरे के स्रोत की स्थिति के अनुसार:

नियंत्रित क्षेत्र के बाहर, उदाहरण के लिए, संचार चैनलों के माध्यम से प्रसारित डेटा का अवरोधन;

नियंत्रित क्षेत्र के भीतर, उदाहरण के लिए, सूचना की अनधिकृत प्रतिलिपि, संरक्षित क्षेत्र में अनधिकृत पहुंच;

सीधे स्वचालित प्रणाली में, उदाहरण के लिए, एएस संसाधनों का गलत उपयोग।

एएस गतिविधि पर निर्भरता की डिग्री के अनुसार:

एएस की गतिविधि के बावजूद, उदाहरण के लिए, भंडारण मीडिया की भौतिक चोरी;

केवल डेटा प्रोसेसिंग के दौरान, जैसे मैलवेयर संक्रमण।

वक्ताओं पर प्रभाव की डिग्री के अनुसार:

निष्क्रिय खतरे, जो लागू होने पर, एएस की संरचना और सामग्री में कुछ भी नहीं बदलते हैं, उदाहरण के लिए, गुप्त डेटा की प्रतिलिपि बनाने का खतरा;

सक्रिय खतरे, जो उजागर होने पर, एएस की संरचना और सामग्री में परिवर्तन करते हैं, उदाहरण के लिए, डेटा हटाना या उन्हें संशोधित करना।

संसाधनों तक उपयोगकर्ता या प्रोग्राम की पहुंच के चरणों के अनुसार:

खतरे जो एएस संसाधनों तक पहुंच के चरण में दिखाई देते हैं, उदाहरण के लिए: एएस तक अनधिकृत पहुंच के खतरे;

एएस संसाधनों तक पहुंचने की अनुमति के बाद दिखाई देने वाले खतरे, उदाहरण के लिए, एएस संसाधनों का गलत उपयोग।

AS संसाधनों तक पहुँचने की विधि द्वारा:

एएस संसाधनों तक मानक पहुंच पथ का उपयोग करके धमकी दी गई

एएस संसाधनों तक पहुंचने के लिए एक छिपे हुए गैर-मानक पथ का उपयोग करके किए गए खतरे, उदाहरण के लिए: स्थापित सॉफ़्टवेयर की अनियंत्रित क्षमताओं का उपयोग करके एएस संसाधनों तक अनधिकृत पहुंच।

एएस में संग्रहीत और संसाधित जानकारी के वर्तमान स्थान के अनुसार:

बाहरी भंडारण उपकरणों पर स्थित जानकारी तक पहुंचने की धमकी, उदाहरण के लिए: भंडारण मीडिया से गोपनीय जानकारी की प्रतिलिपि बनाना;

में स्थित जानकारी तक पहुँचने की धमकियाँ रैंडम एक्सेस मेमोरी, उदाहरण के लिए: रैम से अवशिष्ट जानकारी पढ़ना, एप्लिकेशन प्रोग्राम से रैम के सिस्टम क्षेत्र तक पहुंच;

संचार लाइनों में प्रसारित सूचना तक पहुंच के खतरे, उदाहरण के लिए: जानकारी हटाने, संशोधित डेटा भेजने के उद्देश्य से संचार लाइनों से अवैध कनेक्शन;

स्वचालित प्रणाली पर खतरनाक प्रभावों को आकस्मिक और जानबूझकर में विभाजित किया गया है।

एनपीपी संचालन के दौरान आकस्मिक प्रभावों के कारण हो सकते हैं:

प्राकृतिक आपदाओं और बिजली कटौती के कारण आपातकालीन स्थितियाँ;

सेवा विफलताएँ;

सॉफ़्टवेयर त्रुटियाँ;

रखरखाव कर्मियों और उपयोगकर्ताओं के काम में त्रुटियाँ;

पर्यावरणीय प्रभावों के कारण संचार लाइनों में व्यवधान।

सॉफ़्टवेयर त्रुटियों का उपयोग सूचना प्रणालियों की सूचना सुरक्षा का उल्लंघन करने का सबसे आम तरीका है। सॉफ़्टवेयर की जटिलता के आधार पर त्रुटियों की संख्या बढ़ जाती है। हमलावर इन कमजोरियों का पता लगा सकते हैं और उनके माध्यम से किसी संगठन की सूचना प्रणाली तक पहुंच प्राप्त कर सकते हैं। इन खतरों को कम करने के लिए सॉफ़्टवेयर संस्करणों को लगातार अद्यतन रखना आवश्यक है।

जानबूझकर दी गई धमकियों में हमलावरों द्वारा लक्षित कार्रवाई शामिल होती है। हमलावरों को दो प्रकारों में विभाजित किया गया है: आंतरिक हमलावर और बाहरी हमलावर। एक आंतरिक हमलावर स्वचालित प्रणाली के नियंत्रित क्षेत्र के भीतर रहते हुए अवैध कार्य करता है और स्वचालित प्रणाली तक अधिकृत पहुंच के लिए आधिकारिक प्राधिकरण का उपयोग कर सकता है। एक बाहरी हमलावर के पास नियंत्रित क्षेत्र तक पहुंच नहीं है, लेकिन वह अपने लक्ष्यों को प्राप्त करने के लिए आंतरिक हमलावर के साथ एक साथ कार्य कर सकता है।

सूचना सुरक्षा के लिए तीन मुख्य खतरे हैं जिनका उद्देश्य सीधे संरक्षित जानकारी है:

गोपनीयता का उल्लंघन - गोपनीय जानकारी बदली नहीं जाती है, लेकिन तीसरे पक्षों के लिए उपलब्ध हो जाती है जो इस जानकारी तक पहुंच के लिए अधिकृत नहीं हैं। यदि यह धमकी लागू की जाती है, तो इस बात की बहुत अधिक संभावना है कि हमलावर चोरी की गई जानकारी का खुलासा करेगा, जिसके परिणामस्वरूप वित्तीय या प्रतिष्ठा को नुकसान हो सकता है। संरक्षित जानकारी की अखंडता का उल्लंघन - जानकारी का विरूपण, संशोधन या विनाश। जानकारी की अखंडता का उल्लंघन जानबूझकर नहीं किया जा सकता है, बल्कि किसी उद्यम कर्मचारी की अक्षमता या लापरवाही के परिणामस्वरूप किया जा सकता है। किसी हमलावर द्वारा अपने लक्ष्यों को प्राप्त करने के लिए भी ईमानदारी का उल्लंघन किया जा सकता है। उदाहरण के लिए, किसी हमलावर के खाते में धनराशि स्थानांतरित करने के लिए स्वचालित बैंकिंग प्रणाली में खाता विवरण बदलना या संगठन के साथ ग्राहक के सहयोग के बारे में जानकारी प्राप्त करने के लिए किसी संगठन के ग्राहक के व्यक्तिगत डेटा को बदलना।

संरक्षित जानकारी की उपलब्धता का उल्लंघन या सेवा से इनकार - ऐसे कार्य जिनमें एक अधिकृत उपयोगकर्ता हार्डवेयर, सॉफ़्टवेयर की विफलता, स्थानीय कंप्यूटर नेटवर्क की विफलता जैसे कारणों से संरक्षित जानकारी तक नहीं पहुंच सकता है।

स्वचालित प्रणालियों के खतरों पर विचार करने के बाद, आप व्यक्तिगत डेटा सूचना प्रणाली के खतरों का विश्लेषण करने के लिए आगे बढ़ सकते हैं।

व्यक्तिगत डेटा सूचना प्रणाली डेटाबेस और सूचना प्रौद्योगिकियों और तकनीकी साधनों में निहित व्यक्तिगत डेटा का एक सेट है जो उनके प्रसंस्करण को सुनिश्चित करता है।

व्यक्तिगत डेटा सूचना प्रणाली सूचना, सॉफ़्टवेयर और हार्डवेयर तत्वों के साथ-साथ व्यक्तिगत डेटा के प्रसंस्करण में उपयोग की जाने वाली सूचना प्रौद्योगिकियों का एक समूह है।

आईएसपीडी के मुख्य तत्व हैं:

डेटाबेस में निहित व्यक्तिगत डेटा;

व्यक्तिगत डेटा के प्रसंस्करण में प्रयुक्त सूचना प्रौद्योगिकी;

तकनीकी का मतलब है कि व्यक्तिगत डेटा को संसाधित करना (कंप्यूटर उपकरण, सूचना और कंप्यूटिंग परिसरों और नेटवर्क, व्यक्तिगत डेटा को प्रसारित करने, प्राप्त करने और संसाधित करने के साधन और सिस्टम, ध्वनि रिकॉर्डिंग, ध्वनि प्रवर्धन, ध्वनि प्रजनन, उत्पादन के साधन, दस्तावेजों की प्रतिकृति और अन्य के लिए साधन और सिस्टम) भाषण, ग्राफिक, वीडियो और अल्फ़ान्यूमेरिक जानकारी के प्रसंस्करण के तकनीकी साधन);

सॉफ़्टवेयर(ऑपरेटिंग सिस्टम, डेटाबेस प्रबंधन सिस्टम, आदि);

आईएसपीडी सूचना सुरक्षा उपकरण;

सहायक तकनीकी साधन और प्रणालियाँ - तकनीकी साधन और प्रणालियाँ, उनके संचार, व्यक्तिगत डेटा को संसाधित करने के लिए नहीं, बल्कि उस परिसर में स्थित हैं जिसमें आईएसपीडी स्थित है।

व्यक्तिगत डेटा की सुरक्षा के लिए खतरे - स्थितियों और कारकों का एक समूह जो व्यक्तिगत डेटा तक अनधिकृत, आकस्मिक सहित पहुंच का खतरा पैदा करता है, जिसके परिणामस्वरूप व्यक्तिगत डेटा का विनाश, संशोधन, अवरोधन, प्रतिलिपि, वितरण, साथ ही अन्य परिणाम हो सकते हैं। सूचना व्यक्तिगत डेटा प्रणाली में उनके प्रसंस्करण के दौरान अनधिकृत कार्रवाइयां।

व्यक्तिगत डेटा सूचना प्रणाली की विशेषताएं जो यूबीपीडीएन के उद्भव को निर्धारित करती हैं, उनमें व्यक्तिगत डेटा सूचना प्रणाली में संसाधित व्यक्तिगत डेटा की श्रेणी और मात्रा, व्यक्तिगत डेटा सूचना प्रणाली की संरचना, सार्वजनिक संचार नेटवर्क के लिए आईएसपीडीएन कनेक्शन की उपस्थिति और ( या) अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क, आईएसपीडी में संसाधित व्यक्तिगत डेटा की उपप्रणाली सुरक्षा की विशेषताएं, व्यक्तिगत डेटा प्रसंस्करण के तरीके, आईएसपीडी उपयोगकर्ताओं के पहुंच अधिकारों को सीमित करने के तरीके, आईएसपीडी तकनीकी साधनों की नियुक्ति के लिए स्थान और शर्तें।

संरक्षित जानकारी वाले सूचनात्मक संकेतों के वितरण माध्यम के गुणों को भौतिक वातावरण के प्रकार की विशेषता होती है जिसमें पीडी वितरित किया जाता है और यूबीपीडी को लागू करने की संभावना का आकलन करते समय निर्धारित किया जाता है। यूबीपीडी स्रोतों की क्षमताएं व्यक्तिगत डेटा तक अनधिकृत और (या) आकस्मिक पहुंच के तरीकों के संयोजन से निर्धारित होती हैं, जिसके परिणामस्वरूप गोपनीयता (प्रतिलिपि, अनधिकृत वितरण), अखंडता (विनाश, संशोधन) और उपलब्धता (अवरुद्ध) का उल्लंघन हो सकता है। व्यक्तिगत डेटा का.

व्यक्तिगत डेटा की सुरक्षा के लिए खतरा खतरे के स्रोत और पीडी के वाहक (स्रोत) के बीच यूबीपीडी कार्यान्वयन चैनल के गठन के परिणामस्वरूप महसूस किया जाता है, जो पीडी सुरक्षा के उल्लंघन की स्थिति बनाता है।

यूबीपीडीएन कार्यान्वयन चैनल के मुख्य तत्व (चित्र 1) हैं:

स्रोत यूबीपीडीएन - यूबीपीडीएन बनाने वाला विषय, भौतिक वस्तु या भौतिक घटना;

व्यक्तिगत डेटा या प्रभावों के वितरण के लिए वातावरण, जिसमें एक भौतिक क्षेत्र, सिग्नल, डेटा या प्रोग्राम व्यक्तिगत डेटा के संरक्षित गुणों को फैला और प्रभावित कर सकते हैं;

व्यक्तिगत डेटा वाहक - एक व्यक्ति या भौतिक वस्तु, जिसमें एक भौतिक क्षेत्र भी शामिल है जिसमें व्यक्तिगत डेटा प्रतीकों, छवियों, संकेतों के रूप में परिलक्षित होता है। तकनीकी समाधानऔर प्रक्रियाएं, भौतिक मात्राओं की मात्रात्मक विशेषताएं।

चित्र 1. व्यक्तिगत डेटा की सुरक्षा के लिए खतरों को लागू करने के लिए चैनल का सामान्यीकृत आरेख

पीडी मीडिया में निम्नलिखित रूपों में प्रस्तुत जानकारी शामिल हो सकती है:

ध्वनिक (वाक्) जानकारी सीधे आईएसपीडी उपयोगकर्ता के बोले गए भाषण में निहित होती है जब वह व्यक्तिगत डेटा सूचना प्रणाली में पीडी के ध्वनि इनपुट का कार्य करता है, या आईएसपीडी के ध्वनिक माध्यमों द्वारा पुन: प्रस्तुत किया जाता है (यदि ऐसे कार्य पीडी प्रसंस्करण प्रौद्योगिकी द्वारा प्रदान किए जाते हैं) ), साथ ही विद्युत चुम्बकीय क्षेत्रों और विद्युत संकेतों में निहित है, जो ध्वनिक जानकारी के परिवर्तनों के कारण उत्पन्न होते हैं;

जानकारी देखें (VI), पाठ और छवियों के रूप में प्रस्तुत की गई विभिन्न उपकरणआईएसपीडी में शामिल ग्राफिक, वीडियो और अल्फ़ान्यूमेरिक जानकारी को संसाधित करने के लिए कंप्यूटर उपकरण, सूचना और कंप्यूटिंग सिस्टम, तकनीकी साधनों से जानकारी प्रदर्शित करना;

विद्युत, विद्युत चुम्बकीय, ऑप्टिकल संकेतों के रूप में आईएसपीडी में सूचना संसाधित (परिचालित) होती है;

आईएसपीडी में संसाधित जानकारी बिट्स, बाइट्स, फ़ाइलों और अन्य तार्किक संरचनाओं के रूप में प्रस्तुत की जाती है।

यूबीपीडीएन की एक व्यवस्थित सूची बनाने के लिए जब उन्हें आईएसपीडी में संसाधित किया जाता है और एक विशिष्ट प्रकार के आईएसपीडी के संबंध में उनके आधार पर निजी मॉडल विकसित किए जाते हैं, तो खतरों को निम्नलिखित मानदंडों के अनुसार वर्गीकृत किया जाता है (चित्रा 2):

यूबीपीडी से संरक्षित पीडी युक्त जानकारी के प्रकार के अनुसार;

यूबीपीडीएन के संभावित स्रोतों के प्रकार से;

आईएसपीडी के प्रकार से, जिस पर यूबीपीडी का कार्यान्वयन लक्षित है;

यूबीपीडी के कार्यान्वयन की विधि के अनुसार;

सूचना संपत्ति के प्रकार का उल्लंघन किया जा रहा है (व्यक्तिगत डेटा के साथ किए गए अनधिकृत कार्यों का प्रकार);

प्रयुक्त भेद्यता द्वारा;

प्रभाव की वस्तु से.

यूबीपीडीएन के संभावित स्रोतों के प्रकार के अनुसार, निम्नलिखित को प्रतिष्ठित किया गया है:

खतरा वर्ग:

आईएसपीडी तक पहुंच रखने वाले व्यक्तियों के जानबूझकर या अनजाने कार्यों से जुड़े खतरे, जिनमें व्यक्तिगत डेटा सूचना प्रणाली के उपयोगकर्ता भी शामिल हैं जो सीधे आईएसपीडी (आंतरिक उल्लंघनकर्ता) में खतरों को लागू करते हैं;

बाहरी सार्वजनिक संचार नेटवर्क और (या) अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क (बाहरी घुसपैठिए) से खतरों को लागू करने वाले व्यक्तियों के जानबूझकर या अनजाने कार्यों से जुड़े खतरे, जिनके पास आईएसपीडी तक पहुंच नहीं है।

इसके अलावा, हार्डवेयर और की शुरूआत के परिणामस्वरूप खतरे उत्पन्न हो सकते हैं मैलवेयर.

यूबीपीडी के कार्यान्वयन का उद्देश्य आईएसपीडी के प्रकार के आधार पर, खतरों के निम्नलिखित वर्गों को प्रतिष्ठित किया गया है:

यूबीपीडीएन को एक स्वायत्त स्वचालित वर्कस्टेशन (एडब्ल्यूएस) के आधार पर आईएसपीडीएन में संसाधित किया गया;

यूबीपीडीएन को सार्वजनिक नेटवर्क (अंतरराष्ट्रीय सूचना विनिमय नेटवर्क) से जुड़े एक स्वचालित कार्यस्थल के आधार पर आईएसपीडीएन में संसाधित किया जाता है;

यूबीपीडीएन को सार्वजनिक नेटवर्क (अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क) से जुड़े बिना स्थानीय सूचना प्रणालियों के आधार पर आईएसपीडीएन में संसाधित किया जाता है;

यूबीपीडीएन को सार्वजनिक नेटवर्क (अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क) से जुड़े स्थानीय सूचना प्रणालियों के आधार पर आईएसपीडीएन में संसाधित किया जाता है;

यूबीपीडीएन को सार्वजनिक नेटवर्क (अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क) से कनेक्ट किए बिना वितरित सूचना प्रणाली के आधार पर आईएसपीडीएन में संसाधित किया जाता है;

यूबीपीडीएन को सार्वजनिक नेटवर्क (अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क) के कनेक्शन के साथ वितरित सूचना प्रणालियों के आधार पर आईएसपीडीएन में संसाधित किया जाता है।

यूबीपीडी को लागू करने के तरीकों के आधार पर, खतरों के निम्नलिखित वर्गों को प्रतिष्ठित किया गया है:

व्यक्तिगत डेटा तक अनधिकृत पहुंच से जुड़े खतरे (मैलवेयर पेश करने की धमकियों सहित);

सूचना रिसाव के तकनीकी चैनलों के माध्यम से व्यक्तिगत डेटा रिसाव का खतरा;

आईएसपीडी पर विशेष प्रभाव का खतरा।

व्यक्तिगत डेटा के साथ किए गए अनधिकृत कार्यों के प्रकार के आधार पर, खतरों के निम्नलिखित वर्गों को प्रतिष्ठित किया गया है:

व्यक्तिगत डेटा (प्रतिलिपि या अनधिकृत वितरण) की गोपनीयता के उल्लंघन की धमकी, जिसका कार्यान्वयन सीधे सूचना की सामग्री को प्रभावित नहीं करता है;

सूचना की सामग्री पर आकस्मिक सहित अनधिकृत प्रभाव डालने वाली धमकियाँ, जिसके परिणामस्वरूप पीडी को बदल दिया जाता है या नष्ट कर दिया जाता है;

सूचना प्रणाली के सॉफ्टवेयर या हार्डवेयर और सॉफ्टवेयर तत्वों पर आकस्मिक सहित अनधिकृत प्रभाव डालने वाले खतरे, जिसके परिणामस्वरूप व्यक्तिगत जानकारी अवरुद्ध हो जाती है।

उपयोग की गई भेद्यता के आधार पर, निम्नलिखित खतरे वर्गों को प्रतिष्ठित किया गया है:

सिस्टम सॉफ़्टवेयर कमजोरियों का उपयोग करके लागू किए गए खतरे;

एप्लिकेशन सॉफ़्टवेयर कमजोरियों का उपयोग करके लागू किए गए खतरे;

सिस्टम में हार्डवेयर बग की उपस्थिति के कारण होने वाली भेद्यता के शोषण से उत्पन्न होने वाले खतरे;

नेटवर्क संचार प्रोटोकॉल और डेटा ट्रांसमिशन चैनलों में कमजोरियों का उपयोग करके लागू किए गए खतरे;

गैर-वितरणात्मक जानकारी से तकनीकी जानकारी के संगठन में कमियों के कारण होने वाली कमजोरियों के शोषण से उत्पन्न होने वाले खतरे;

सूचना रिसाव के लिए तकनीकी चैनल बनाने वाली कमजोरियों का उपयोग करके लागू किए गए खतरे;

सूचना सुरक्षा कमजोरियों का उपयोग करके खतरों को लागू किया गया।

प्रभाव की वस्तु के आधार पर खतरों के निम्नलिखित वर्गों को अलग किया जाता है:

स्वचालित कार्यस्थानों पर संसाधित व्यक्तिगत डेटा की सुरक्षा को खतरा;

समर्पित प्रसंस्करण उपकरण (प्रिंटर, प्लॉटर, प्लॉटर, रिमोट मॉनिटर, वीडियो प्रोजेक्टर, ध्वनि प्रजनन सुविधाएं, आदि) में संसाधित व्यक्तिगत डेटा की सुरक्षा के लिए खतरा;

संचार नेटवर्क पर प्रसारित व्यक्तिगत डेटा की सुरक्षा को खतरा;

व्यक्तिगत डेटा संसाधित करने वाले एप्लिकेशन प्रोग्रामों को ख़तरा;

सिस्टम सॉफ़्टवेयर के लिए ख़तरा जो आईएसपीडी की कार्यप्रणाली सुनिश्चित करता है।

सूचीबद्ध वर्गों में से किसी एक यूबीपीडी के कार्यान्वयन या उनके संयोजन से पीडी विषयों के लिए निम्नलिखित प्रकार के परिणाम हो सकते हैं:

व्यक्तिगत डेटा विषयों के लिए महत्वपूर्ण नकारात्मक परिणाम;

व्यक्तिगत डेटा विषयों के लिए नकारात्मक परिणाम;

व्यक्तिगत डेटा विषयों के लिए मामूली नकारात्मक परिणाम।

तकनीकी चैनलों के माध्यम से व्यक्तिगत डेटा रिसाव के खतरों को सूचना के स्रोत, वितरण माध्यम और सूचना संकेत के रिसीवर की विशेषताओं द्वारा स्पष्ट रूप से वर्णित किया गया है, अर्थात, वे व्यक्तिगत डेटा रिसाव के तकनीकी चैनल की विशेषताओं द्वारा निर्धारित होते हैं।

अनधिकृत पहुंच (एएटी) से जुड़े खतरों को एएटी खतरों, सॉफ्टवेयर कमजोरियों और संभावित स्रोतों के सामान्यीकृत वर्गों के एक सेट के रूप में प्रस्तुत किया जाता है। हार्डवेयरआईएसपीडी, खतरों को लागू करने के तरीके, प्रभाव की वस्तुएं (संरक्षित जानकारी का मीडिया, निर्देशिकाएं, निर्देशिकाएं, पीडी या पीडी के साथ फाइलें) और संभावित विनाशकारी क्रियाएं। इस प्रतिनिधित्व को निम्नलिखित औपचारिक संकेतन (चित्र 2) द्वारा वर्णित किया गया है।

1.3 व्यक्तिगत डेटा सूचना प्रणालियों में खतरों के स्रोतों की सामान्य विशेषताएँ

सॉफ्टवेयर और हार्डवेयर के उपयोग के साथ आईएसपीडी में डिजिटल एक्सेस डेटा के खतरों को तब लागू किया जाता है जब अनधिकृत, आकस्मिक सहित, एक्सेस किया जाता है, जिसके परिणामस्वरूप गोपनीयता, अखंडता और व्यक्तिगत डेटा की उपलब्धता का उल्लंघन होता है, और इसमें शामिल हैं:

मानक सॉफ़्टवेयर (ऑपरेटिंग सिस्टम उपकरण या सामान्य एप्लिकेशन प्रोग्राम) का उपयोग करके कंप्यूटर ऑपरेटिंग वातावरण में अनधिकृत पहुंच का खतरा;

सेवा डेटा में जानबूझकर बदलाव, मानक स्थितियों में प्रदान की गई संसाधित जानकारी की संरचना और विशेषताओं पर प्रतिबंधों की अनदेखी, डेटा के विरूपण (संशोधन) आदि के कारण सॉफ़्टवेयर (हार्डवेयर और सॉफ़्टवेयर) के असामान्य ऑपरेटिंग मोड बनाने का खतरा। ;

चित्र 2 व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित यूबीपीडी का वर्गीकरण

दुर्भावनापूर्ण प्रोग्राम (सॉफ़्टवेयर और गणितीय प्रभाव) के परिचय की धमकियाँ।

आईएसपीडी में सूचना प्रबंधन प्रणाली में सूचना के खतरों का वर्णन करने के लिए तत्वों की संरचना चित्र 3 में दिखाई गई है।

इसके अलावा, संयुक्त खतरे भी संभव हैं, जो इन खतरों के संयोजन का प्रतिनिधित्व करते हैं। उदाहरण के लिए, दुर्भावनापूर्ण कार्यक्रमों की शुरूआत के माध्यम से, गैर-पारंपरिक सूचना पहुंच चैनलों के निर्माण सहित कंप्यूटर ऑपरेटिंग वातावरण में अनधिकृत पहुंच के लिए स्थितियां बनाई जा सकती हैं।

मानक सॉफ़्टवेयर का उपयोग करके आईएसपीडी ऑपरेटिंग वातावरण में अनधिकृत पहुंच के खतरों को प्रत्यक्ष और दूरस्थ पहुंच के खतरों में विभाजित किया गया है। कंप्यूटर सॉफ़्टवेयर और हार्डवेयर इनपुट/आउटपुट टूल का उपयोग करके सीधी पहुंच के खतरों को अंजाम दिया जाता है। रिमोट एक्सेस खतरों को नेटवर्क संचार प्रोटोकॉल का उपयोग करके कार्यान्वित किया जाता है।

इस तरह के खतरों को आईएसपीडी के संबंध में एक स्वचालित वर्कस्टेशन के आधार पर महसूस किया जाता है जो सार्वजनिक संचार नेटवर्क में शामिल नहीं है, और सभी आईएसपीडी के संबंध में जो सार्वजनिक संचार नेटवर्क और अंतरराष्ट्रीय सूचना विनिमय नेटवर्क से जुड़े हैं।

चित्र 3 व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित यूबीपीडी का वर्गीकरण

1.3.1 व्यक्तिगत डेटा सूचना प्रणाली में अनधिकृत पहुंच के खतरों के स्रोतों की सामान्य विशेषताएं।

व्यक्तिगत डेटा सूचना प्रणाली में खतरों के स्रोत हो सकते हैं:

घुसपैठिया;

दुर्भावनापूर्ण प्रोग्राम वाहक;

हार्डवेयर बुकमार्क.

हार्डवेयर बुकमार्क के कार्यान्वयन से जुड़े व्यक्तिगत डेटा की सुरक्षा के खतरों का निर्धारण रूसी संघ की संघीय सुरक्षा सेवा के नियामक दस्तावेजों के अनुसार उसके द्वारा स्थापित तरीके से किया जाता है।

आईएसपीडी के नियंत्रित क्षेत्र में स्थायी या एकमुश्त पहुंच के अधिकार के आधार पर, उल्लंघनकर्ताओं को दो प्रकारों में विभाजित किया गया है:

जिन उल्लंघनकर्ताओं के पास आईएसपीडी तक पहुंच नहीं है और वे बाहरी सार्वजनिक संचार नेटवर्क और (या) अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क से खतरों को लागू करते हैं, वे बाहरी उल्लंघनकर्ता हैं;

जिन उल्लंघनकर्ताओं के पास आईएसपीडी तक पहुंच है, उनमें आईएसपीडी उपयोगकर्ता भी शामिल हैं जो सीधे आईएसपीडी में खतरों को लागू करते हैं, आंतरिक उल्लंघनकर्ता हैं।

बाहरी घुसपैठिए हो सकते हैं:

प्रतिस्पर्धी संगठन;

अनुचित साझेदार;

बाहरी संस्थाएँ (व्यक्ति)।

एक बाहरी घुसपैठिए में निम्नलिखित क्षमताएं होती हैं:

परिसर के बाहर संचार चैनलों तक अनधिकृत पहुंच प्रदान करें;

सार्वजनिक संचार नेटवर्क और (या) अंतर्राष्ट्रीय सूचना विनिमय नेटवर्क से जुड़े स्वचालित कार्यस्थानों के माध्यम से अनधिकृत पहुंच करना;

सॉफ़्टवेयर वायरस, मैलवेयर, एल्गोरिथम या सॉफ़्टवेयर बुकमार्क के माध्यम से विशेष सॉफ़्टवेयर प्रभावों का उपयोग करके जानकारी तक अनधिकृत पहुंच प्रदान करना;

व्यक्तिगत डेटा सूचना प्रणाली के सूचना बुनियादी ढांचे के तत्वों के माध्यम से अनधिकृत पहुंच को निष्पादित करें, जो इसकी प्रक्रिया में है जीवन चक्र(उन्नयन, रखरखाव, मरम्मत, निपटान) नियंत्रित क्षेत्र के बाहर समाप्त होता है;

जब वे आईएसपीडी से जुड़े हों तो बातचीत करने वाले विभागों, संगठनों और संस्थानों की सूचना प्रणालियों के माध्यम से अनधिकृत पहुंच को अंजाम देना।

आंतरिक संभावित उल्लंघनकर्ताओं को व्यक्तिगत डेटा तक पहुंच की विधि और पहुंच प्राधिकरण के आधार पर आठ श्रेणियों में विभाजित किया गया है।

पहली श्रेणी में वे लोग शामिल हैं जिनके पास आईएसपीडी तक अधिकृत पहुंच है, लेकिन पीडी तक पहुंच नहीं है। इस प्रकार के उल्लंघनकर्ताओं में वे अधिकारी शामिल हैं जो आईएसपीडी के सामान्य कामकाज को सुनिश्चित करते हैं।

व्यक्तिगत डेटा युक्त और आईएसपीडी के आंतरिक संचार चैनलों के माध्यम से वितरित जानकारी के टुकड़ों तक पहुंच प्राप्त करें;

आईएसपीडी की टोपोलॉजी और उपयोग किए गए संचार प्रोटोकॉल और उनकी सेवाओं के बारे में जानकारी के टुकड़े रखें;

पंजीकृत उपयोगकर्ताओं के नाम रखें और पासवर्ड पहचानें;

आईएसपीडी तकनीकी साधनों का कॉन्फ़िगरेशन बदलें, इसमें हार्डवेयर और सॉफ्टवेयर बुकमार्क जोड़ें और आईएसपीडी तकनीकी साधनों से सीधे कनेक्शन का उपयोग करके सूचना पुनर्प्राप्ति सुनिश्चित करें।

प्रथम श्रेणी के व्यक्तियों की सभी क्षमताएँ हैं;

कम से कम एक कानूनी पहुंच नाम जानता हो;

इसमें सभी आवश्यक विशेषताएं हैं जो व्यक्तिगत डेटा के एक निश्चित उपसमूह तक पहुंच प्रदान करती हैं;

उसके पास गोपनीय डेटा है जिस तक उसकी पहुंच है।

उसकी पहुंच, प्रमाणीकरण और व्यक्तिगत डेटा के एक निश्चित उपसमूह तक पहुंचने के अधिकारों को उचित पहुंच नियंत्रण नियमों द्वारा विनियमित किया जाना चाहिए।

इसमें पहली और दूसरी श्रेणी के व्यक्तियों की सभी क्षमताएँ हैं;

स्थानीय और (या) वितरित सूचना प्रणाली पर आधारित आईएसपीडी की टोपोलॉजी के बारे में जानकारी है जिसके माध्यम से पहुंच प्रदान की जाती है, और आईएसपीडी के तकनीकी साधनों की संरचना के बारे में जानकारी है;

आईएसपीडी तकनीकी साधनों के टुकड़ों तक प्रत्यक्ष (भौतिक) पहुंच की क्षमता है।

आईएसपीडी खंड (खंड) में उपयोग किए जाने वाले सिस्टम और एप्लिकेशन सॉफ़्टवेयर के बारे में पूरी जानकारी है;

आईएसपीडी खंड (खंड) के तकनीकी साधनों और विन्यास के बारे में पूरी जानकारी है;

सूचना सुरक्षा और लॉगिंग टूल के साथ-साथ आईएसपीडी के एक खंड (खंड) में उपयोग किए जाने वाले व्यक्तिगत तत्वों तक पहुंच है;

आईएसपीडी के खंड (खंड) के सभी तकनीकी साधनों तक पहुंच है;

आईएसपीडी के एक खंड (खंड) के तकनीकी साधनों के एक निश्चित उपसमूह को कॉन्फ़िगर और प्रशासनिक रूप से स्थापित करने का अधिकार है।

आईएसपीडी सिस्टम प्रशासक की शक्तियाँ।

पिछली श्रेणियों के व्यक्तियों की सभी क्षमताएँ हैं;

आईएसपीडी के सिस्टम और एप्लिकेशन सॉफ्टवेयर के बारे में पूरी जानकारी है;

आईएसपीडी के तकनीकी साधनों और विन्यास के बारे में पूरी जानकारी है;

सूचना प्रसंस्करण और आईएसपीडी डेटा के सभी तकनीकी साधनों तक पहुंच है;

आईएसपीडी तकनीकी साधनों को कॉन्फ़िगर और प्रशासनिक रूप से स्थापित करने का अधिकार है।

सिस्टम प्रशासक सॉफ्टवेयर और हार्डवेयर को कॉन्फ़िगर और प्रबंधित करता है, जिसमें संरक्षित वस्तु की सुरक्षा के लिए जिम्मेदार उपकरण भी शामिल हैं: उपकरण क्रिप्टोग्राफ़िक सुरक्षासूचना, निगरानी, पंजीकरण, संग्रह, अनधिकृत पहुंच के खिलाफ सुरक्षा।

पिछली श्रेणियों के व्यक्तियों की सभी क्षमताएँ हैं;

आईएसपीडी के बारे में पूरी जानकारी है;

सूचना सुरक्षा और लॉगिंग टूल और आईएसपीडी के कुछ प्रमुख तत्वों तक पहुंच है;

नियंत्रण (निरीक्षण) उपकरणों को छोड़कर, उसके पास नेटवर्क तकनीकी उपकरणों को कॉन्फ़िगर करने का एक्सेस अधिकार नहीं है।

आईएसपीडी पर सूचना प्रसंस्करण के लिए एल्गोरिदम और कार्यक्रमों के बारे में जानकारी है;

इसमें त्रुटियों, अघोषित क्षमताओं, सॉफ़्टवेयर बुकमार्क और मैलवेयर को शामिल करने की क्षमता है सॉफ़्टवेयरआईएसपीडी अपने विकास, कार्यान्वयन और रखरखाव के चरण में;

आईएसपीडी की टोपोलॉजी और आईएसपीडी में संसाधित पीडी के प्रसंस्करण और सुरक्षा के तकनीकी साधनों के बारे में जानकारी हो सकती है।

उनके विकास, कार्यान्वयन और रखरखाव के चरण में आईएसपीडी तकनीकी उपकरणों में बुकमार्क जोड़ने की क्षमता है;

आईएसपीडी की टोपोलॉजी और आईएसपीडी में सूचना के प्रसंस्करण और सुरक्षा के तकनीकी साधनों के बारे में कोई जानकारी हो सकती है।

मैलवेयर वाहक एक कंप्यूटर हार्डवेयर तत्व या एक सॉफ़्टवेयर कंटेनर हो सकता है। यदि दुर्भावनापूर्ण प्रोग्राम किसी एप्लिकेशन प्रोग्राम से संबद्ध नहीं है, तो निम्नलिखित को इसका वाहक माना जाता है:

एलिएनएबल माध्यम, यानी फ़्लॉपी डिस्क, ऑप्टिकल डिस्क, फ्लैश मेमोरी;

अंतर्निर्मित भंडारण मीडिया ( हार्ड डिस्क, रैम चिप्स, प्रोसेसर, माइक्रो सर्किट मदरबोर्ड, निर्मित उपकरणों के माइक्रो सर्किट सिस्टम इकाई, - वीडियो एडाप्टर, नेटवर्क कार्ड, साउंड कार्ड, मॉडेम, मैग्नेटिक हार्ड और मैग्नेटिक इनपुट/आउटपुट डिवाइस ऑप्टिकल डिस्क, बिजली की आपूर्ति, आदि, डायरेक्ट मेमोरी एक्सेस चिप्स, डेटा बसें, इनपुट/आउटपुट पोर्ट);

बाहरी उपकरणों के माइक्रो सर्किट (मॉनीटर, कीबोर्ड, प्रिंटर, मॉडेम, स्कैनर, आदि)।

यदि कोई दुर्भावनापूर्ण प्रोग्राम किसी एप्लिकेशन प्रोग्राम से जुड़ा है, कुछ एक्सटेंशन या अन्य विशेषताओं वाली फ़ाइलों के साथ, नेटवर्क पर प्रसारित संदेशों के साथ, तो इसके वाहक हैं:

कंप्यूटर नेटवर्क पर प्रसारित संदेशों के पैकेट;

फ़ाइलें (पाठ, ग्राफिक, निष्पादन योग्य, आदि)।

कंप्यूटर ऑपरेटिंग वातावरण में अनधिकृत पहुंच और व्यक्तिगत डेटा तक अनधिकृत पहुंच के खतरे निम्न तक पहुंच से जुड़े हैं:

आईएसपीडी के मूल I/O सिस्टम में संग्रहीत जानकारी और कमांड के लिए, ऑपरेटिंग सिस्टम को लोड करने के नियंत्रण को रोकने और एक विश्वसनीय उपयोगकर्ता के अधिकार प्राप्त करने की क्षमता के साथ;

ऑपरेटिंग वातावरण में, अर्थात्, मानक ऑपरेटिंग सिस्टम प्रोग्रामों को कॉल करके या ऐसे कार्यों को लागू करने वाले विशेष रूप से डिज़ाइन किए गए प्रोग्राम लॉन्च करके अनधिकृत पहुंच करने की क्षमता वाले एक अलग आईएसडीएन तकनीकी उपकरण के स्थानीय ऑपरेटिंग सिस्टम के ऑपरेटिंग वातावरण में;

एप्लिकेशन प्रोग्राम के ऑपरेटिंग वातावरण में (उदाहरण के लिए, to स्थानीय प्रणालीडेटाबेस प्रबंधन);

सीधे उपयोगकर्ता की जानकारी (फ़ाइलें, टेक्स्ट, ऑडियो आदि) तक ग्राफिक जानकारी, इलेक्ट्रॉनिक डेटाबेस में फ़ील्ड और रिकॉर्ड) और इसकी गोपनीयता, अखंडता और उपलब्धता के उल्लंघन की संभावना के कारण होते हैं।

इन खतरों को महसूस किया जा सकता है यदि आईएसपीडी तक भौतिक पहुंच प्राप्त की जाती है, या कम से कम आईएसपीडी में जानकारी दर्ज करने के साधनों तक पहुंच प्राप्त की जाती है। इन्हें कार्यान्वयन की शर्तों के अनुसार तीन समूहों में जोड़ा जा सकता है।

पहले समूह में वे खतरे शामिल हैं जो ऑपरेटिंग सिस्टम की लोडिंग के दौरान लागू होते हैं। सूचना सुरक्षा के लिए इन खतरों का उद्देश्य पासवर्ड या पहचानकर्ताओं को रोकना, बुनियादी इनपुट/आउटपुट सिस्टम के सॉफ़्टवेयर को संशोधित करना, आईएसपीडी ऑपरेटिंग वातावरण में डेटा शीट प्राप्त करने के लिए आवश्यक तकनीकी जानकारी को बदलने के साथ लोडिंग नियंत्रण को रोकना है। अक्सर, ऐसे खतरों को अलग-थलग मीडिया का उपयोग करके लागू किया जाता है।

दूसरे समूह में वे खतरे शामिल हैं जो ऑपरेटिंग वातावरण लोड होने के बाद लागू होते हैं, भले ही उपयोगकर्ता द्वारा कौन सा एप्लिकेशन प्रोग्राम लॉन्च किया गया हो। ये धमकियाँ आमतौर पर सूचना तक सीधे अनधिकृत पहुंच के उद्देश्य से होती हैं। ऑपरेटिंग वातावरण तक पहुंच प्राप्त करते समय, घुसपैठिया ऑपरेटिंग सिस्टम या किसी सार्वजनिक एप्लिकेशन प्रोग्राम (उदाहरण के लिए, एक डेटाबेस प्रबंधन प्रणाली) के मानक कार्यों और अनधिकृत पहुंच करने के लिए विशेष रूप से बनाए गए प्रोग्राम दोनों का उपयोग कर सकता है, उदाहरण के लिए:

रजिस्ट्री को देखने और संशोधित करने के लिए कार्यक्रम;

पाठ खोज कार्यक्रम में पाठ फ़ाइलेंद्वारा कीवर्डऔर नकल करना;

डेटाबेस में रिकॉर्ड देखने और कॉपी करने के लिए विशेष कार्यक्रम;

ग्राफिक फ़ाइलों को शीघ्रता से देखने, संपादित करने या उनकी प्रतिलिपि बनाने के लिए कार्यक्रम;

सॉफ़्टवेयर वातावरण को पुन: कॉन्फ़िगर करने की क्षमता का समर्थन करने वाले प्रोग्राम (अपराधी के हित में आईएसपीडी सेटिंग्स)।

अंत में, तीसरे समूह में खतरे शामिल हैं, जिनका कार्यान्वयन उपयोगकर्ता द्वारा कौन सा एप्लिकेशन प्रोग्राम लॉन्च किया गया है, या किसी एप्लिकेशन प्रोग्राम लॉन्च करने के तथ्य से निर्धारित होता है। इनमें से अधिकतर खतरे मैलवेयर खतरे हैं।

यदि आईएसपीडी को स्थानीय या वितरित सूचना प्रणाली के आधार पर लागू किया जाता है, तो इंटरनेटवर्किंग प्रोटोकॉल के उपयोग के माध्यम से सूचना सुरक्षा के खतरों को इसमें लागू किया जा सकता है। इस मामले में, पीडी को एनएसडी प्रदान किया जा सकता है या सेवा से इनकार करने का खतरा महसूस किया जा सकता है। खतरे विशेष रूप से खतरनाक होते हैं जब आईएसपीडी सार्वजनिक नेटवर्क और (या) अंतरराष्ट्रीय सूचना विनिमय नेटवर्क से जुड़ी एक वितरित सूचना प्रणाली है। नेटवर्क पर कार्यान्वित खतरों की वर्गीकरण योजना चित्र 4 में दिखाई गई है। यह निम्नलिखित सात प्राथमिक वर्गीकरण मानदंडों पर आधारित है।

चित्र 4 इंटरनेटवर्किंग प्रोटोकॉल का उपयोग करके खतरों की वर्गीकरण योजना

1. खतरे की प्रकृति. इस मानदंड के अनुसार, खतरे निष्क्रिय या सक्रिय हो सकते हैं। एक निष्क्रिय खतरा एक खतरा है, जिसका कार्यान्वयन सीधे सूचना प्रणाली के संचालन को प्रभावित नहीं करता है, लेकिन व्यक्तिगत डेटा या नेटवर्क संसाधनों तक पहुंच को प्रतिबंधित करने के लिए स्थापित नियमों का उल्लंघन कर सकता है। ऐसे खतरों का एक उदाहरण "नेटवर्क ट्रैफ़िक विश्लेषण" ख़तरा है, जिसका उद्देश्य संचार चैनलों को सुनना और प्रसारित सूचनाओं को रोकना है। एक सक्रिय खतरा पीडीआईएस संसाधनों पर प्रभाव से जुड़ा एक खतरा है, जिसके कार्यान्वयन का सिस्टम के संचालन (कॉन्फ़िगरेशन परिवर्तन, व्यवधान, आदि) पर सीधा प्रभाव पड़ता है, और पहुंच को प्रतिबंधित करने के लिए स्थापित नियमों का उल्लंघन होता है। पीडी या नेटवर्क संसाधन। ऐसे खतरों का एक उदाहरण सेवा से इनकार करने का खतरा है, जिसे "टीसीपी अनुरोध तूफान" के रूप में लागू किया गया है।

2. खतरे को लागू करने का उद्देश्य. इस मानदंड के अनुसार, खतरों का उद्देश्य सूचना की गोपनीयता, अखंडता और उपलब्धता का उल्लंघन करना हो सकता है (आईएसपीडी या उसके तत्वों की कार्यक्षमता को बाधित करने सहित)।

3. खतरे को लागू करने की प्रक्रिया शुरू करने की शर्त. इस सुविधा के आधार पर, खतरे का एहसास किया जा सकता है:

उस वस्तु के अनुरोध पर जिसके विरुद्ध खतरा लागू किया जा रहा है। इस मामले में, घुसपैठिया एक निश्चित प्रकार के अनुरोध के प्रसारण की अपेक्षा करता है, जो अनधिकृत पहुंच की शुरुआत के लिए शर्त होगी;

उस सुविधा में अपेक्षित घटना घटित होने पर जिसके संबंध में खतरा लागू किया जा रहा है। इस मामले में, घुसपैठिया लगातार आईएसपीडी ऑपरेटिंग सिस्टम की स्थिति की निगरानी करता है और, जब इस सिस्टम में एक निश्चित घटना होती है, तो अनधिकृत पहुंच शुरू हो जाती है;

बिना शर्त प्रभाव. इस मामले में, अनधिकृत पहुंच की शुरुआत पहुंच के उद्देश्य के संबंध में बिना शर्त है, अर्थात, खतरे का तुरंत एहसास होता है और सिस्टम की स्थिति की परवाह किए बिना।

4. उपलब्धता प्रतिक्रियाआईएसपीडीएन के साथ। इस सुविधा के अनुसार, किसी खतरे को लागू करने की प्रक्रिया फीडबैक के साथ या उसके बिना भी हो सकती है। व्यक्तिगत डेटा सूचना प्रणाली से फीडबैक की उपस्थिति में की गई धमकी की विशेषता इस तथ्य से है कि अपराधी को आईएसपीडी को प्रेषित कुछ अनुरोधों का जवाब प्राप्त करने की आवश्यकता होती है। नतीजतन, उल्लंघनकर्ता और व्यक्तिगत डेटा सूचना प्रणाली के बीच एक फीडबैक होता है, जो उल्लंघनकर्ता को आईएसपीडी में होने वाले सभी परिवर्तनों पर पर्याप्त रूप से प्रतिक्रिया देने की अनुमति देता है। व्यक्तिगत डेटा सूचना प्रणाली से फीडबैक की उपस्थिति में लागू किए गए खतरों के विपरीत, जब खतरों को फीडबैक के बिना लागू किया जाता है, तो सूचना प्रणाली में होने वाले किसी भी बदलाव का जवाब देना आवश्यक नहीं है।

5. आईएसपीडी के सापेक्ष अपराधी का स्थान। इस सुविधा के अनुसार, खतरे को इंट्रासेगमेंटली और इंटरसेगमेंटली दोनों तरह से लागू किया जाता है।

एक नेटवर्क खंड मेजबानों का एक भौतिक संघ है (आईएसपीडी हार्डवेयर या नेटवर्क पते के साथ संचार तत्व)। उदाहरण के लिए, एक व्यक्तिगत डेटा सूचना प्रणाली खंड "सामान्य बस" योजना का उपयोग करके सर्वर से जुड़े होस्ट का एक सेट बनाता है। ऐसे मामले में जहां इंट्रा-सेगमेंट खतरा होता है, घुसपैठिए के पास आईएसपीडी के हार्डवेयर तत्वों तक भौतिक पहुंच होती है। यदि कोई अंतर-खंड खतरा है, तो घुसपैठिया आईएसपीडी के बाहर स्थित है, किसी अन्य नेटवर्क से या व्यक्तिगत डेटा सूचना प्रणाली के साथ किसी अन्य खंड से खतरे को लागू कर रहा है।

6. इंटरेक्शन संदर्भ मॉडल स्तर खुली प्रणालियाँ(आईएसओ/ओएसआई) जिस पर खतरा लागू होता है। इस सुविधा के अनुसार, खतरे को आईएसओ/ओएसआई मॉडल के भौतिक, चैनल, नेटवर्क, परिवहन, सत्र, प्रस्तुति और अनुप्रयोग स्तरों पर लागू किया जा सकता है।

7. उल्लंघनकर्ताओं और आईएसपीडी तत्वों की संख्या का अनुपात जिनके खिलाफ खतरा महसूस किया गया है। इस मानदंड के आधार पर, खतरे को एक उल्लंघनकर्ता द्वारा एक आईएसपीडी तकनीकी साधनों ("एक-से-एक" खतरा), एक साथ कई आईएसपीडी तकनीकी साधनों ("एक-से-कई") के खिलाफ लागू किए गए खतरे के रूप में वर्गीकृत किया जा सकता है। धमकी), या कई उल्लंघनकर्ताओं द्वारा विभिन्न कंप्यूटरआईएसपीडी (वितरित या संयुक्त खतरे) के एक या अधिक तकनीकी साधनों के संबंध में।

किए गए वर्गीकरण को ध्यान में रखते हुए, हम व्यक्तिगत डेटा सूचना प्रणाली पर मुख्य प्रकार के हमलों पर प्रकाश डालेंगे:

1. नेटवर्क ट्रैफ़िक विश्लेषण।

यह खतरा विशेष पैकेट स्निफ़र सॉफ़्टवेयर का उपयोग करके कार्यान्वित किया जाता है जो नेटवर्क सेगमेंट पर प्रसारित सभी पैकेटों को रोकता है और उनमें से उन पैकेटों की पहचान करता है जिनमें उपयोगकर्ता आईडी और पासवर्ड होता है। खतरे के कार्यान्वयन के दौरान, घुसपैठिया नेटवर्क के तर्क का अध्ययन करता है - अर्थात, वह सिस्टम में होने वाली घटनाओं और इन घटनाओं के घटित होने के समय मेजबानों द्वारा भेजे गए आदेशों के बीच एक-से-एक पत्राचार प्राप्त करने का प्रयास करता है। . भविष्य में, यह एक हमलावर को, उचित आदेशों के असाइनमेंट के आधार पर, सिस्टम में कार्य करने या उसमें अपनी शक्तियों का विस्तार करने के लिए विशेषाधिकार प्राप्त अधिकार प्राप्त करने, नेटवर्क ऑपरेटिंग सिस्टम के घटकों के बीच आदान-प्रदान किए गए संचारित डेटा के प्रवाह को रोकने की अनुमति देता है। गोपनीय या पहचान संबंधी जानकारी निकालने, उसका प्रतिस्थापन और संशोधन करने के लिए।

2. नेटवर्क स्कैनिंग.

खतरे के कार्यान्वयन की प्रक्रिया का सार आईएसडीएन होस्ट की नेटवर्क सेवाओं के लिए अनुरोध प्रेषित करना और उनसे प्राप्त प्रतिक्रियाओं का विश्लेषण करना है। लक्ष्य उपयोग किए गए प्रोटोकॉल, नेटवर्क सेवाओं के उपलब्ध पोर्ट, कनेक्शन पहचानकर्ताओं के गठन के लिए कानून, सक्रिय नेटवर्क सेवाओं का निर्धारण, उपयोगकर्ता पहचानकर्ताओं और पासवर्ड का चयन की पहचान करना है।

3. पासवर्ड उजागर होने का खतरा.

खतरे का लक्ष्य पासवर्ड सुरक्षा पर काबू पाकर अनधिकृत पहुंच डेटा प्राप्त करना है। एक हमलावर कई तरीकों का उपयोग करके खतरे को लागू कर सकता है, जैसे क्रूर बल, विशेष शब्दकोशों का उपयोग करके क्रूर बल, पासवर्ड को रोकने के लिए दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करना, एक विश्वसनीय नेटवर्क ऑब्जेक्ट को स्पूफ करना और पैकेट अवरोधन। धमकियों का प्रयोग मुख्यतः क्रियान्वित करने के लिए किया जाता है विशेष कार्यक्रम, जो क्रमिक रूप से पासवर्ड का अनुमान लगाकर होस्ट तक पहुंच प्राप्त करने का प्रयास करते हैं। सफल होने पर, हमलावर भविष्य में पहुंच के लिए एक प्रवेश बिंदु बना सकता है जो होस्ट पर एक्सेस पासवर्ड बदलने पर भी वैध रहेगा।

4. एक विश्वसनीय नेटवर्क ऑब्जेक्ट का प्रतिस्थापन और उसके एक्सेस अधिकारों के असाइनमेंट के साथ उसकी ओर से संचार चैनलों के माध्यम से संदेशों का प्रसारण।

यह खतरा उन प्रणालियों में प्रभावी ढंग से लागू होता है जो होस्ट और उपयोगकर्ताओं की पहचान और प्रमाणीकरण के लिए कमजोर एल्गोरिदम का उपयोग करते हैं। एक विश्वसनीय ऑब्जेक्ट एक नेटवर्क ऑब्जेक्ट (कंप्यूटर, फ़ायरवॉल, राउटर, आदि) है जो कानूनी रूप से सर्वर से जुड़ा होता है। इस खतरे को लागू करने की प्रक्रिया के दो प्रकारों को प्रतिष्ठित किया जा सकता है: वर्चुअल कनेक्शन स्थापित करने के साथ और उसके बिना। वर्चुअल कनेक्शन की स्थापना के साथ कार्यान्वयन प्रक्रिया में बातचीत के एक विश्वसनीय विषय के अधिकार निर्दिष्ट करना शामिल है, जो एक घुसपैठिए को एक विश्वसनीय विषय की ओर से नेटवर्क ऑब्जेक्ट के साथ एक सत्र आयोजित करने की अनुमति देता है। इस प्रकार के खतरे के कार्यान्वयन के लिए संदेशों की पहचान और प्रमाणीकरण की प्रणाली पर काबू पाने की आवश्यकता होती है। वर्चुअल कनेक्शन स्थापित किए बिना किसी खतरे को लागू करने की प्रक्रिया उन नेटवर्कों में हो सकती है जो केवल प्रेषित संदेशों की पहचान करते हैं नेटवर्क पताप्रेषक। सार रूटिंग एड्रेस डेटा में परिवर्तन के बारे में नेटवर्क नियंत्रण उपकरणों (उदाहरण के लिए, राउटर की ओर से) की ओर से सेवा संदेशों का प्रसारण है।

खतरे के लागू होने के परिणामस्वरूप, घुसपैठिए को आईएसपीडी तकनीकी उपकरण के विश्वसनीय ग्राहक के लिए उपयोगकर्ता द्वारा निर्धारित एक्सेस अधिकार प्राप्त होते हैं।

5.गलत नेटवर्क रूट थोपना।

इस खतरे को दो तरीकों में से एक में महसूस किया जाता है: इंट्रा-सेगमेंट या इंटर-सेगमेंट थोपने के माध्यम से। गलत रूट थोपने की संभावना रूटिंग एल्गोरिदम में निहित कमियों (विशेष रूप से, नेटवर्क नियंत्रण उपकरणों की पहचान करने की समस्या के कारण) के कारण होती है, जिसके परिणामस्वरूप, उदाहरण के लिए, आप किसी के होस्ट या नेटवर्क तक पहुंच सकते हैं। हमलावर, जहां आप आईएसपीडी के हिस्से के रूप में एक तकनीकी उपकरण के ऑपरेटिंग वातावरण में प्रवेश कर सकते हैं। खतरे का कार्यान्वयन पर आधारित है अनधिकृत उपयोगरूटिंग तालिकाओं में परिवर्तन करने के लिए रूटिंग और नेटवर्क प्रबंधन प्रोटोकॉल। इस मामले में, हमलावर को नेटवर्क नियंत्रण डिवाइस (उदाहरण के लिए, एक राउटर) की ओर से एक नियंत्रण संदेश भेजने की आवश्यकता होती है।

6. एक गलत नेटवर्क ऑब्जेक्ट का परिचय।

यह खतरा दूरस्थ खोज एल्गोरिदम में खामियों का फायदा उठाने पर आधारित है। यदि नेटवर्क ऑब्जेक्ट में शुरू में एक-दूसरे के बारे में पते की जानकारी नहीं होती है, तो विभिन्न दूरस्थ खोज प्रोटोकॉल का उपयोग किया जाता है, जिसमें नेटवर्क पर विशेष अनुरोध संचारित करना और आवश्यक जानकारी के साथ प्रतिक्रिया प्राप्त करना शामिल होता है। इस मामले में, किसी घुसपैठिए द्वारा अवरोधन की संभावना है प्रश्न खोजनाऔर उस पर गलत प्रतिक्रिया जारी करना, जिसके उपयोग से रूटिंग और एड्रेस डेटा में आवश्यक परिवर्तन हो जाएगा। भविष्य में, पीड़ित वस्तु से जुड़ी जानकारी का संपूर्ण प्रवाह झूठे नेटवर्क ऑब्जेक्ट से होकर गुजरेगा

7. सेवा से इनकार.

ये खतरे नेटवर्क सॉफ़्टवेयर की कमियों, इसकी कमजोरियों पर आधारित हैं, जो किसी हमलावर को ऐसी स्थितियाँ बनाने की अनुमति देते हैं ऑपरेटिंग सिस्टमआने वाले पैकेटों को संसाधित करने में असमर्थ प्रतीत होता है। ऐसे कई प्रकार के खतरों को पहचाना जा सकता है:

किसी हमलावर द्वारा प्रेषित पैकेटों को संसाधित करने के लिए आईएसपीडी संसाधनों के हिस्से का उपयोग कम करने के कारण सेवा का छिपा हुआ इनकार बैंडविड्थसंचार चैनल, उत्पादकता नेटवर्क उपकरण, अनुरोध प्रसंस्करण समय के लिए आवश्यकताओं का उल्लंघन। इस प्रकार के खतरों के कार्यान्वयन के उदाहरणों में शामिल हैं: आईसीएमपी प्रोटोकॉल के माध्यम से इको अनुरोधों का एक निर्देशित तूफान, टीसीपी कनेक्शन स्थापित करने के अनुरोधों का तूफान, एक एफ़टीपी सर्वर के लिए अनुरोधों का तूफान;

एक हमलावर द्वारा प्रेषित पैकेटों को संसाधित करते समय आईएसडीएन संसाधनों की कमी के कारण सेवा से इनकार (संचार चैनलों की संपूर्ण बैंडविड्थ पर कब्जा, सेवा अनुरोध कतारों का अतिप्रवाह), जिसमें अनुपलब्धता के कारण वैध अनुरोधों को नेटवर्क के माध्यम से प्रसारित नहीं किया जा सकता है ट्रांसमिशन माध्यम या अनुरोध कतारों, डिस्क स्थान आदि के अतिप्रवाह के कारण रखरखाव से इनकार कर दिया जाता है। इस प्रकार के खतरों के उदाहरणों में प्रसारण आईसीएमपी इको अनुरोधों का तूफान, एक निर्देशित तूफान, मेल सर्वर पर संदेशों का तूफान शामिल है;

आईएसडीएन तकनीकी साधनों के बीच तार्किक कनेक्टिविटी के उल्लंघन के कारण सेवा से स्पष्ट इनकार, जब अपराधी नेटवर्क उपकरणों की ओर से नियंत्रण संदेश प्रसारित करता है, जिससे रूटिंग और पता डेटा या पहचान और प्रमाणीकरण जानकारी में परिवर्तन होता है;

किसी हमलावर द्वारा गैर-मानक विशेषताओं वाले या अधिकतम लंबाई से अधिक लंबाई वाले पैकेट प्रसारित करने के कारण सेवा से स्पष्ट इनकार अनुमेय आकार, जो अनुरोधों को संसाधित करने में शामिल नेटवर्क उपकरणों की विफलता का कारण बन सकता है, बशर्ते कि नेटवर्क एक्सचेंज प्रोटोकॉल को लागू करने वाले कार्यक्रमों में त्रुटियां हों। इस खतरे के कार्यान्वयन का परिणाम आईएसपीडी में व्यक्तिगत डेटा तक दूरस्थ पहुंच प्रदान करने के लिए संबंधित सेवा की कार्यक्षमता में व्यवधान हो सकता है, तकनीकी साधनों से कनेक्शन के लिए एक पते से इतने सारे अनुरोधों का प्रसारण। आईएसपीडी, जो जितना संभव हो सके ट्रैफ़िक को संसाधित कर सकता है, जिसमें अनुरोध कतार का अतिप्रवाह और नेटवर्क सेवाओं में से किसी एक की विफलता या प्रक्रिया अनुरोधों के अलावा कुछ भी करने में सिस्टम की असमर्थता के कारण कंप्यूटर का पूर्ण रूप से बंद हो जाना शामिल है।

8.एप्लिकेशन का रिमोट लॉन्च।

खतरा आईएसपीडी होस्ट पर विभिन्न पूर्व-स्थापित दुर्भावनापूर्ण सॉफ़्टवेयर चलाने की इच्छा में निहित है: बुकमार्क प्रोग्राम, वायरस, "नेटवर्क जासूस", जिसका मुख्य उद्देश्य गोपनीयता, अखंडता, सूचना की उपलब्धता और पूर्ण नियंत्रण का उल्लंघन करना है। मेजबान का संचालन. इसके अलावा, घुसपैठिए के लिए आवश्यक डेटा को अनधिकृत रूप से प्राप्त करने, एप्लिकेशन प्रोग्राम द्वारा नियंत्रित प्रक्रियाओं को लॉन्च करने आदि के लिए उपयोगकर्ता एप्लिकेशन प्रोग्राम का अनधिकृत लॉन्च संभव है। इन खतरों के तीन उपवर्ग हैं:

अनधिकृत निष्पादन योग्य कोड वाली फ़ाइलों का वितरण;

एप्लिकेशन सर्वर के बफर ओवरफ्लो द्वारा रिमोट एप्लिकेशन लॉन्च;

छिपे हुए सॉफ़्टवेयर और हार्डवेयर बुकमार्क या मानक टूल द्वारा प्रदान की गई रिमोट सिस्टम नियंत्रण क्षमताओं का उपयोग करके रिमोट एप्लिकेशन लॉन्च।

इन उपवर्गों में से पहले के विशिष्ट खतरे वितरित फ़ाइलों की सक्रियता पर आधारित होते हैं जब वे गलती से एक्सेस हो जाती हैं। ऐसी फ़ाइलों के उदाहरणों में शामिल हैं: मैक्रो कमांड (दस्तावेज़) के रूप में निष्पादन योग्य कोड वाली फ़ाइलें माइक्रोसॉफ्ट वर्ड, एक्सेल), एचटीएमएल दस्तावेज़ जिसमें फॉर्म में निष्पादन योग्य कोड होता है ActiveX नियंत्रण, जावा एप्लेट, व्याख्या की गई स्क्रिप्ट (उदाहरण के लिए, जावास्क्रिप्ट मैलवेयर); निष्पादन योग्य प्रोग्राम कोड वाली फ़ाइलें।

फ़ाइलों को वितरित करने के लिए ईमेल, फ़ाइल स्थानांतरण और नेटवर्क फ़ाइल सिस्टम सेवाओं का उपयोग किया जा सकता है।

दूसरे उपवर्ग के खतरे नेटवर्क सेवाओं को लागू करने वाले कार्यक्रमों में कमियों का फायदा उठाते हैं (विशेषकर, बफर ओवरफ्लो नियंत्रण की कमी)। सिस्टम रजिस्टरों को समायोजित करके, कभी-कभी बफर सीमा के बाहर मौजूद कोड को निष्पादित करने के लिए बफर ओवरफ्लो के कारण होने वाली रुकावट के बाद प्रोसेसर को स्विच करना संभव होता है।

तीसरे उपवर्ग के खतरों के लिए, हमलावर छिपे हुए घटकों या मानक प्रबंधन और प्रशासन उपकरणों द्वारा प्रदान की गई दूरस्थ सिस्टम नियंत्रण क्षमताओं का उपयोग करता है कंप्यूटर नेटवर्क. उनके उपयोग के परिणामस्वरूप, नेटवर्क पर किसी स्टेशन पर रिमोट कंट्रोल प्राप्त करना संभव है। योजनाबद्ध रूप से, इन कार्यक्रमों के संचालन के मुख्य चरण इस प्रकार हैं: मेमोरी में स्थापना; किसी दूरस्थ होस्ट से अनुरोध की प्रतीक्षा करना जिस पर क्लाइंट प्रोग्राम चल रहा है और उसके साथ तत्परता संदेशों का आदान-प्रदान करना; इंटरसेप्ट की गई जानकारी को क्लाइंट तक स्थानांतरित करना या उसे हमलावर कंप्यूटर पर नियंत्रण देना। विभिन्न वर्गों के खतरों के कार्यान्वयन से संभावित परिणाम तालिका 1 में दिखाए गए हैं

तालिका 1. विभिन्न वर्गों के खतरों के कार्यान्वयन के संभावित परिणाम

№ पी/पी	आक्रमण का प्रकार		संभावित परिणाम
1	नेटवर्क ट्रैफ़िक विश्लेषण		नेटवर्क ट्रैफ़िक विशेषताओं का अनुसंधान, उपयोगकर्ता आईडी और पासवर्ड सहित प्रेषित डेटा का अवरोधन
2	नेटवर्क स्कैन		प्रोटोकॉल का निर्धारण, नेटवर्क सेवाओं के उपलब्ध पोर्ट, कनेक्शन पहचानकर्ताओं के गठन के लिए कानून, सक्रिय नेटवर्क सेवाएं, उपयोगकर्ता आईडी और पासवर्ड
3	"पासवर्ड" हमला		अनधिकृत पहुंच प्राप्त करने से संबंधित कोई विनाशकारी कार्रवाई करना
4	किसी विश्वसनीय नेटवर्क ऑब्जेक्ट का प्रतिस्थापन		संदेशों का मार्ग बदलना, रूटिंग और पता डेटा का अनधिकृत परिवर्तन। नेटवर्क संसाधनों तक अनधिकृत पहुंच, गलत जानकारी थोपना
5	गलत मार्ग थोपना		रूटिंग और एड्रेस डेटा का अनधिकृत परिवर्तन, प्रेषित डेटा का विश्लेषण और संशोधन, झूठे संदेश थोपना
6	गलत नेटवर्क ऑब्जेक्ट इंजेक्शन		यातायात को रोकना और देखना। नेटवर्क संसाधनों तक अनधिकृत पहुंच, गलत जानकारी थोपना
7	सेवा की मनाई	संसाधनों की आंशिक समाप्ति	संचार चैनल क्षमता और नेटवर्क डिवाइस प्रदर्शन में कमी। सर्वर अनुप्रयोगों का कम प्रदर्शन।
		संसाधनों की पूर्ण समाप्ति	ट्रांसमिशन माध्यम तक पहुंच की कमी के कारण संदेश प्रसारित करने में असमर्थता, कनेक्शन स्थापित करने से इनकार। सेवा प्रदान करने से इंकार.
		विशेषताओं, डेटा, वस्तुओं के बीच तार्किक संबंध का उल्लंघन	सही रूटिंग और एड्रेस डेटा की कमी के कारण संदेश प्रसारित करने में असमर्थता। पहचानकर्ताओं, पासवर्ड आदि के अनधिकृत संशोधन के कारण सेवाएं प्राप्त करने में असमर्थता।
		प्रोग्रामों में त्रुटियों का उपयोग करना	नेटवर्क उपकरणों की खराबी.
8	रिमोट एप्लिकेशन लॉन्च	विनाशकारी निष्पादन योग्य कोड, वायरस संक्रमण वाली फ़ाइलें भेजकर।	गोपनीयता, अखंडता और सूचना की उपलब्धता का उल्लंघन।
		सर्वर एप्लिकेशन बफ़र को ओवरफ़्लो करके
		अवसरों का लाभ उठाकर रिमोट कंट्रोलछिपे हुए सॉफ़्टवेयर और हार्डवेयर बुकमार्क या उपयोग किए गए मानक टूल द्वारा प्रदान की गई प्रणाली	छिपा हुआ सिस्टम नियंत्रण.

खतरे की कार्यान्वयन प्रक्रिया में आम तौर पर चार चरण होते हैं:

जानकारी का संग्रह;

घुसपैठ (ऑपरेटिंग वातावरण में प्रवेश);

अनधिकृत पहुंच का कार्यान्वयन;

अनधिकृत पहुंच के निशान मिटाना।

जानकारी एकत्र करने के चरण में, अपराधी को आईएसपीडी के बारे में विभिन्न जानकारी में रुचि हो सकती है, जिसमें शामिल हैं:

नेटवर्क की टोपोलॉजी के बारे में जिसमें सिस्टम संचालित होता है। इस मामले में, नेटवर्क के आस-पास के क्षेत्र की जांच की जा सकती है (उदाहरण के लिए, हमलावर को विश्वसनीय, लेकिन कम सुरक्षित होस्ट के पते में रुचि हो सकती है)। ऐसी उपयोगिताएँ हैं जो होस्ट उपलब्धता का समानांतर निर्धारण करती हैं, जो कम समय में होस्ट उपलब्धता के लिए पता स्थान के एक बड़े क्षेत्र को स्कैन करने में सक्षम हैं;

ISPDn में ऑपरेटिंग सिस्टम (OS) के प्रकार के बारे में। आप OS प्रकार निर्धारित करने की विधि को इस प्रकार नोट कर सकते हैं सरल अनुरोधटेलनेट रिमोट एक्सेस प्रोटोकॉल का उपयोग करके एक कनेक्शन स्थापित करने के लिए, जिसके परिणामस्वरूप " उपस्थिति"प्रतिक्रिया, आप होस्ट ओएस का प्रकार निर्धारित कर सकते हैं। होस्ट ओएस के प्रकार को निर्धारित करने के लिए कुछ सेवाओं की उपस्थिति एक अतिरिक्त संकेत के रूप में भी काम कर सकती है;

होस्ट पर चल रही सेवाओं के बारे में. होस्ट पर चल रही सेवाओं का निर्धारण "खुले बंदरगाहों" की पहचान करने की एक विधि पर आधारित है जिसका उद्देश्य होस्ट की उपलब्धता के बारे में जानकारी एकत्र करना है।

आक्रमण चरण में, सिस्टम सेवाओं में विशिष्ट कमजोरियों या सिस्टम प्रशासन में त्रुटियों की उपस्थिति की जांच की जाती है। कमजोरियों के सफल शोषण के परिणामस्वरूप आम तौर पर हमलावर प्रक्रिया को विशेषाधिकार प्राप्त निष्पादन मोड (प्रोसेसर के विशेषाधिकार प्राप्त निष्पादन मोड तक पहुंच) प्राप्त होता है, सिस्टम में एक अवैध उपयोगकर्ता खाता पेश किया जाता है, पासवर्ड फ़ाइल प्राप्त की जाती है, या हमला किए गए होस्ट की कार्यक्षमता बाधित होती है।

खतरे के विकास का यह चरण आमतौर पर बहुचरणीय होता है। उदाहरण के लिए, खतरे के कार्यान्वयन की प्रक्रिया के चरणों में शामिल हो सकते हैं: उस मेजबान के साथ संचार स्थापित करना जिसके खिलाफ खतरा लागू किया जा रहा है; भेद्यता की पहचान; अधिकारों के विस्तार आदि के हित में एक दुर्भावनापूर्ण कार्यक्रम का परिचय।

घुसपैठ के चरण में लागू खतरों को टीसीपी/आईपी प्रोटोकॉल स्टैक के स्तरों में विभाजित किया गया है, क्योंकि वे उपयोग किए गए घुसपैठ तंत्र के आधार पर नेटवर्क, परिवहन या एप्लिकेशन स्तर पर बनते हैं। नेटवर्क पर लागू होने वाले विशिष्ट खतरे और परिवहन स्तर, निम्नलिखित को शामिल कीजिए:

किसी विश्वसनीय वस्तु को बदलने के उद्देश्य से धमकी;

नेटवर्क में गलत मार्ग बनाने के उद्देश्य से एक धमकी;

दूरस्थ खोज एल्गोरिदम की कमियों का उपयोग करके एक झूठी वस्तु बनाने के उद्देश्य से धमकियाँ;

सेवा धमकियों से इनकार.

एप्लिकेशन स्तर पर कार्यान्वित विशिष्ट खतरों में अनुप्रयोगों के अनधिकृत लॉन्च के उद्देश्य से खतरे शामिल हैं, ऐसे खतरे जिनका कार्यान्वयन सॉफ़्टवेयर बुकमार्क की शुरूआत, किसी नेटवर्क या किसी विशिष्ट होस्ट तक पहुंच पासवर्ड की पहचान आदि से जुड़ा है। यदि किसी खतरे के कार्यान्वयन से घुसपैठिए को सिस्टम में उच्चतम पहुंच अधिकार नहीं मिलते हैं, तो इन अधिकारों को उच्चतम संभव स्तर तक विस्तारित करने का प्रयास किया जा सकता है। इस प्रयोजन के लिए, न केवल नेटवर्क सेवाओं की कमजोरियों, बल्कि आईएसडीएन होस्ट के सिस्टम सॉफ़्टवेयर की कमजोरियों का भी उपयोग किया जा सकता है।

अनधिकृत पहुंच को लागू करने के चरण में, खतरे को लागू करने का लक्ष्य प्राप्त किया जाता है:

गोपनीयता का उल्लंघन (नकल करना, अनधिकृत वितरण);

अखंडता का उल्लंघन (विनाश, परिवर्तन);

उपलब्धता उल्लंघन (अवरुद्ध करना)।

उसी चरण में, इन कार्यों के बाद, एक नियम के रूप में, एक तथाकथित "बैक डोर" सेवाओं में से एक के रूप में बनता है जो एक निश्चित बंदरगाह की सेवा करता है और घुसपैठिए के आदेशों को निष्पादित करता है। यह सुनिश्चित करने के हित में सिस्टम में "पिछला दरवाजा" छोड़ दिया गया है: मेजबान तक पहुंच प्राप्त करने की क्षमता, भले ही प्रशासक खतरे को सफलतापूर्वक लागू करने के लिए उपयोग की जाने वाली भेद्यता को समाप्त कर दे; यथासंभव गुप्त रूप से मेज़बान तक पहुंच प्राप्त करने की क्षमता; मेज़बान तक शीघ्र पहुंच प्राप्त करने की क्षमता (खतरे को दोबारा लागू करने की प्रक्रिया को दोहराए बिना)। एक "बैकडोर" एक हमलावर को नेटवर्क या किसी विशिष्ट होस्ट पर एक दुर्भावनापूर्ण प्रोग्राम पेश करने की अनुमति देता है, उदाहरण के लिए, एक "पासवर्ड विश्लेषक" - एक प्रोग्राम जो उच्च-स्तरीय प्रोटोकॉल चलने पर नेटवर्क ट्रैफ़िक से उपयोगकर्ता आईडी और पासवर्ड निकालता है)। मैलवेयर इंजेक्शन की वस्तुएं प्रमाणीकरण और पहचान कार्यक्रम, नेटवर्क सेवाएं, ऑपरेटिंग सिस्टम कर्नेल, हो सकती हैं। फाइल सिस्टम, पुस्तकालय, आदि।

अंत में, खतरे के निशानों को मिटाने के चरण में, घुसपैठिए के कार्यों के निशानों को नष्ट करने का प्रयास किया जाता है। इस मामले में, संबंधित प्रविष्टियाँ सभी संभावित ऑडिट लॉग से हटा दी जाती हैं, जिसमें जानकारी एकत्र करने के तथ्य के बारे में प्रविष्टियाँ भी शामिल हैं।

1.4 बैंक की विशेषताएँ और उसकी गतिविधियाँ

पीजेएससी सिटीबैंक रूसी संघ की बैंकिंग प्रणाली का एक वित्तीय और क्रेडिट संगठन है, जो धन और प्रतिभूतियों के साथ वित्तीय लेनदेन करता है। बैंक व्यक्तियों और कानूनी संस्थाओं को वित्तीय सेवाएँ प्रदान करता है।

गतिविधि के मुख्य क्षेत्र: कानूनी संस्थाओं और व्यक्तियों को ऋण देना, खाता सेवा सामाजिक ग्राहकों, जमा में आबादी से धन आकर्षित करना, विदेशी मुद्रा और इंटरबैंक बाजारों में लेनदेन, बांड और बिल में निवेश।

बैंक 1 अगस्त 1990 से बैंकिंग गतिविधियों संख्या 356 के लिए बैंक ऑफ रूस के सामान्य लाइसेंस के आधार पर अपनी वित्तीय गतिविधियाँ कर रहा है।

बैंक के पास तीन व्यक्तिगत डेटा सूचना प्रणालियाँ हैं:

बैंक कर्मचारियों के व्यक्तिगत डेटा के लिए सूचना प्रणाली - आपको व्यक्तिगत डेटा के 243 विषयों की पहचान करने की अनुमति देती है;

अभिगम नियंत्रण और प्रबंधन प्रणाली के व्यक्तिगत डेटा की सूचना प्रणाली - आपको व्यक्तिगत डेटा के 243 विषयों की पहचान करने की अनुमति देती है;

स्वचालित बैंकिंग प्रणाली की व्यक्तिगत डेटा सूचना प्रणाली - आपको 9681 व्यक्तिगत डेटा विषयों की पहचान करने की अनुमति देती है।

1.5 व्यक्तिगत डेटा डेटाबेस

बैंक को एक साथ कई व्यक्तिगत सूचना डेटा को सुरक्षित रखने की आवश्यकता है, अर्थात्:

बैंक कर्मचारियों के व्यक्तिगत डेटा की सूचना प्रणाली;

व्यक्तिगत डेटा सूचना प्रणाली, अभिगम नियंत्रण और प्रबंधन प्रणाली;

स्वचालित बैंकिंग प्रणाली के व्यक्तिगत डेटा की सूचना प्रणाली।

1.5.1 संगठन के कर्मचारियों के व्यक्तिगत डेटा की सूचना प्रणाली

बैंक कर्मचारियों के आईएसपीडी का उपयोग बैंक कर्मचारियों को वेतन देने, मानव संसाधन विभाग के कर्मचारियों के काम को स्वचालित करने, बैंक लेखा कर्मचारियों के काम को स्वचालित करने और अन्य कर्मियों और लेखांकन मुद्दों को हल करने के लिए किया जाता है। इसमें 1C "वेतन और कार्मिक प्रबंधन" डेटाबेस शामिल है, जो नेटवर्क के माध्यम से वर्कस्टेशन से जुड़ने की क्षमता के साथ एक अलग स्वचालित वर्कस्टेशन पर स्थित है। कार्य केंद्र मानव संसाधन विभाग के कार्यालय में स्थित है। स्वचालित कार्य केंद्र पर एक ऑपरेटिंग कक्ष स्थापित किया गया है माइक्रोसॉफ्ट प्रणालीविन्डोज़ एक्सपी। वर्कस्टेशन पर इंटरनेट से कोई कनेक्शन नहीं है.

पूरा नाम;

जन्म की तारीख;

पासपोर्ट श्रृंखला और संख्या;

फ़ोन नंबर;

निम्नलिखित को 1C "वेतन और कार्मिक प्रबंधन" सॉफ़्टवेयर और व्यक्तिगत डेटा डेटाबेस के साथ काम करने का अधिकार है:

मुख्य लेखाकार;

मुख्य लेखाकार के सहायक;

मानव संसाधन विभाग के प्रमुख;

बैंक कर्मचारियों के वेतन की गणना के लिए जिम्मेदार एक कर्मचारी।

मैन्युअल डेटा संशोधन;

1.5.2 अभिगम नियंत्रण और प्रबंधन प्रणाली की व्यक्तिगत डेटा सूचना प्रणाली

अभिगम नियंत्रण और प्रबंधन प्रणाली की व्यक्तिगत डेटा सूचना प्रणाली का उपयोग बैंक के कर्मचारियों और आगंतुकों के व्यक्तिगत डेटा को संग्रहीत करने के लिए किया जाता है जिनकी बैंक के विभिन्न परिसरों तक पहुंच होती है। अभिगम नियंत्रण और प्रबंधन प्रणाली ISDN का उपयोग बैंक के सुरक्षा विभाग द्वारा किया जाता है। आईएसपीडी डेटाबेस सुरक्षा विभाग के सुरक्षा कक्ष में स्थित एक स्वचालित कार्य केंद्र पर स्थापित किया गया है। ऑपरेटिंग सिस्टम ISPD वर्कस्टेशन पर स्थापित है माइक्रोसॉफ़्ट विंडोज़ 7, DBMS का उपयोग डेटाबेस प्रबंधन प्रणाली के रूप में किया जाता है माइक्रोसॉफ्ट एसक्यूएलसर्वर 2012. आईएसपीडी वर्कस्टेशन के पास स्थानीय नेटवर्क तक पहुंच नहीं है, और इंटरनेट तक भी पहुंच नहीं है।

निम्नलिखित व्यक्तिगत डेटा ISPD में संग्रहीत है:

पूरा नाम;

कर्मचारी फोटो.

निम्नलिखित को आईएसपीडी अभिगम नियंत्रण और प्रबंधन प्रणालियों के साथ काम करने का अधिकार है:

बैंक के सुरक्षा विभाग के प्रमुख;

बैंक के सुरक्षा विभाग के उप प्रमुख;

बैंक के सुरक्षा विभाग के कर्मचारी।

अभिगम नियंत्रण और प्रबंधन प्रणाली के स्वचालित कार्य केंद्र तक पहुंच इनके लिए उपलब्ध है:

सिस्टम प्रशासक, स्वचालित कार्य केंद्र और 1C सॉफ़्टवेयर "वेतन और कार्मिक प्रबंधन" और व्यक्तिगत डेटा डेटाबेस के प्रशासन के लिए;

स्वचालित कार्यस्थल सूचना सुरक्षा प्रणाली को संचालित करने के लिए बैंक की सूचना सुरक्षा के लिए जिम्मेदार विभाग के कर्मचारी।

बैंक कर्मचारियों के आईएसपीडी में निम्नलिखित कार्य किए जा सकते हैं:

व्यक्तिगत डेटा का स्वचालित विलोपन;

व्यक्तिगत डेटा का मैन्युअल विलोपन;

मैन्युअल डेटा संशोधन;

मैन्युअल जोड़व्यक्तिगत डेटा;

व्यक्तिगत डेटा की स्वचालित खोज।

व्यक्तिगत डेटा सूचना प्रणाली डेटा संग्रहीत करती है जो 243 बैंक कर्मचारियों की पहचान की अनुमति देती है।

कर्मचारी के व्यक्तिगत डेटा को संसाधित करने के लक्ष्यों को प्राप्त करने के बाद, उसका व्यक्तिगत डेटा आईएसपीडी से हटा दिया जाता है।

1.5.3 स्वचालित बैंकिंग प्रणाली की व्यक्तिगत डेटा सूचना प्रणाली

स्वचालित बैंकिंग प्रणाली की व्यक्तिगत डेटा सूचना प्रणाली को अधिकांश बैंक कर्मचारियों के काम को स्वचालित करने के लिए डिज़ाइन किया गया है। यह आपको कर्मचारी उत्पादकता बढ़ाने की अनुमति देता है। कंपनियों के समूह "सेंटर फॉर फाइनेंशियल टेक्नोलॉजीज" द्वारा निर्मित सॉफ्टवेयर उत्पादों "सीएफटी-बैंक" का परिसर एक स्वचालित बैंकिंग प्रणाली के रूप में उपयोग किया जाता है। Oracle सॉफ़्टवेयर का उपयोग डेटाबेस प्रबंधन प्रणाली के रूप में किया जाता है। ISPD को बैंक के सर्वर पर तैनात किया गया है, सर्वर पर स्थापित ऑपरेटिंग सिस्टम Microsoft है विंडोज़ सर्वर 2008 आर2. स्वचालित बैंकिंग प्रणाली का आईएसपीडी बैंक के स्थानीय कंप्यूटर नेटवर्क से जुड़ा है, लेकिन इंटरनेट तक इसकी पहुंच नहीं है। उपयोगकर्ता समर्पित वर्चुअल टर्मिनलों से सीएफटी-बैंक सॉफ्टवेयर उत्पादों का उपयोग करके आईएसपीडी डेटाबेस से जुड़े हुए हैं। आईएसपीडी में प्रत्येक उपयोगकर्ता का अपना लॉगिन और पासवर्ड होता है।

आईएसपीडीएन में संसाधित व्यक्तिगत डेटा:

पूरा नाम;

जन्म की तारीख;

पासपोर्ट श्रृंखला और संख्या;

फ़ोन नंबर;

निम्नलिखित को सीएफटी-बैंक सॉफ्टवेयर और व्यक्तिगत डेटा डेटाबेस के साथ काम करने का अधिकार है:

लेखांकन स्टाफ;

क्रेडिट विभाग के कर्मचारी;

जोखिम प्रबंधन विभाग के कर्मचारी;

संपार्श्विक विभाग के कर्मचारी;

व्यक्तिगत प्रबंधक;

ग्राहक प्रबंधक;

सुरक्षा विभाग के कर्मचारी.

स्वचालित कार्य केंद्र तक पहुंच इनके लिए उपलब्ध है:

सर्वर, व्यक्तिगत डेटा डेटाबेस और सीएफटी-बैंक सॉफ़्टवेयर के प्रशासन के लिए सिस्टम प्रशासक;

सर्वर, व्यक्तिगत डेटा डेटाबेस और सीएफटी-बैंक सॉफ्टवेयर के प्रशासन के लिए बैंक की सूचना सुरक्षा के लिए जिम्मेदार विभाग के कर्मचारी।

बैंक कर्मचारियों के आईएसपीडी में निम्नलिखित कार्य किए जा सकते हैं:

व्यक्तिगत डेटा का स्वचालित विलोपन;

व्यक्तिगत डेटा का मैन्युअल विलोपन;

व्यक्तिगत डेटा को मैन्युअल रूप से जोड़ना;

मैन्युअल डेटा संशोधन;

व्यक्तिगत डेटा की स्वचालित खोज।

व्यक्तिगत डेटा सूचना प्रणाली डेटा संग्रहीत करती है जो 243 बैंक कर्मचारियों और 9,438 बैंक ग्राहकों की पहचान की अनुमति देती है।

1.6 बैंक के स्थानीय कंप्यूटर नेटवर्क का डिज़ाइन और खतरे

बैंक ने एक क्लाइंट-सर्वर नेटवर्क तैनात किया है। उपयोगकर्ता वर्कस्टेशन वाले डोमेन का नाम vitabank.ru है। कुल मिलाकर, बैंक के पास 243 स्वचालित उपयोगकर्ता वर्कस्टेशन हैं, साथ ही 10 भी हैं वर्चुअल सर्वरऔर 15 वर्चुअल वर्कस्टेशन। सिस्टम प्रशासन विभाग नेटवर्क के प्रदर्शन की निगरानी करता है। नेटवर्क मुख्य रूप से सिस्को नेटवर्क उपकरण पर बनाया गया है। इंटरनेट प्रदाता के वर्तमान और बैकअप चैनलों के माध्यम से इंटरनेट का उपयोग करके वीपीएन चैनलों का उपयोग करके अतिरिक्त कार्यालयों के साथ संचार बनाए रखा जाता है। सेंट्रल बैंक के साथ सूचनाओं का आदान-प्रदान एक समर्पित चैनल के साथ-साथ नियमित संचार चैनलों के माध्यम से होता है।

सभी उपयोगकर्ताओं के पास स्थानीय वर्कस्टेशन पर इंटरनेट तक पहुंच है, लेकिन बैंक के दस्तावेजों और सूचना प्रणालियों के साथ काम केवल वर्चुअल वर्कस्टेशन का उपयोग करके किया जाता है, जहां इंटरनेट का उपयोग सीमित है और केवल स्थानीय बैंक संसाधन लोड किए जाते हैं।

स्थानीय कार्यस्थानों से इंटरनेट तक पहुंच पहुंच समूहों द्वारा सीमांकित है:

न्यूनतम पहुंच - केवल संघीय सेवाओं के संसाधनों तक पहुंच, बैंक ऑफ रूस की वेबसाइट तक;

नियमित पहुंच - मनोरंजन को छोड़कर सभी संसाधनों की अनुमति है, सोशल नेटवर्क, वीडियो देखना और फ़ाइलें डाउनलोड करना प्रतिबंधित है।

पूर्ण पहुँच - सभी संसाधनों और फ़ाइल अपलोड की अनुमति है;

एक्सेस समूहों द्वारा संसाधनों को फ़िल्टर करना एक प्रॉक्सी सर्वर द्वारा कार्यान्वित किया जाता है।

नीचे पीजेएससी सिटीबैंक के नेटवर्क का आरेख है (चित्र 5)।

1.7 सूचना सुरक्षा उपाय

सूचना सुरक्षा साधन इंजीनियरिंग, इलेक्ट्रिकल, इलेक्ट्रॉनिक, ऑप्टिकल और अन्य उपकरणों और उपकरणों, उपकरणों और तकनीकी प्रणालियों के साथ-साथ लीक को रोकने और संरक्षित जानकारी की सुरक्षा सुनिश्चित करने सहित सूचना सुरक्षा की विभिन्न समस्याओं को हल करने के लिए उपयोग किए जाने वाले अन्य तत्वों का एक सेट है।

कार्यान्वयन की विधि के आधार पर जानबूझकर कार्यों को रोकने के संदर्भ में सूचना सुरक्षा उपायों को समूहों में विभाजित किया जा सकता है:

तकनीकी (हार्डवेयर) का मतलब है. ये विभिन्न प्रकार (मैकेनिकल, इलेक्ट्रोमैकेनिकल, इलेक्ट्रॉनिक, आदि) के उपकरण हैं, जो सूचना सुरक्षा समस्याओं को हल करने के लिए हार्डवेयर का उपयोग करते हैं। वे जानकारी तक पहुंच को रोकते हैं, जिसमें उसे छिपाना भी शामिल है। हार्डवेयर में शामिल हैं: शोर जनरेटर, सर्ज रक्षक, स्कैनिंग रेडियो और कई अन्य उपकरण जो संभावित सूचना रिसाव चैनलों को "ब्लॉक" करते हैं या उनका पता लगाने की अनुमति देते हैं। तकनीकी साधनों के फायदे उनकी विश्वसनीयता, व्यक्तिपरक कारकों से स्वतंत्रता और संशोधन के लिए उच्च प्रतिरोध से जुड़े हैं। कमजोर पक्ष- अपर्याप्त लचीलापन, अपेक्षाकृत बड़ी मात्रा और वजन, उच्च लागत।

चित्र 5 पीजेएससी सिटीबैंक का नेटवर्क आरेख

सॉफ़्टवेयर टूल में उपयोगकर्ता की पहचान, पहुंच नियंत्रण, सूचना एन्क्रिप्शन, अवशिष्ट (कार्यशील) जानकारी जैसे अस्थायी फ़ाइलों को हटाना, सुरक्षा प्रणाली का परीक्षण नियंत्रण आदि के लिए प्रोग्राम शामिल हैं। सॉफ़्टवेयर टूल के फायदे बहुमुखी प्रतिभा, लचीलापन, विश्वसनीयता, स्थापना में आसानी हैं , संशोधित करने और विकसित करने की क्षमता। नुकसान - सीमित नेटवर्क कार्यक्षमता, फ़ाइल सर्वर और वर्कस्टेशन के कुछ संसाधनों का उपयोग, आकस्मिक या जानबूझकर परिवर्तनों के प्रति उच्च संवेदनशीलता, कंप्यूटर के प्रकार (उनके हार्डवेयर) पर संभावित निर्भरता।

मिश्रित हार्डवेयर और सॉफ्टवेयर हार्डवेयर और सॉफ्टवेयर के समान कार्यों को अलग-अलग कार्यान्वित करते हैं, और उनमें मध्यवर्ती गुण होते हैं।

बैंक के सभी कार्यालय परिसरों को एक एक्सेस प्रबंधन और नियंत्रण प्रणाली के साथ-साथ एक वीडियो निगरानी प्रणाली का उपयोग करके सुरक्षा सेवा द्वारा नियंत्रित किया जाता है। बैंक के कार्यालय परिसर में प्रवेश पहुंच नियंत्रण और प्रबंधन प्रणाली में उचित अनुमति के अधीन है। किसी कर्मचारी को, नौकरी के लिए आवेदन करते समय, या बैंक में आने वाले किसी आगंतुक को, यदि आवश्यक हो, तो बैंक के कार्यालय परिसर तक पहुंच प्रदान की जाती है, उन्हें संपर्क रहित निकटता कार्ड जारी किए जाते हैं, जिस पर एक उपयोगकर्ता पहचानकर्ता दर्ज किया जाता है और जब कार्यालय परिसर तक पहुंचने का प्रयास किया जाता है, तो यह पहचानकर्ता अभिगम नियंत्रण और प्रबंधन प्रणाली में स्थानांतरित कर दिया गया है। सिस्टम उन परिसरों की सूची की तुलना करता है जिनमें कार्ड उपयोगकर्ता को उस परिसर के साथ प्रवेश करने की अनुमति है जिसमें वह प्रवेश करना चाहता है और परिसर में प्रवेश की अनुमति देता है या प्रतिबंधित करता है।

बैंक के कार्यस्थानों पर एंटी-वायरस सॉफ़्टवेयर स्थापित किया गया है कैस्पर्सकी समापन बिंदुसुरक्षा 10, जिसके पास रूस संख्या 3025 के FSTEC के अनुपालन का प्रमाण पत्र है, 25 नवंबर, 2019 तक वैध है, वायरस हस्ताक्षर डेटाबेस को बैंक में स्थित सर्वर पर स्थापित एंटीवायरस के सर्वर भाग द्वारा केंद्रीय रूप से अद्यतन किया जाता है।

सेंट्रल बैंक के साथ इलेक्ट्रॉनिक दस्तावेज़ प्रवाह को व्यवस्थित करने के लिए, बैंक के अधिकारियों ने एक समर्पित संचार लाइन स्थापित की है।

संघीय सेवाओं (संघीय कर सेवा, रूस का पेंशन कोष, वित्तीय निगरानी सेवा, आदि) के साथ इलेक्ट्रॉनिक दस्तावेज़ प्रवाह को व्यवस्थित करने के लिए, एक इलेक्ट्रॉनिक हस्ताक्षर का उपयोग किया जाता है। इसके साथ कार्य करने के लिए इलेक्ट्रॉनिक हस्ताक्षरसंघीय सेवाओं के साथ दस्तावेज़ प्रवाह के लिए जिम्मेदार कलाकारों के स्थानीय कार्यस्थानों पर विशेष सॉफ़्टवेयर स्थापित किया गया है:

क्रिप्टो-प्रो सीएसपी;

क्रिप्टो-एआरएम;

सीआईपीएफ वर्बा-ओडब्ल्यू;

सीआईपीएफ सत्यापन डेटा;

सिग्नल-कॉम सीएसपी।

ठेकेदार द्वारा कुछ सॉफ़्टवेयर का उपयोग एक निश्चित संघीय प्राधिकरण की आवश्यकताओं पर निर्भर करता है।

सीमा पर स्थानीय नेटवर्कबैंक के पास सिस्को कॉर्पोरेशन द्वारा निर्मित सिस्को एएसए 5512 फ़ायरवॉल है। इसके अलावा, महत्वपूर्ण बैंकिंग प्रणालियां (बैंक ऑफ रूस के ग्राहक का कार्य केंद्र, स्विफ्ट, बैंक का आईएसपीडीएन) अतिरिक्त रूप से सिस्को फ़ायरवॉल द्वारा बैंक के स्थानीय नेटवर्क से अलग हो जाती हैं। संचार के लिए वीपीएन सुरंगें अतिरिक्त कार्यालयसिस्को फ़ायरवॉल का उपयोग करके व्यवस्थित किया गया।

1.8 संगठनात्मक सुरक्षा उपाय

2014 में ब्रिटिश ऑडिटिंग और कंसल्टिंग कंपनी अर्न्स्ट एंड योंग द्वारा किए गए एक अध्ययन के अनुसार, अध्ययन में भाग लेने वाली 69 प्रतिशत कंपनियां कंपनी के कर्मचारियों को सूचना सुरक्षा खतरों का मुख्य स्रोत मानती हैं।

कंपनी के कर्मचारी, अज्ञानता के कारण या सूचना सुरक्षा के क्षेत्र में अपनी अक्षमता के कारण, संगठन पर लक्षित हमलों को अंजाम देने के लिए आवश्यक महत्वपूर्ण जानकारी का खुलासा कर सकते हैं। हमलावर एम्बेडेड दुर्भावनापूर्ण सॉफ़्टवेयर के साथ फ़िशिंग संदेश भी भेजते हैं, जो हमलावरों को किसी कर्मचारी के कार्यस्थल पर नियंत्रण हासिल करने की अनुमति देता है और इस कार्यस्थल से बैंक की सूचना प्रणालियों पर हमला शुरू करता है।

इसलिए, बैंक में, सूचना सुरक्षा विभाग बैंक कर्मचारियों को सूचना सुरक्षा के बुनियादी सिद्धांतों में प्रशिक्षित करने, कार्यस्थल में काम करते समय सुरक्षा आवश्यकताओं के अनुपालन की निगरानी करने और बैंक कर्मचारियों को नए सूचना सुरक्षा खतरों के बारे में सूचित करने के लिए बाध्य है। सामना हो सकता है.

पीजेएससी सिटीबैंक में, सभी कर्मचारी रोजगार पर प्रेरण प्रशिक्षण से गुजरते हैं। इसके अलावा, नए कर्मचारियों और अन्य संरचनात्मक प्रभागों से स्थानांतरित कर्मचारियों को सूचना सुरक्षा विभाग में प्रारंभिक प्रशिक्षण से गुजरना पड़ता है, जिसके दौरान कर्मचारियों को बैंक की सूचना प्रणालियों के साथ काम करते समय बुनियादी सूचना सुरक्षा नियमों, इंटरनेट पर काम करते समय सुरक्षा नियमों, काम करते समय सुरक्षा नियमों के बारे में बताया जाता है। ई-मेल बैंक, बैंक पासवर्ड नीति के साथ।

बैंक के सूचना सुरक्षा विभाग के कर्मचारी सिस्टम विकास के सभी स्तरों पर बैंक की नई सूचना प्रणालियों के विकास और कार्यान्वयन में भाग लेते हैं।

सूचना प्रणाली के विकास के लिए सिस्टम डिजाइन और तकनीकी विशिष्टताओं को तैयार करने के चरण में, सूचना सुरक्षा विभाग सिस्टम के लिए सुरक्षा आवश्यकताओं को निर्धारित करता है।

सूचना प्रणाली विकास चरण में, सूचना सुरक्षा विभाग के कर्मचारी वर्तमान दस्तावेज़ीकरण का अध्ययन करते हैं और प्रोग्राम कोड में संभावित कमजोरियों के लिए सॉफ़्टवेयर का परीक्षण करते हैं।

सूचना प्रणाली के परीक्षण और कमीशनिंग के चरण में, सूचना सुरक्षा विभाग सक्रिय रूप से सूचना प्रणाली के परीक्षण में भाग लेता है, सूचना प्रणाली में प्रवेश परीक्षण और सेवा परीक्षणों से इनकार करता है, और सूचना प्रणाली तक पहुंच अधिकार भी वितरित करता है।

सूचना प्रणाली के संचालन के चरण में जिसे पहले ही परिचालन में लाया जा चुका है, सूचना सुरक्षा विभाग निगरानी करता है और संदिग्ध गतिविधि की पहचान करता है।

सूचना प्रणाली को अंतिम रूप देने के चरण में, सूचना सुरक्षा विभाग, सूचना प्रणाली के संचालन के दौरान प्राप्त आंकड़ों के आधार पर, सूचना प्रणाली के लिए नई आवश्यकताओं का निर्माण करता है।

पीजेएससी सिटीबैंक का सूचना सुरक्षा विभाग इंटरनेट पर संसाधनों के साथ-साथ बैंक के आंतरिक संसाधनों तक पहुंच के सभी अनुरोधों का समन्वय करता है।

1.9 व्यक्तिगत डेटा प्रोसेसिंग चक्र

बैंक में संग्रहीत व्यक्तिगत डेटा केवल कानूनी रूप से प्राप्त किया जाता है।

बैंक कर्मचारी का प्राप्त व्यक्तिगत डेटा केवल बैंक द्वारा कर्मचारी के साथ संपन्न समझौते के तहत अपने दायित्वों को पूरा करने के लिए संसाधित किया जाता है। बैंक कर्मचारी का व्यक्तिगत डेटा कर्मचारी से ही प्राप्त किया गया था। बैंक कर्मचारियों के व्यक्तिगत डेटा को संसाधित करने की प्रक्रिया के साथ-साथ इस क्षेत्र में उनके अधिकारों और दायित्वों को स्थापित करने वाले बैंक दस्तावेजों से सभी बैंक कर्मचारियों को हस्ताक्षर के माध्यम से परिचित कराया जाता है।

एक्सेस कंट्रोल और प्रबंधन प्रणाली आईएसपीडी में संग्रहीत बैंक कर्मचारियों का व्यक्तिगत डेटा कर्मचारी की पहुंच के लिए है कार्यस्थल.

स्वचालित बैंकिंग प्रणाली के आईएसपीडी में संग्रहीत बैंक के ग्राहकों का व्यक्तिगत डेटा केवल बैंक के ग्राहक के साथ संपन्न समझौते के तहत अपने दायित्वों को पूरा करने के लिए संसाधित किया जाता है। इसके अलावा, स्वचालित बैंकिंग प्रणाली के आईएसपीडी में, उन व्यक्तियों के व्यक्तिगत डेटा को संसाधित किया जाता है, जिन्होंने बैंक के साथ कोई समझौता नहीं किया है, लेकिन कानूनी रूप से प्राप्त किया है, उदाहरण के लिए, संघीय कानून संख्या 115 के अनुरोध पर प्राप्त व्यक्तिगत डेटा और संसाधित किया जाता है। -7 अगस्त 2001 का एफजेड "आपराधिक तरीकों से प्राप्त आय और आतंकवाद के वित्तपोषण के वैधीकरण (लॉन्ड्रिंग) का मुकाबला करने पर।"

व्यक्तिगत डेटा को संसाधित करने के उद्देश्यों को प्राप्त करने के बाद, उन्हें नष्ट कर दिया जाता है या गुमनाम कर दिया जाता है।

2. बैंक में व्यक्तिगत डेटा की सुरक्षा के लिए उपायों का विकास

पीजेएससी सिटीबैंक में, व्यक्तिगत डेटा सुरक्षा प्रणाली को राज्य-स्तरीय कानूनों और स्थानीय नियमों (उदाहरण के लिए, "दूरस्थ बैंकिंग के लिए नियम) दोनों द्वारा विनियमित किया जाता है। कानूनी संस्थाएंऔर परिशिष्ट 1 में पीजेएससी "सिटीबैंक" में व्यक्तिगत उद्यमी)।

पीजेएससी सिटीबैंक की व्यक्तिगत डेटा सुरक्षा प्रणाली फ़िशिंग और रैंसमवेयर वायरस के साथ वर्कस्टेशन के संक्रमण जैसे सरल हमलों से बचने के लिए पर्याप्त रूप से विकसित की गई है, लेकिन यह व्यक्तिगत डेटा चोरी करने के उद्देश्य से लक्षित हमलों का सामना करने में सक्षम नहीं है।

मैंने व्यक्तिगत डेटा सुरक्षा प्रणाली के पुनर्निर्माण और आधुनिकीकरण पर काम किया।

2.1 बैंक के स्थानीय कंप्यूटर नेटवर्क और व्यक्तिगत डेटा सूचना प्रणाली की सुरक्षा के उपाय

पीजेएससी सिटीबैंक के नेटवर्क में स्पष्ट कमजोरियां हैं, जिनका उपयोग करके हमलावर बैंक के नेटवर्क तक पूर्ण पहुंच प्राप्त कर सकते हैं और उस पर नियंत्रण हासिल कर सकते हैं, जिसके बाद वे ग्राहकों या बैंक कर्मचारियों के व्यक्तिगत डेटा को आसानी से चुरा सकते हैं, बदल सकते हैं या हटा सकते हैं।

चूंकि बैंक का नेटवर्क एक एकल खंड का प्रतिनिधित्व करता है, इसलिए बैंक के नेटवर्क में घुसपैठियों के प्रवेश के जोखिम को कम करने के लिए, इसे प्रौद्योगिकी का उपयोग करके कई खंडों में विभाजित किया जाना चाहिए। आभासी नेटवर्क.

वर्चुअल नेटवर्क टेक्नोलॉजी (वीएलएएन) की अवधारणा यह है कि नेटवर्क प्रशासक इसमें उपयोगकर्ताओं के तार्किक समूह बना सकता है, भले ही वे नेटवर्क के किसी भी हिस्से से जुड़े हों। आप उपयोगकर्ताओं को तार्किक कार्य समूहों में एकजुट कर सकते हैं, उदाहरण के लिए, किए जा रहे कार्य की समानता या एक साथ हल किए जा रहे कार्य के आधार पर। इस मामले में, उपयोगकर्ताओं के समूह एक-दूसरे के साथ बातचीत कर सकते हैं या एक-दूसरे के लिए पूरी तरह से अदृश्य हो सकते हैं। समूह सदस्यता को बदला जा सकता है, और एक उपयोगकर्ता कई तार्किक समूहों का सदस्य हो सकता है। वर्चुअल नेटवर्क तार्किक प्रसारण डोमेन बनाते हैं, जो पूरे नेटवर्क में प्रसारण पैकेट के मार्ग को प्रतिबंधित करते हैं, जैसे राउटर नेटवर्क खंडों के बीच प्रसारण ट्रैफ़िक को अलग करते हैं। इस तरह, वर्चुअल नेटवर्क प्रसारण तूफानों को होने से रोकता है क्योंकि प्रसारण संदेश वर्चुअल नेटवर्क के सदस्यों तक ही सीमित होते हैं और अन्य वर्चुअल नेटवर्क के सदस्यों द्वारा प्राप्त नहीं किए जा सकते हैं। वर्चुअल नेटवर्क उन मामलों में दूसरे वर्चुअल नेटवर्क के सदस्यों तक पहुंच की अनुमति दे सकते हैं जहां साझा संसाधनों तक पहुंच आवश्यक है, जैसे फ़ाइल सर्वर या एप्लिकेशन सर्वर, या जहां एक सामान्य कार्य के लिए विभिन्न सेवाओं, जैसे क्रेडिट और भुगतान विभागों की सहभागिता की आवश्यकता होती है। वर्चुअल नेटवर्क स्विच पोर्ट, नेटवर्क में शामिल उपकरणों के भौतिक पते और ओएसआई मॉडल के परत 3 प्रोटोकॉल के तार्किक पते के आधार पर बनाया जा सकता है। वर्चुअल नेटवर्क का फायदा है उच्च गतिस्विचों का संचालन, क्योंकि आधुनिक स्विचों में एकीकृत सर्किट का एक विशेष सेट होता है जो विशेष रूप से ओएसआई मॉडल के दूसरे स्तर पर स्विचिंग समस्याओं को हल करने के लिए डिज़ाइन किया गया है। तृतीय-स्तरीय वर्चुअल नेटवर्क स्थापित करना सबसे आसान है, जब तक कि नेटवर्क क्लाइंट के पुन: कॉन्फ़िगरेशन की आवश्यकता न हो, और प्रशासन करना सबसे कठिन है, क्योंकि नेटवर्क क्लाइंट के साथ किसी भी कार्रवाई के लिए या तो क्लाइंट या राउटर के पुन: कॉन्फ़िगरेशन की आवश्यकता होती है, और यह सबसे कम लचीला होता है, क्योंकि वर्चुअल नेटवर्क को कनेक्ट करने के लिए रूटिंग की आवश्यकता होती है, जिससे सिस्टम की लागत बढ़ जाती है और इसका प्रदर्शन कम हो जाता है।

इस प्रकार, बैंक में वर्चुअल नेटवर्क के निर्माण से एआरपी-स्पूफिंग हमलों को रोका जा सकेगा। हमलावर सर्वर और क्लाइंट के बीच से गुजरने वाली जानकारी को रोक नहीं पाएंगे। नेटवर्क में घुसपैठ करते समय, हमलावर पूरे बैंक नेटवर्क को स्कैन नहीं कर पाएंगे, बल्कि केवल उस नेटवर्क खंड को स्कैन कर पाएंगे जिस तक उन्होंने पहुंच प्राप्त की है।

बैंक के नेटवर्क में घुसपैठ करते समय, हमलावर महत्वपूर्ण नेटवर्क नोड्स को खोजने के लिए पहले नेटवर्क को स्कैन करेंगे। ये नोड हैं:

डोमेन नियंत्रक;

प्रॉक्सी सर्वर;

डाक सर्वर;

फ़ाइल सर्वर;

एप्लिकेशन सर्वर.

चूंकि बैंक का स्थानीय नेटवर्क वर्चुअल नेटवर्क तकनीक का उपयोग करके व्यवस्थित किया जाएगा, इसलिए हमलावर अतिरिक्त कार्रवाई के बिना इन नोड्स का पता नहीं लगा पाएंगे। हमलावरों के लिए स्थानीय नेटवर्क के महत्वपूर्ण नोड्स ढूंढना और उन्हें भ्रमित करना कठिन बनाने के लिए, और भविष्य में नेटवर्क पर हमले करते समय हमलावरों की रणनीति का अध्ययन करने के लिए, झूठी वस्तुओं का उपयोग करना आवश्यक है जो हमलावरों को आकर्षित करेंगे . इन वस्तुओं को हनीपोट कहा जाता है।

हनीपॉट का कार्य किसी हमले या अनधिकृत अनुसंधान के अधीन होना है, जो बाद में हमलावरों की रणनीति का अध्ययन करना और उन साधनों की सूची निर्धारित करना संभव बना देगा जिनके द्वारा वास्तविक जीवन की सुरक्षा वस्तुओं पर हमले किए जा सकते हैं। हनीपॉट कार्यान्वयन या तो एक विशेष समर्पित सर्वर या एकल नेटवर्क सेवा हो सकता है जिसका कार्य हैकर्स का ध्यान आकर्षित करना है।

हनीपोट एक ऐसा संसाधन है जिस पर कार्रवाई किए बिना कुछ भी नहीं होता है। हनीपॉट थोड़ी मात्रा में जानकारी एकत्र करता है, जिसके विश्लेषण के बाद यह हैकर्स द्वारा उपयोग किए जाने वाले तरीकों पर आंकड़े बनाता है, और किसी भी नए समाधान की उपस्थिति भी निर्धारित करता है जो बाद में उनके खिलाफ लड़ाई में उपयोग किया जाएगा।

उदाहरण के लिए, एक वेब सर्वर जिसका कोई नाम नहीं है और वह वस्तुतः किसी के लिए अज्ञात है, इसलिए उस तक मेहमानों की पहुंच नहीं होनी चाहिए, इसलिए जो लोग इसमें सेंध लगाने की कोशिश करते हैं वे संभावित हमलावर हैं। हनीपॉट इन हमलावरों के व्यवहार और सर्वर को प्रभावित करने के उनके तरीकों के बारे में जानकारी एकत्र करता है। उसके बाद, सूचना सुरक्षा विभाग के विशेषज्ञ संसाधन पर हमलावरों द्वारा किए गए हमले के बारे में जानकारी एकत्र करते हैं और भविष्य में हमलों को रोकने के लिए रणनीति विकसित करते हैं।

इंटरनेट से आने वाली सूचनाओं को नियंत्रित करने और नेटवर्क पर उनके प्रसारण के चरण में सूचना सुरक्षा के लिए खतरों का पता लगाने के साथ-साथ बैंक के स्थानीय नेटवर्क में घुसपैठ करने वाले घुसपैठियों की गतिविधि का पता लगाने के लिए, एक घुसपैठ रोकथाम प्रणाली स्थापित करना आवश्यक है। नेटवर्क का किनारा.

घुसपैठ रोकथाम प्रणाली एक सॉफ्टवेयर या हार्डवेयर नेटवर्क और कंप्यूटर सुरक्षा प्रणाली है जो घुसपैठ या सुरक्षा उल्लंघनों का पता लगाती है और स्वचालित रूप से उनके खिलाफ सुरक्षा करती है।

घुसपैठ रोकथाम प्रणालियों को घुसपैठ का पता लगाने वाली प्रणालियों का विस्तार माना जा सकता है, क्योंकि हमलों पर नज़र रखने का कार्य समान रहता है। हालाँकि, वे इसमें भिन्न हैं कि घुसपैठ रोकथाम प्रणाली वास्तविक समय में गतिविधि की निगरानी करती है और हमलों को रोकने के लिए तुरंत कार्रवाई लागू करती है।

घुसपैठ का पता लगाने और रोकथाम प्रणालियों को इसमें विभाजित किया गया है:

नेटवर्क घुसपैठ रोकथाम प्रणालियाँ - संगठन के नेटवर्क पर निर्देशित, नेटवर्क से गुजरने वाले या किसी विशिष्ट कंप्यूटर पर निर्देशित ट्रैफ़िक का विश्लेषण करती हैं। घुसपैठ का पता लगाने और रोकथाम प्रणालियों को सॉफ़्टवेयर या हार्डवेयर-सॉफ़्टवेयर विधियों द्वारा कार्यान्वित किया जा सकता है, जो कॉर्पोरेट नेटवर्क की परिधि पर और कभी-कभी इसके अंदर स्थापित होते हैं।

व्यक्तिगत घुसपैठ रोकथाम प्रणालियाँ ऐसे सॉफ़्टवेयर हैं जो वर्कस्टेशन या सर्वर पर स्थापित होते हैं और आपको एप्लिकेशन गतिविधि की निगरानी करने के साथ-साथ संभावित हमलों के लिए नेटवर्क गतिविधि की निगरानी करने की अनुमति देते हैं।

बैंक के नेटवर्क में तैनाती के लिए एक नेटवर्क घुसपैठ रोकथाम प्रणाली का चयन किया गया था।

माना नेटवर्क सिस्टमआईबीएम, चेक प्वाइंट, फोर्टिनेट, पालो ऑल्टो द्वारा घुसपैठ, क्योंकि इन प्रणालियों के निर्माताओं की घोषित कार्यक्षमता बैंक के सूचना सुरक्षा विभाग की आवश्यकताओं को पूरा करती है।

परीक्षण बेंच तैनात करने और घुसपैठ रोकथाम प्रणालियों का परीक्षण करने के बाद, चेक प्वाइंट द्वारा निर्मित एक प्रणाली को चुना गया, क्योंकि इसने सबसे अच्छा प्रदर्शन दिखाया, स्थानीय नेटवर्क पर प्रसारित वायरस सॉफ़्टवेयर का पता लगाने के लिए सबसे अच्छा उपप्रणाली, महत्वपूर्ण घटनाओं को दर्ज करने और लॉगिंग करने के लिए सबसे अच्छा उपकरण और खरीद मूल्य।

आईबीएम की घुसपैठ रोकथाम प्रणाली को अस्वीकार कर दिया गया क्योंकि उपकरणों की लागत घुसपैठ रोकथाम प्रणाली खरीदने के लिए सूचना सुरक्षा विभाग के बजट से अधिक थी।

जब सूचना सुरक्षा विभाग के कर्मचारियों ने संक्रमित फ़ाइलों को स्थानांतरित करने के लिए परीक्षण किया और महत्वपूर्ण घटनाओं को लॉग करने के लिए अपर्याप्त जानकारीपूर्ण उपकरण का प्रदर्शन किया, तो फोर्टिनेट की घुसपैठ रोकथाम प्रणाली को अपूर्ण प्रतिक्रिया के कारण अस्वीकार कर दिया गया था।

पालो ऑल्टो की घुसपैठ रोकथाम प्रणाली को अस्वीकार कर दिया गया क्योंकि इसमें सार्थक ईवेंट लॉगिंग का अभाव था, उपयोग करने के लिए यह बहुत जटिल था और राउटर की तरह काम करता था।

स्थानीय नेटवर्क में कार्यान्वयन के लिए चेक प्वाइंट घुसपैठ रोकथाम प्रणाली को चुना गया था। इस प्रणाली ने सूचना सुरक्षा खतरों का उच्च स्तर का पता लगाने, लचीली सेटिंग्स, अतिरिक्त सॉफ्टवेयर मॉड्यूल खरीदकर कार्यक्षमता का विस्तार करने की क्षमता का प्रदर्शन किया है, और शक्तिशाली प्रणालीमहत्वपूर्ण घटनाओं की लॉगिंग और घटना रिपोर्ट प्रदान करने के लिए शक्तिशाली उपकरण, जिनकी मदद से आप घटित सूचना सुरक्षा घटनाओं की अधिक आसानी से जांच कर सकते हैं।

संशोधित आर्किटेक्चर के साथ सिटीबैंक पीजेएससी नेटवर्क का एक आरेख चित्र 6 में प्रस्तुत किया गया है।

2.2 सॉफ्टवेयर और हार्डवेयर सुरक्षा

चूंकि व्यक्तिगत डेटा की सुरक्षा केवल नेटवर्क सुरक्षा द्वारा सुनिश्चित नहीं की जा सकती है, क्योंकि हमलावर, नेटवर्क की सुरक्षा के लिए किए गए सभी उपायों के बावजूद, बैंक के नेटवर्क तक पहुंच प्राप्त कर सकते हैं।

चित्र 6 अतिरिक्त सुरक्षा प्रणालियों के साथ सिटीबैंक पीजेएससी का नेटवर्क आरेख

अधिक आक्रमण-प्रतिरोधी सुरक्षा के लिए, स्थानीय वर्कस्टेशन, वर्चुअल वर्कस्टेशन, वर्चुअल और नियमित सर्वर की सुरक्षा के लिए नेटवर्क, सॉफ्टवेयर और हार्डवेयर उपकरणों की सुरक्षा के लिए डिज़ाइन किए गए उपकरणों को जोड़ना आवश्यक है।

जैसा कि ज्ञात है एंटीवायरस प्रोग्रामदुर्भावनापूर्ण सॉफ़्टवेयर के विरुद्ध पूर्ण सुरक्षा प्रदान नहीं करते, क्योंकि वे हस्ताक्षर विश्लेषण के सिद्धांत पर काम करते हैं। एक एंटीवायरस सॉफ़्टवेयर विकास कंपनी ऐसे विशेषज्ञों को नियुक्त करती है जो इंटरनेट पर वायरस गतिविधि की निगरानी करते हैं, परीक्षण स्टेशनों पर वायरस सॉफ़्टवेयर के व्यवहार का अध्ययन करते हैं, और हस्ताक्षर बनाते हैं जो बाद में एंटीवायरस सॉफ़्टवेयर हस्ताक्षर डेटाबेस को अपडेट करके उपयोगकर्ताओं के कंप्यूटर पर भेजे जाते हैं। एंटीवायरस, एंटीवायरस सॉफ़्टवेयर हस्ताक्षरों का एक अद्यतन डेटाबेस प्राप्त करने के बाद, उपयोगकर्ता के वर्कस्टेशन पर फ़ाइलों की जाँच करता है और दुर्भावनापूर्ण सॉफ़्टवेयर के संकेतों की तलाश करता है, यदि स्कैनिंग प्रक्रिया के दौरान ऐसे संकेत पाए जाते हैं, तो एंटीवायरस इसका संकेत देता है और सेट की गई सेटिंग्स के अनुसार कार्य करता है; उपयोगकर्ता या एंटीवायरस व्यवस्थापक द्वारा. इस प्रकार, यदि एंटीवायरस सॉफ़्टवेयर कंपनी के विशेषज्ञों द्वारा दुर्भावनापूर्ण सॉफ़्टवेयर का पता नहीं लगाया जाता है और उसका विश्लेषण नहीं किया जाता है, तो एंटीवायरस दुर्भावनापूर्ण सॉफ़्टवेयर का पता नहीं लगा पाएगा और स्कैन की गई फ़ाइल को सुरक्षित मानते हुए कोई कार्रवाई नहीं करेगा। इसलिए, दुर्भावनापूर्ण सॉफ़्टवेयर के नेटवर्क में पहुंचने और लॉन्च होने की संभावना को कम करने के लिए, बैंक ने एंटी-वायरस सुरक्षा का दूसरा सर्किट स्थापित किया। चूँकि एंटीवायरस सॉफ़्टवेयर कंपनियाँ अधिकतर एक-दूसरे से अलग काम करती हैं, दुर्भावनापूर्ण सॉफ़्टवेयर जिसका अभी तक एक एंटीवायरस सॉफ़्टवेयर कंपनी द्वारा पता नहीं लगाया गया है, उसे किसी अन्य विकास कंपनी द्वारा पता लगाया जा सकता है और पता लगाए गए खतरे के लिए हस्ताक्षर पहले से ही बनाए जा सकते हैं।

ऐसी योजना को क्रियान्वित करने के लिए वर्चुअल कार्य स्थल, जिस पर डॉक्टर वेब एंटरप्राइज सुरक्षा सूट एंटीवायरस स्थापित किया गया था, जिसके पास रूस के एफएसटीईसी संख्या 2446 के अनुरूप होने का प्रमाण पत्र है, जो 20 सितंबर, 2017 तक वैध है। बैंक कर्मचारी अपने काम के दौरान जो भी फ़ाइलें डाउनलोड करते हैं, वे इस स्टेशन पर जाती हैं और एंटीवायरस द्वारा स्कैन की जाती हैं। यदि दुर्भावनापूर्ण सॉफ़्टवेयर का पता लगाया जाता है, तो एंटीवायरस सूचना सुरक्षा विभाग के कर्मचारियों को खतरे के नाम और उस पथ के साथ एक पत्र भेजता है जहां संक्रमित फ़ाइल संग्रहीत है। सूचना सुरक्षा विभाग के कर्मचारी दुर्भावनापूर्ण सॉफ़्टवेयर को हटाने के लिए उपाय कर रहे हैं। यदि उपयोगकर्ताओं द्वारा डाउनलोड की गई फ़ाइलें एंटी-वायरस सॉफ़्टवेयर स्कैन से गुजरती हैं, तो फ़ाइल डाउनलोड करने वाला उपयोगकर्ता सूचना सुरक्षा विभाग से अनुरोध करता है और विभाग के कर्मचारी डाउनलोड की गई फ़ाइल को उपयोगकर्ता को स्थानांतरित कर देते हैं।

इसके अलावा, बैंक कर्मचारियों को ईमेल द्वारा बड़ी मात्रा में दुर्भावनापूर्ण सॉफ़्टवेयर भेजे जाते हैं। ये नियमित एन्क्रिप्शन वायरस या दुर्भावनापूर्ण सॉफ़्टवेयर हो सकते हैं जो हमलावरों को रिमोट कनेक्शन का उपयोग करके बैंक कर्मचारी के संक्रमित कंप्यूटर में प्रवेश करने की अनुमति देते हैं।

ऐसे खतरों के जोखिमों को कम करने के लिए, बैंक के मेल सर्वर पर ClamAW एंटी-वायरस सॉफ़्टवेयर स्थापित किया गया था, जिसे सुरक्षा के लिए डिज़ाइन किया गया था मेल सर्वर.

आंतरिक हमलावरों द्वारा अनधिकृत पहुंच से बचाने के लिए, जिन्होंने किसी तरह व्यक्तिगत डेटा सूचना प्रणालियों तक पहुंच रखने वाले स्थानीय स्टेशन के उपयोगकर्ता का पासवर्ड सीख लिया है, व्यक्तिगत डेटा सूचना प्रणालियों तक पहुंच रखने वाले उपयोगकर्ताओं के स्थानीय कार्यस्थानों पर अनधिकृत पहुंच के खिलाफ एक सूचना सुरक्षा प्रणाली स्थापित करना आवश्यक है। डेटा सूचना प्रणाली.

बैंक कर्मचारियों का प्रशिक्षण सूचना सुरक्षा विभाग के एक विशेषज्ञ द्वारा किया जाता है।

सूचना सुरक्षा विभाग का एक कर्मचारी बैंक के निर्दिष्ट प्रभाग में प्रशिक्षण आयोजित करता है। प्रशिक्षण के बाद, विभाग के कर्मचारी परीक्षण पास करते हैं जिसमें वे प्रशिक्षण के दौरान अर्जित ज्ञान की पुष्टि करते हैं।

बुनियादी सुरक्षा नीति प्रत्येक विभाग में वर्ष में कम से कम चार बार प्रशिक्षण को नियंत्रित करती है।

इसके अलावा, कर्मचारी प्रशिक्षण के समानांतर, सूचना सुरक्षा विभाग के कर्मचारियों को महीने में कम से कम एक बार सभी बैंक कर्मचारियों को सूचना पत्र भेजने की आवश्यकता होती है, जिसमें बुनियादी सुरक्षा नियमों और बैंक की सूचना सुरक्षा के लिए नए खतरों का वर्णन किया जाता है, यदि कोई पता चला हो।

2.3.2 कर्मचारियों के लिए इंटरनेट संसाधनों तक पहुंच की प्रक्रिया

बैंक ने 3 इंटरनेट एक्सेस समूह बनाए हैं, लेकिन पहुंच का यह विभाजन अप्रभावी है, क्योंकि एक कर्मचारी को, अपने कार्य कर्तव्यों को पूरा करने के लिए, एक नेटवर्क संसाधन से जानकारी प्राप्त करने की आवश्यकता हो सकती है जो पूर्ण एक्सेस समूह का हिस्सा है, तो वह करेगा इंटरनेट तक पूरी पहुंच दी जानी चाहिए, जो असुरक्षित है।

समूह 6: संग्रह डाउनलोड करना - समूह इंटरनेट संसाधनों तक कोई पहुंच प्रदान नहीं करता है;

समूह 7: निष्पादन योग्य फ़ाइलें डाउनलोड करना - समूह इंटरनेट संसाधनों तक कोई पहुंच प्रदान नहीं करता है;

समूह 8: इंटरनेट तक पूर्ण पहुंच - इंटरनेट संसाधनों तक पूर्ण पहुंच, किसी भी फाइल को डाउनलोड करना।

इंटरनेट संसाधनों तक पहुंच प्राप्त करने के लिए, एक कर्मचारी सर्विसडेस्क प्रणाली के माध्यम से एक अनुरोध बनाता है और, विभाग या विभाग के प्रमुख और सूचना सुरक्षा विभाग के एक कर्मचारी द्वारा अनुमोदन के बाद, कर्मचारी को अनुरोधित समूह के अनुसार इंटरनेट संसाधनों तक पहुंच प्रदान की जाती है। .

2.3.3 आंतरिक बैंक संसाधनों तक कर्मचारियों की पहुंच की प्रक्रिया

कर्मचारी के काम से संबंधित मुख्य दस्तावेज़ स्थानीय कार्यस्थल पर या उस स्वचालित प्रणाली में स्थित होते हैं जिसमें वह काम करता है। साथ ही, बैंक के प्रत्येक प्रभाग में बैंक के फ़ाइल सर्वर पर एक अनुभाग होता है जिसमें वह जानकारी संग्रहीत होती है जो प्रभाग के कई कर्मचारियों के लिए आवश्यक होती है और जो बैंक को ईमेल द्वारा प्रेषित करने के लिए आकार में बड़ी होती है।

जब किसी नए कर्मचारी को बैंक में नौकरी मिलती है, तो उसका प्रत्यक्ष पर्यवेक्षक आंतरिक बैंक संसाधन तक पहुंच के लिए सर्विसडेस्क सिस्टम के माध्यम से सिस्टम प्रशासन विभाग को एक आवेदन भेजता है, और सूचना सुरक्षा विभाग के एक कर्मचारी द्वारा आवेदन के अनुमोदन के बाद, सिस्टम प्रशासन विभाग का कर्मचारी नए कर्मचारी को अनुरोधित संसाधन तक पहुंच प्रदान करता है।

अक्सर ऐसी स्थितियाँ उत्पन्न होती हैं जिनमें बैंक के कई प्रभागों का काम एक-दूसरे से जुड़ जाता है और सूचनाओं के आदान-प्रदान के लिए इन प्रभागों को बैंक के फ़ाइल सर्वर पर एक अलग की आवश्यकता होती है।

इस अनुभाग को बनाने के लिए, परियोजना प्रबंधक, परियोजना पर काम करने की प्रक्रिया में शामिल विभागों में से एक का प्रमुख, एक साझा संसाधन के निर्माण और अपने कुछ कर्मचारियों के लिए इस संसाधन तक पहुंच के लिए सर्विसडेस्क प्रणाली के माध्यम से एक अनुरोध बनाता है। एक संयुक्त परियोजना पर काम करने वाला विभाग और उस विभाग का प्रमुख जिसके साथ वह परियोजना में सहयोग करता है। सूचना विभाग के कर्मचारी द्वारा अनुमोदन के बाद, सिस्टम प्रशासन विभाग का कर्मचारी अनुरोधित संसाधन बनाता है और अनुरोधित कर्मचारियों को उस तक पहुंच प्रदान करता है। परियोजना में भाग लेने वाले विभाग का प्रत्येक प्रमुख केवल उन कर्मचारियों के लिए पहुंच का अनुरोध करता है जो उसके अधीनस्थ हैं।

2.3.4 कर्मचारियों के लिए ईमेल का उपयोग करने की प्रक्रिया

पहले, बुनियादी सुरक्षा नीति के निर्माण से पहले, प्रत्येक कर्मचारी स्वयं बाहरी मेल सर्वर से ई-मेल द्वारा प्राप्त पत्रों और फ़ाइलों के खतरे की डिग्री निर्धारित करता था।

एक बुनियादी सुरक्षा नीति बनाने के बाद, प्रत्येक उपयोगकर्ता को बाहरी मेल सर्वर से ईमेल द्वारा प्राप्त प्रत्येक फ़ाइल को दुर्भावनापूर्ण सॉफ़्टवेयर की जाँच के लिए सूचना सुरक्षा विभाग को भेजना आवश्यक होता है, कर्मचारी स्वतंत्र रूप से पत्रों के खतरे की डिग्री निर्धारित करता है; यदि किसी बैंक कर्मचारी को उस पर संदेह हो प्राप्त संदेशयदि इसमें स्पैम या फ़िशिंग शामिल है, तो वह पत्र को पूर्ण रूप से भेजने के लिए बाध्य है, जिसमें प्रेषक के बारे में सभी आधिकारिक जानकारी शामिल है। मेलबॉक्सऔर आईपी पता, सूचना सुरक्षा विभाग को। एक संदिग्ध पत्र का विश्लेषण करने और इस पत्र के खतरे की पुष्टि करने के बाद, सूचना सुरक्षा विभाग पत्र भेजने वाले का पता सिस्टम प्रशासन विभाग को भेज देता है, और सिस्टम प्रशासन विभाग का एक कर्मचारी पत्र भेजने वाले के पते को ब्लैकलिस्ट कर देता है।

कार्यस्थल से बाहर निकलते समय हमेशा उसे ब्लॉक कर दें।

2.3.6 कर्मचारी के व्यक्तिगत डेटा तक पहुंच के नियम

रूसी संघ के श्रम संहिता के अध्याय 14 के अनुच्छेद 89 के अनुसार, एक बैंक कर्मचारी को अपने व्यक्तिगत डेटा तक पहुंचने का अधिकार है, लेकिन उसे केवल अपने आधिकारिक कर्तव्यों को पूरा करने के लिए अन्य बैंक कर्मचारियों या बैंक ग्राहकों के व्यक्तिगत डेटा को संसाधित करने की अनुमति है।

व्यक्तिगत डेटा सूचना प्रणालियों तक पहुंच पर नियंत्रण सुनिश्चित करने के लिए, बैंक ने व्यक्तिगत डेटा सूचना प्रणालियों तक पहुंच के लिए निम्नलिखित नियम स्थापित किए हैं:

केवल वे कर्मचारी जिनकी नौकरी की जिम्मेदारियों में व्यक्तिगत डेटा का प्रसंस्करण शामिल है, उन्हें आईएसपीडी तक पहुंच प्राप्त है;

व्यक्तिगत डेटा के साथ काम करने वाले कर्मचारी के स्थानीय कार्यस्थल से ही आईएसपीडी तक पहुंच की अनुमति है;

बैंक ने उन कर्मचारियों के नाम की पहचान करने वाला एक दस्तावेज़ बनाया है, जिन्हें बैंक के कर्मचारियों और ग्राहकों के व्यक्तिगत डेटा तक पहुंच की अनुमति है, जिसमें व्यक्तिगत डेटा सूचना प्रणाली और कर्मचारी द्वारा प्रसंस्करण के लिए अनुमत व्यक्तिगत डेटा की एक सूची का संकेत दिया गया है।

3. परियोजना का आर्थिक औचित्य

व्यक्तिगत डेटा सुरक्षा प्रणाली लागू करने के लिए, यह खरीदना आवश्यक है:

बैंक के नेटवर्क की सुरक्षा के लिए उपकरण;

हार्डवेयर सूचना सुरक्षा;

सूचना सुरक्षा सॉफ्टवेयर.

संगठन के नेटवर्क के पुनर्निर्माण के लिए स्विच खरीदना आवश्यक है सिस्को उत्प्रेरक 3 प्रतियों की कीमत 2960 रु. बैंक के नेटवर्क के मुख्य स्तर पर काम करने के लिए एक स्विच की आवश्यकता होती है, वितरण स्तर पर काम करने के लिए 2 अन्य स्विच की आवश्यकता होती है। नेटवर्क हार्डवेयरनेटवर्क पुनर्गठन से पहले बैंक में काम कर चुके लोग भी शामिल होंगे।

कुल लागत (आरयूबी) 9389159 613

डॉक्टर वेब एंटरप्राइज सुरक्षा सूट155005500

कुल लागत1,371,615

निष्कर्ष

अपने स्नातक प्रोजेक्ट में, मैंने व्यक्तिगत डेटा की सुरक्षा के लिए कानूनी ढांचे की समीक्षा की। मैंने व्यक्तिगत डेटा की सुरक्षा के लिए खतरों के मुख्य स्रोतों की समीक्षा की।

व्यक्तिगत डेटा के लिए संभावित खतरों के आधार पर, मैंने पीजेएससी सिटीबैंक में मौजूदा व्यक्तिगत डेटा सुरक्षा प्रणाली का विश्लेषण किया और इस निष्कर्ष पर पहुंचा कि इसमें गंभीर सुधार की आवश्यकता है।

थीसिस प्रोजेक्ट के दौरान, बैंक के स्थानीय नेटवर्क में कमजोरियों का पता चला। पता लगाने को ध्यान में रखते हुए कमजोर बिन्दुबैंक के स्थानीय नेटवर्क में, बैंक के नेटवर्क की सूचना सुरक्षा के जोखिमों को कम करने के उपाय निर्धारित किए गए हैं।

बैंक कर्मचारियों और ग्राहकों के व्यक्तिगत डेटा को संसाधित करने वाले कर्मचारियों के स्थानीय कार्यस्थलों की सुरक्षा के लिए उपकरणों और सॉफ़्टवेयर की भी समीक्षा की गई और उनका चयन किया गया।

मेरी भागीदारी से, सूचना सुरक्षा मुद्दों के बारे में कर्मचारियों की जागरूकता बढ़ाने के लिए एक प्रणाली बनाई गई।

बैंक के कर्मचारियों को इंटरनेट तक पहुंचने की प्रक्रिया को पूरी तरह से संशोधित किया गया है, और इंटरनेट एक्सेस समूहों को फिर से डिजाइन किया गया है। नए इंटरनेट एक्सेस समूह उपयोगकर्ताओं की फ़ाइलों को डाउनलोड करने और अविश्वसनीय संसाधनों तक पहुंचने की सीमित क्षमता के कारण सूचना सुरक्षा जोखिमों को महत्वपूर्ण रूप से कम करना संभव बनाते हैं।

नेटवर्क के पुनर्निर्माण और अधिकांश सूचना सुरक्षा खतरों को दूर करने में सक्षम एक व्यवहार्य व्यक्तिगत डेटा सुरक्षा प्रणाली बनाने की लागत की गणना प्रदान की गई है।

प्रयुक्त संदर्भों की सूची

1. "रूसी संघ का संविधान" (12 दिसंबर, 1993 को लोकप्रिय वोट द्वारा अपनाया गया) (30 दिसंबर, 2008 एन 6 के रूसी संघ के संविधान में संशोधन पर रूसी संघ के कानूनों द्वारा पेश किए गए संशोधनों को ध्यान में रखते हुए) -एफकेजेड, दिनांक 30 दिसंबर, 2008 एन 7-एफकेजेड, दिनांक 5 फरवरी 2014 एन 2-एफकेजेड, दिनांक 07/21/2014 एन 11-एफकेजेड) // 07 को संशोधित रूसी संघ के संविधान का आधिकारिक पाठ /21/2014 को कानूनी जानकारी के आधिकारिक इंटरनेट पोर्टल http://www.pravo.gov.ru, 08/01/2014 पर प्रकाशित किया गया था

2. "व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए खतरों का बुनियादी मॉडल" (उद्धरण) (15 फरवरी, 2008 को रूसी संघ के FSTEC द्वारा अनुमोदित)

3. 27 जुलाई 2006 का संघीय कानून एन 149-एफजेड (6 जुलाई 2016 को संशोधित) "सूचना, सूचना प्रौद्योगिकी और सूचना सुरक्षा पर" // दस्तावेज़ इस रूप में प्रकाशित नहीं किया गया था। दस्तावेज़ का मूल पाठ रोसिस्काया गज़ेटा, संख्या 165, 07/29/2006 में प्रकाशित हुआ था

4. "रूसी संघ का श्रम संहिता" दिनांक 30 दिसंबर, 2001 एन 197-एफजेड (3 जुलाई 2016 को संशोधित) (संशोधन और परिवर्धन के साथ, 3 अक्टूबर 2016 को लागू हुआ) // दस्तावेज़ प्रकाशित नहीं हुआ था इस रूप में, दस्तावेज़ का मूल पाठ रोसिस्काया गज़ेटा, एन 256, 12/31/2001 में प्रकाशित हुआ था

5. 1 नवंबर 2012 एन 1119 के रूसी संघ की सरकार का फरमान "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर" // "रॉसिस्काया गज़ेटा", एन 256, 11/07 /2012

6.रूस के एफएसटीईसी का आदेश दिनांक 18 फरवरी 2013 एन 21 "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री के अनुमोदन पर" (मंत्रालय के साथ पंजीकृत) 14 मई 2013 एन 28375 पर रूस के न्यायाधीश // "रूसी समाचार पत्र", एन 107, 05/22/2013

7. "रूस के बैंक का मानक" रूसी संघ की बैंकिंग प्रणाली के संगठनों की सूचना सुरक्षा सुनिश्चित करना। सामान्य प्रावधान "एसटीओ बीआर आईबीबीएस-1.0-2014" (17 मई 2014 एन आर-399 के बैंक ऑफ रूस के आदेश द्वारा अपनाया और लागू किया गया) // "बैंक ऑफ रूस का बुलेटिन", एन 48-49, 05.30.2014

8. "धन हस्तांतरण करते समय सूचना की सुरक्षा सुनिश्चित करने के लिए आवश्यकताओं पर विनियम और धन हस्तांतरण करते समय सूचना की सुरक्षा सुनिश्चित करने के लिए आवश्यकताओं के अनुपालन की निगरानी के लिए बैंक ऑफ रूस की प्रक्रिया" (बैंक ऑफ रूस द्वारा अनुमोदित) 06/09/2012 एन 382-पी) (दिनांक 08/14/2014 को संशोधित) (06/14/2012 एन 24575 को रूस के न्याय मंत्रालय के साथ पंजीकृत) // दस्तावेज़ इस रूप में प्रकाशित नहीं किया गया था, दस्तावेज़ का मूल पाठ "बैंक ऑफ़ रशिया के बुलेटिन", एन 32, 06/22/2012 में प्रकाशित हुआ था

9. "अपराध से प्राप्त आय और आतंकवाद के वित्तपोषण के वैधीकरण (लॉन्ड्रिंग) का मुकाबला करने पर" संघीय कानून द्वारा प्रदान की गई जानकारी को अधिकृत निकाय को जमा करने के लिए क्रेडिट संस्थानों की प्रक्रिया पर विनियम (बैंक ऑफ रूस द्वारा अनुमोदित) 29 अगस्त, 2008 एन 321-पी) (संशोधित दिनांक 10/15/2015) ("ईसीओ के प्रसारण और रिसेप्शन के दौरान सूचना सुरक्षा सुनिश्चित करने की प्रक्रिया", "ईसीओ के गठन और व्यक्तिगत भरने के नियम" के साथ) ईसीओ रिकॉर्ड के क्षेत्र") (16 सितंबर, 2008 एन 12296 को रूस के न्याय मंत्रालय के साथ पंजीकृत) // दस्तावेज़ इस रूप में प्रकाशित नहीं हुआ था, दस्तावेज़ का मूल पाठ "बैंक ऑफ़ बुलेटिन" में प्रकाशित हुआ था रूस", एन 54, 09/26/2008

10. रूस के एफएसटीईसी का आदेश दिनांक 18 फरवरी, 2013 एन 21 "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री के अनुमोदन पर" (मंत्रालय के साथ पंजीकृत) 14 मई 2013 एन 28375 पर रूस के न्यायाधीश // "रूसी समाचार पत्र", एन 107, 05/22/2013

11.एवरचेनकोव वी.आई., राइटोव एम.यू., गेनुलिन टी.आर. संगठनों में व्यक्तिगत डेटा की सुरक्षा. एम.: फ्लिंटा, 2018

12. अगापोव ए.बी. रूसी संघ में सूचनाकरण के क्षेत्र में लोक प्रशासन के मूल सिद्धांत। एम.: युरिस्ट, 2012

13. कोस्टिन ए. ए., कोस्टिना ए. ए., लतीशेव डी. एम., मोल्दोवियन ए. ए. व्यक्तिगत डेटा सूचना प्रणालियों की सुरक्षा के लिए "AURA" श्रृंखला सॉफ्टवेयर सिस्टम // Izv। विश्वविद्यालयों उपकरण बनाना. 2012. टी. 55, नंबर 11

14.मोल्डोवियन ए.ए. कंप्यूटर जानकारी की सुरक्षा के लिए क्रिप्टोग्राफी (भाग 1) // इंटीग्रल। 2014. क्रमांक 4 (18)

15. रोमानोव ओ.ए., बाबिन एस.ए., ज़दानोव एस.जी. संगठनात्मक समर्थनसूचना सुरक्षा। - एम.: अकादमी, 2016

16. शुल्ट्ज़ वी.एल., रुडचेंको ए.डी., युर्चेंको ए.वी. व्यावसायिक सुरक्षा. एम.: पब्लिशिंग हाउस "यूरेट", 2017

अनुप्रयोग (कार्य के साथ संग्रह में उपलब्ध)।

समान दस्तावेज़

व्यक्तिगत डेटा की सुरक्षा के लिए विधायी ढांचा। सूचना सुरक्षा खतरों का वर्गीकरण. व्यक्तिगत डेटा बेस. एंटरप्राइज़ LAN का डिज़ाइन और खतरे। पीसी के लिए बुनियादी सॉफ्टवेयर और हार्डवेयर सुरक्षा। बुनियादी सुरक्षा नीति.

थीसिस, 06/10/2011 को जोड़ा गया

व्यक्तिगत डेटा सुरक्षा प्रणाली बनाने के लिए पूर्वापेक्षाएँ। सूचना सुरक्षा खतरे. आईएसपीडी तक अनधिकृत पहुंच के स्रोत। व्यक्तिगत डेटा सूचना प्रणाली का डिज़ाइन। सूचना सुरक्षा उपकरण. सुरक्षा नीति।

कोर्स वर्क, 10/07/2016 जोड़ा गया

वितरित सूचना प्रणाली की संरचना और उसमें संसाधित व्यक्तिगत डेटा का विश्लेषण। वर्तमान खतरों से व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए बुनियादी उपायों और साधनों का चयन। परियोजना को बनाने और बनाए रखने की लागत का निर्धारण करना।

थीसिस, 07/01/2011 को जोड़ा गया

एंटरप्राइज़ अभिगम नियंत्रण और प्रबंधन प्रणाली। संसाधित जानकारी का विश्लेषण और आईएसपीडी का वर्गीकरण। ओजेएससी एमएमजेड की व्यक्तिगत डेटा सूचना प्रणाली एसीएस में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए खतरों के एक मॉडल का विकास।

थीसिस, 04/11/2012 को जोड़ा गया

कंप्यूटर वर्ग में स्थित व्यक्तिगत डेटा सूचना प्रणाली को सुसज्जित करने के लिए मुख्य तकनीकी समाधानों का विवरण। एंटी-वायरस सुरक्षा सबसिस्टम। सूचना सुरक्षा उपायों के कार्यान्वयन की तैयारी के लिए गतिविधियाँ।

पाठ्यक्रम कार्य, 09/30/2013 को जोड़ा गया

प्रलेखित जानकारी की गोपनीयता और सुरक्षा। संगठन की गतिविधियों में प्रयुक्त व्यक्तिगत डेटा के प्रकार। उनकी सुरक्षा सुनिश्चित करने के क्षेत्र में कानून का विकास। रूसी संघ की सूचना सुरक्षा सुनिश्चित करने के तरीके।

प्रस्तुति, 11/15/2016 को जोड़ा गया

सूचना सुरक्षा जोखिम विश्लेषण। सुरक्षा के मौजूदा और नियोजित साधनों का आकलन। सूचना सुरक्षा और उद्यम सूचना की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक उपायों का एक सेट। परियोजना कार्यान्वयन और उसके विवरण का परीक्षण उदाहरण।

थीसिस, 12/19/2012 को जोड़ा गया

रूस में सूचना सुरक्षा के क्षेत्र में नियामक दस्तावेज़। सूचना प्रणालियों के लिए खतरों का विश्लेषण। क्लिनिक की व्यक्तिगत डेटा सुरक्षा प्रणाली के संगठन की विशेषताएं। इलेक्ट्रॉनिक कुंजियों का उपयोग करके प्रमाणीकरण प्रणाली का कार्यान्वयन।

थीसिस, 10/31/2016 को जोड़ा गया

सामान्य जानकारीउद्यम की गतिविधियों के बारे में। उद्यम में सूचना सुरक्षा वस्तुएँ। सूचना सुरक्षा के उपाय एवं साधन. डेटा को हटाने योग्य मीडिया में कॉपी करना। एक आंतरिक बैकअप सर्वर स्थापित करना। सूचना सुरक्षा प्रणाली में सुधार की दक्षता.

परीक्षण, 08/29/2013 को जोड़ा गया

सूचना के लिए मुख्य खतरे. डेटा सुरक्षा सुनिश्चित करने की अवधारणाएँ, तरीके और तरीके। सुरक्षा प्रणाली के लिए आवश्यकताएँ. उपयोगकर्ता प्रकार निर्धारित करने के लिए इन्फोबेस में एक प्राधिकरण तंत्र। सुरक्षा व्यवस्था के साथ प्रशासक का कार्य.