Diplomski rad na temu: Razvoj sustava zaštite osobnih podataka u poduzeću PJSC Citibank. Kako osigurati zaštitu osobnih podataka u poduzeću Pisani pristanak za obradu osobnih podataka

Sigurnost osobnih podataka u banci

Što su osobni podaci?

Prema definiciji iz saveznog zakona, osobni podatak je svaki podatak koji se odnosi na pojedinca koji je identificiran ili utvrđen na temelju takvih podataka (subjekt osobnih podataka), uključujući njegovo prezime, ime, patronim, godinu, mjesec, datum i mjesto. rođenje, adresa, obiteljsko, socijalno, imovinsko stanje, obrazovanje, zanimanje, prihod, drugi podaci.

Gdje se nalaze osobni podaci?

Osobni podaci (PD) u banci se nalaze u sljedećim sustavima:

Automatizirani bankarski sustav (ABS);

Sustavi klijent-banka;

Sustavi za trenutni prijenos novca;

Računovodstveni sustavi;

Računovodstveni sustavi osoblja;

Korporativni informacijski sustav;

Interni web portal.

PD može biti prisutan na papirnatim dokumentima (ugovori, obrasci, nalozi, upute, upitnici, ugovori i dr.).

Koji dokumenti utvrđuju zahtjeve za zaštitu osobnih podataka?

Savezni zakoni

Savezni zakon br. 149-FZ od 27. srpnja 2006. "O informacijama, informacijskim tehnologijama i zaštiti informacija";

Vladine uredbe

Uredba Vlade Ruska Federacija br. 781 od 17. studenog 2007. „O odobrenju pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijski sustavi osobni podaci";

Uredba Vlade Ruske Federacije br. 957 od 29. prosinca 2007. „O odobrenju propisa o licenciranju određenih vrsta aktivnosti povezanih s enkripcijskim (kriptografskim) sredstvima”;

Uredba Vlade Ruske Federacije br. 687 od 15. rujna 2008. "O odobrenju propisa o posebnostima obrade osobnih podataka bez upotrebe alata za automatizaciju."

FSTEC Rusije

Zajednički nalog FSTEC-a Rusije, FSB-a Rusije i Ministarstva informacija i komunikacija Rusije od 13. veljače 2008. br. 55/86/20 „O odobrenju postupka klasifikacije informacijskih sustava osobnih podataka”;

Vodeći dokument FSTEC-a Rusije “Osnovni model prijetnji sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka”;

Vodeći dokument FSTEC-a Rusije “Metodologija za određivanje trenutnih prijetnji sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka”;

Naredba FSTEC-a Rusije od 5. veljače 2010. br. 58 „O odobrenju propisa o metodama i sredstvima zaštite podataka u osobnim podacima.”

FSB Rusije

Naredba FAPSI br. 152 od 13. lipnja 2001. „O odobrenju uputa o organiziranju i osiguravanju sigurnosti pohrane, obrade i prijenosa putem komunikacijskih kanala korištenjem sredstava kriptografska zaštita podaci s ograničenim pristupom koji ne sadrže podatke koji predstavljaju državnu tajnu”;

Naredba FSB-a Ruske Federacije od 9. veljače 2005. br. 66 „O odobrenju propisa o razvoju, proizvodnji, prodaji i radu sredstava za šifriranje (kriptografskih) informacijskih sigurnosnih sredstava (propisi PKZ-2005)”;

Vodeći dokument FSB-a Rusije od 21. veljače 2008. br. 149/54-144 „Metodološke preporuke za osiguranje sigurnosti osobnih podataka korištenjem kripto-sredstava pri njihovoj obradi u informacijskim sustavima osobnih podataka pomoću alata za automatizaciju”;

Vodeći dokument FSB-a Rusije od 21. veljače 2008. br. 149/6/6-622 „Standardni zahtjevi za organizaciju i osiguranje funkcioniranja enkripcijskih (kriptografskih) sredstava namijenjenih zaštiti informacija koje ne sadrže informacije koje predstavljaju državnu tajnu, ako koriste se za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka”;

Standard Banke Rusije

STO BR IBBS-1.0-2010 „Osiguranje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Opće odredbe«;

STO BR IBBS-1.1-2007 „Osiguranje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Revizija informacijske sigurnosti“;

STO BR IBBS-1.2-2010 „Osiguranje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Metodologija za procjenu usklađenosti informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima STO BR IBBS-1.0-20xx";

RS BR IBBS-2.0-2007 “Osiguranje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Smjernice za dokumentaciju iz područja informacijske sigurnosti u skladu sa zahtjevima STO BR IBBS-1.0";

RS BR IBBS-2.1-2007 “Osiguranje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Smjernice za samoprocjenu usklađenosti informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima STO BR IBBS-1.0";

RS BR IBBS-2.3-2010 „Pružanje informacijske sigurnosti organizacijama bankarskog sustava Ruske Federacije. Zahtjevi za osiguranje sigurnosti osobnih podataka u informacijskim sustavima osobnih podataka organizacija bankarskog sustava Ruske Federacije";

RS BR IBBS-2.4-2010 „Pružanje informacijske sigurnosti organizacijama bankarskog sustava Ruske Federacije. Industrijski model prijetnji sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima PD organizacija banaka bankarskog sustava Ruske Federacije";

Metodološke preporuke za ispunjavanje zakonskih zahtjeva pri obradi osobnih podataka u organizacijama RF BS, koje su zajednički razvili Banka Rusije, ARB i Udruga regionalnih banaka Rusije (Udruga Rossiya).

Kako treba zaštititi osobne podatke?

Prema zahtjevima metodoloških dokumenata za PD zaštitu, sljedeći su podsustavi zajednički za sve vrste ISPD-a:

Podsustav kontrole pristupa;

Registracijsko-računovodstveni podsustav;

Podsustav integriteta;

Vatrozidni sigurnosni podsustav.

Ukoliko je ISPD spojen na Internet potrebno je dodatno koristiti sljedeće podsustave:

Antivirusni sigurnosni podsustav;

Podsustav za detekciju upada;

Podsustav sigurnosne analize.

Također je potrebno koristiti elektronske brave i/ili elektronički ključevi za pouzdanu identifikaciju i autentifikaciju korisnika.

Ukoliko se PDIS distribuira dodatno radi sprječavanja neovlaštenog pristupa odvajanjem zaštićenih informacija od javno dostupnih informacija, potrebno je koristiti kriptografiju prilikom prijenosa PD nezaštićenim komunikacijskim kanalima, kao i digitalni potpis za potvrdu autentičnosti podataka.

Ovakva podjela na podsustave i formiranje na temelju njih liste proizvoda za zaštitu osobnih podataka opće je prihvaćena i koristi se u većini slučajeva.

Od čega je potrebno zaštititi osobne podatke?

Ako je zadatak osigurati samo povjerljivost osobnih podataka, potrebno je provoditi mjere i/ili koristiti tehnička sredstva usmjerena na sprječavanje neovlaštenog pristupa, onda takav informacijski sustav postaje tipičan.

Ako se postavljaju dodatni zahtjevi za osiguranje drugih svojstava informacijske sigurnosti, kao što su osiguranje integriteta, dostupnosti, kao i njihovih izvedenica (neporecivost, odgovornost, primjerenost, pouzdanost itd.), tada takav ISPD postaje poseban. U većini slučajeva svaki ISPD će biti poseban, odnosno, osim klasa PD-a, za određivanje zaštitnih mehanizama morate se voditi modelom prijetnji stvorenim za tu svrhu.

Kako smanjiti razred PD?

Kako bi smanjile i pojednostavile mjere zaštite osobnih podataka, banke se služe raznim trikovima. U nastavku predstavljam najtipičnije načine smanjenja troškova zaštitne opreme. Međutim, takvo “precrtavanje” informacijskih sustava Banke samo po sebi prilično je složen i dugotrajan zadatak.

Smanjenje broja stranica

Kao što je gore pokazano, ako je ISPD distribuiran, tada se postavljaju povećani zahtjevi za njegovu zaštitu; kako biste ih smanjili, morate se pokušati odmaknuti od distribuiranog ISPD-a.

Kod distribuiranog ISPD-a, PD se nalaze na različitim lokacijama, PD se prenose komunikacijskim kanalima koje Banka ne kontrolira, što općenito znači da PD izlazi ili napušta kontrolirano područje. Zatim, prije svega, potrebno je lokalizirati PD, smanjujući broj mjesta na kojima će se nalaziti. U nekim slučajevima to je moguće, ali ako uzmemo u obzir ABS, onda to najvjerojatnije neće biti moguće.

Smanjenje broja poslužitelja

Ako je PDIS lokalni, odnosno djeluje unutar lokalne mreže Banke, tada bi najlakši način za smanjenje troškova zaštite bio smanjenje broja poslužiteljske opreme na kojoj je PD prisutan i/ili obrađen.

Smanjenje broja radnih mjesta i osoblja

S bilo kojom vrstom ISPD-a (u obliku automatiziranog radnog mjesta, lokalnog, distribuiranog), konačnu obradu PD-a obično provodi osoblje Banke. Ako ne koristite terminalski pristup, o čemu će biti riječi u nastavku, ima smisla smanjiti broj osoblja Banke koje je uključeno u obradu osobnih podataka ili ima pristup istima.

IC odvajanje pomoću vatrozida

Kako bismo smanjili količinu osobnih podataka, a time i troškove zaštitne opreme, na dobar način je podjela informacijske mreže na segmente u kojima se obrađuje PD. Za to je potrebno instalirati i koristiti vatrozid, na čije portove treba spojiti segmente s PD-om. Često se sva poslužiteljska oprema nalazi u demilitariziranoj zoni, odnosno u segmentima odvojenim vatrozidima od javne i bankarske mreže. Ova metoda također zahtijeva značajno "precrtavanje" informacijskih mreža. Postoji metoda koja se temelji na takozvanoj "linearnoj enkripciji", odnosno šifriranju kanala klijent-klijent, klijent-poslužitelj, poslužitelj-poslužitelj. Takva enkripcija mrežnog prometa može se implementirati pomoću posebnih sigurnosnih alata i standardne IPSec tehnologije, ali nije certificirana od strane FSB-a Rusije, što je njen značajan nedostatak.

Drugi način dijeljenja ISPD-a kroz cijelu mrežu mogla bi biti tehnologija virtualne mreže– VLAN, ali zapravo VLAN je samo identifikator u jednom od polja mrežnog paketa, što nam omogućuje da o ovoj tehnologiji govorimo kao o “IT”. Stoga vas dijeljenje mreža pomoću VLAN-ova ne izuzima od korištenja tehnologija informacijske sigurnosti.

Dijeljenje baze podataka na dijelove

Pretpostavimo da postoji baza podataka koja se sastoji od tisuća zapisa: Puno ime. i iznos depozita.

Kreirajmo još dvije baze podataka. Unesite dodatni jedinstveni identifikator. Podijelimo tablicu na dva dijela, u prvi ćemo staviti polja Ime i prezime i ID, u drugi ID i iznos depozita.

Dakle, ako svaki zaposlenik može obrađivati ​​samo jednu od ovih novih baza podataka, onda je zaštita osobnih podataka uvelike pojednostavljena, ako ne i poništena. Očito je vrijednost takve baze znatno niža od izvorne. Obje baze podataka bit će smještene na najsigurnijem poslužitelju. Međutim, u stvarnosti postoji mnogo više polja u bazi podataka ovo načelo može raditi u gotovo svakom slučaju, jer broj polja koja su značajna sa stajališta sigurnosti osobnih podataka nije tako velik, već prilično ograničen. U ekstremnim slučajevima možete pohraniti podudaranja ključeva na računalo koje nije dio lokalna mreža ili čak ne koristiti automatiziranu obradu.

Depersonalizacija osobnih podataka

Prema definiciji iz 152-FZ, depersonalizacija osobnih podataka su radnje uslijed kojih je nemoguće utvrditi pripadaju li osobni podaci određenom subjektu osobnih podataka. Iz ove definicije proizlazi niz metoda kojima je moguće dobiti PD, a kojima je nemoguće utvrditi identitet PD. Na primjer, ako točni podaci određenih polja nisu važni za potrebe obrade, možete ih ne prikazati ili prikazati samo raspone u koje spadaju. Na primjer, dob 20-30, 30-40 itd. Adresa se može "zaokružiti" na okrug, okrug ili grad: Tsaritsyno, Yuzhny, Moskva. Ovisno o potrebi, proces depersonalizacije osobnih podataka može biti reverzibilan ili nepovratan. Nepovratni uključuje gore navedene metode "zaokruživanja", a reverzibilni, na primjer, enkripciju. S moje točke gledišta, enkripcija (kodiranje) može biti način depersonalizacije podataka i trebala bi se koristiti u te svrhe.

Tanki klijenti i pristup terminalima

Korištenje tehnologija “thin client” i pripadajuće tehnologije terminalskog pristupa na poslužiteljima može značajno smanjiti zahtjeve za zaštitom osobnih podataka. Činjenica je da pri korištenju „tankih klijenata“ i terminalnog pristupa na osobnim računalima zaposlenika Banke nema potrebe za instaliranjem specijaliziranih softvera, poput klijentskih dijelova baza podataka, klijentskih dijelova jezgre bankovnih sustava i sl. Štoviše, nema potrebe za instaliranjem posebnih zaštitnih alata na računala zaposlenika Banke. Te tehnologije omogućuju vam prikaz informacija iz baza podataka pohranjenih na poslužiteljima na vašem radnom mjestu i upravljanje obradom osobnih podataka. Ove tehnologije su a priori sigurne, jer Politike terminala mogu lako ograničiti mogućnost krajnjih klijenata (osoblja Banke) da kopiraju i stoga distribuiraju osobne podatke. Komunikacijski kanal između poslužitelja i osobnog računala s “tankim klijentom” lako se šifrira, tj na jednostavne načine Može se osigurati povjerljivost prenesenih podataka.

Brzina potencijalnog curenja podataka bit će ograničena samo vizualnim kanalom koji je određen brzinom kamere ili video kamere, no uvođenjem posebnih organizacijskih mjera takvo kopiranje postaje vrlo otežano.

Kako zaštititi osobne podatke?

U širem smislu, osiguranje zaštite od neovlaštenog pristupa podrazumijeva skup organizacijskih i tehničkih mjera. Ove se aktivnosti temelje na razumijevanju mehanizama za sprječavanje neovlaštenog pristupa na različitim razinama:

Identifikacija i autentifikacija (također dvofaktorska ili jaka). To može biti (operativni sustav, infrastrukturni softver, aplikacijski softver, hardver kao što su ključevi);

Registracija i računovodstvo. To može biti logiranje (bilježenje, logovanje) događaja u svim gore navedenim sustavima, softverima i alatima);

Osiguravanje integriteta. To može uključivati ​​izračunavanje kontrolnih zbrojeva kontroliranih datoteka, osiguravanje integriteta softverskih komponenti, korištenje zatvorenog softverskog okruženja, kao i osiguravanje pouzdanog učitavanja OS-a);

Vatrozid, i gateway i lokalni;

Antivirusna sigurnost (koriste se do tri razine obrane, tzv. slojeviti ili multi-vendor pristup);

Kriptografija (funkcionalno primijenjena na različitim razinama OSI modela (mreža, transport i više), te pruža različite sigurnosne funkcionalnosti).

Ima ih nekoliko složeni proizvodi, nakon što je razvio NSD funkcionalnost. Svi se razlikuju po vrstama aplikacija, hardverskoj podršci, softveru i topologiji implementacije.

Kada se ISPD distribuira ili povezuje s javnom mrežom (Internet, Rostelecom itd.), koriste se proizvodi za sigurnosnu analizu (MaxPatrol tvrtke Positive Technologies, koja nema izravnih konkurenata u Ruskoj Federaciji), kao i detekcija i prevencija upada (IDS /IPS) - kao na razini pristupnika i na razini krajnjeg čvora.

Kako možete prenijeti osobne podatke?

Ako je PDIS distribuiran, to znači potrebu za prijenosom PD preko nezaštićenih komunikacijskih kanala. Usput, "zračni" kanal također se odnosi na nezaštićeni kanal. Za zaštitu osobnih podataka u komunikacijskim kanalima mogu se koristiti različite metode:

Enkripcija komunikacijskog kanala. Može se osigurati na bilo koji način, kao što je VPN između pristupnika, VPN između poslužitelja, VPN između radnih stanica (InfoTecs ViPNet Custom, Informzashchita APKSh Kontinent, itd.);

MPLS paketna komutacija. Paketi se prenose različitim stazama u skladu s oznakama koje dodjeljuje mrežna oprema. Na primjer, MPLS mreža Rostelecoma ima potvrdu o usklađenosti mreže za komutaciju paketa sa zahtjevima informacijske sigurnosti FSTEC-a Rusije, što je jamstvo visoke sigurnosti usluga koje se pružaju na temelju nje;

Šifriranje dokumenata. Može se koristiti na razne načine softver za šifriranje podatkovnih datoteka, kao i kontejnerskih datoteka (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt itd.);

Šifriranje arhiva. Mogu se koristiti različiti arhivari koji vam omogućuju arhiviranje i šifriranje datoteka pomoću kriptografskih algoritama kao što je AES. (WinRAR, WinZIP, 7-ZIP itd.).

Trebam li koristiti certificiranu zaštitnu opremu?

Danas postoji samo jedan zahtjev FSTEC-a Rusije koji se odnosi na certifikaciju sredstava za zaštitu osobnih podataka. Zahtjev se odnosi na pružanje nedeklariranih sposobnosti razine 4, pa ću o zadnjem pitanju dati samo tri teze:

Sustav certificiranja zaštitne opreme je dobrovoljan;

Dovoljno je pridržavati se zakonskih zahtjeva;

Nema potrebe certificirati informacijski sustav osobnih podataka u cjelini.

Šauro Evgenij

Dzhabrail Matiev, voditelj zaštite osobnih podataka za komercijalni dio tvrtkeReignVox

Konstantan rad s ogromnim količinama podataka o klijentima zahtijeva banku bilo kojeg formata stalni posao u području zaštite ovih podataka.

Zato je tema informacijske sigurnosti, a s njom i tema povjerenja, posebno aktualna u financijskom sektoru. Štoviše, zahtjev za zaštitom svih osobnih podataka uključenih u strukturu informacijskog sustava moderne financijske tvrtke također je zakonski opravdan - Savezni zakon br. 152 „O osobnim podacima” jasno obvezuje svaku tvrtku koja obrađuje te podatke da ih štiti unutar strogog definirani vremenski okvir. I novi i postojeći informacijski sustavi koji obrađuju osobne podatke moraju se uskladiti sa zakonskim zahtjevima do 1. siječnja 2011. godine. Uz tako stroge vremenske okvire, organizacije koje obrađuju takve informacije imaju sve manje vremena za usklađivanje sa zakonskim zahtjevima.

Gdje početi raditi na zaštiti osobnih podataka? Koji vremenski okvir možete očekivati ​​za rad? Kome treba povjeriti posao? Kolika je prosječna cijena projekta i kako minimizirati troškove? Sva ova pitanja danas su relevantna za svaku tvrtku koja posluje u financijskom sektoru. Bogato iskustvo ReignVox-a u području zaštite osobnih podataka u financijskim institucijama omogućuje nam davanje stručnih odgovora na njih.

Život je u načinu odbrojavanja

Savezni zakon br. 152 “O osobnim podacima” stupa na snagu 1. siječnja 2011. - više od šest mjeseci prije roka koji su odredili zakonodavci. Ali nemojte se prepustiti pogrešnom dojmu da imate previše vremena.

Prvo, provedba projekta koji je usmjeren na ispunjavanje uvjeta zaštite osobnih podataka traje od četiri do šest mjeseci, ovisno o njegovoj složenosti. Ali ni ova brojka nije konačna - termini se mogu povećati na šest do osam mjeseci zbog razdoblja koje će banka potrošiti na odabir dostojnog integratora za razvoj i održavanje projekta. Samostalno obavljanje ove vrste posla za banku je prepuno gubitka objektivnosti u fazi pregleda i analize, sredstava zaštite koja u njoj postoje, kao i potrebe za pronalaženjem posebnih radnih resursa za ovaj posao. U ovom slučaju također biste trebali imati na umu čimbenike kao što su dostupnost stručnjaka obučenih u području zaštite osobnih podataka, potrebna količina regulatorne i metodološke podrške te besplatni resursi za sam zadatak zaštite osobnih podataka. Praksa pokazuje da obično integratori trećih strana u potpunosti ispunjavaju sve ove zahtjeve.

Drugo, da se vratimo na temu rokova koje Zakon “o osobnim podacima” postavlja za operatere podataka (a to što su banke upravo takvi operateri više u principu nije problem), ma što oni govorili o njihovom “prijenosu” , već se provode prve regulatorne provjere. Zaključak je sasvim logičan: relevantnost problema ne samo da je ostala, već je značajno porasla, a njegovo rješavanje postaje hitna potreba.

“A lijes se upravo otvorio...”

O zadaći usklađivanja ISPD-a s odredbama Zakona o osobnim podacima nedavno se vode aktivne rasprave čiji se rezultat u osnovi svodi na jedno: rješavanje ovog problema vrlo je problematično zbog kombinacije njegove organizacijske i pravne značajke. Ovaj zaključak nije posve točan: praksa primjene zahtjeva za zaštitu osobnih podataka, koja se pojavila tijekom prvog tromjesečja 2010. (uključujući i bankarski sektor), potvrđuje razumljivost i interpretabilnost zahtjeva za ISPD. Njihova formulacija, implementacija i dokumentarna potvrda potonjeg uz minimalan rizik od bilo kakvih pogrešaka nije toliko teška u implementaciji koliko je važna sa stajališta sigurnosti bankovnog poslovanja. Zadatak je dodatno pojednostavljen mogućnošću delegiranja integratoru treće strane, čiji će stručnjaci što brže i profesionalnije dovršiti projekt zaštite osobnih podataka, uzimajući u obzir individualne karakteristike bankarskog poslovanja.

Stoga prvi prioritet postaje izbor tvrtke integratora kojoj će se povjeriti vođenje projekta.

"Standardno" = "Ekskluzivno"?

Takav znak jednakosti između ovih međusobno isključivih pojmova ima pravo postojati. Ovu izjavu podupire praktično iskustvo uspješnih projekata zaštite osobnih podataka koje je ReignVox već završio.

S jedne strane, svaki takav projekt uključuje standardni broj faza: fazu pregleda informacijskih sustava osobnih podataka, fazu projektiranja sustava zaštite osobnih podataka, fazu implementacije PDSDN-a, fazu ocjene usklađenosti PDSDN-a i fazu procjene usklađenosti PDSDN-a. sa zahtjevima zakona, te fazi podrške stvorenom sustavu. Štoviše, procjena usklađenosti s ISPD-om, kao faza, nije obavezna i provodi se prema nahođenju tvrtke kupca. Kao i faza podrške stvorenom sustavu.

Tipičnost obično prestaje u prvoj fazi (fazi istraživanja informacijskih sustava), budući da upravo ta faza omogućuje identifikaciju i opis onih zahtjevi koji će se u budućnosti postaviti pred sustave. I ti su parametri već individualni i usmjereni na svakog pojedinog kupca, optimizirani u skladu s njegovim potrebama.

Tijekom ovog istraživanja analiziraju se izvori informacija, standardna rješenja, koji se koristi u izgradnji informatičke infrastrukture, informacijskih tokova osobnih podataka, postojećih sustava i sredstava zaštite informacija.

U istoj fazi razvija se model prijetnji i PD narušitelja sigurnosti te se procjenjuje potreba osiguranja PD sigurnosti u ISPD-u korištenjem kriptotehnika.

Klasična shema za drugu fazu uključuje reviziju regulatornog okvira i ocjenu njegove usklađenosti s regulatornim zahtjevima. Njegov rezultat je izrada internih dokumenata koji nedostaju, kao i izrada tehničke specifikacije za izradu SPD-a. U istoj fazi integrator započinje izravni razvoj skupa mjera za zaštitu informacija.

Na kraju ove faze, banka je sasvim sposobna uspješno proći inspekciju jednog od regulatora.

Suština treće faze svodi se na implementaciju sustava i konfiguraciju postojećih sigurnosnih mjera. Nakon ispitivanja, ako je potrebno, kompleks tehničkih i softver.

U svakoj od opisanih faza ReignVox se kao integrator suočava s različitim dodatne zadatke, određeno specifičnostima poslovanja koje obavlja tvrtka kupac, njegovom veličinom, infrastrukturom, aktivnošću poslovnih procesa i mnogim drugim točkama. A od mnoštva takvih komponenti svaki put se oblikuje novi, individualno prilagođeni projektni koncept zaštite osobnih podataka.

“...i ovce su na sigurnom”

Minimiziranje troškova, optimizacija proračuna, štednja - bez obzira koju sintagmu odabrali, bit će ostati ista - racionalan pristup korištenju novčanih sredstava - to je drugi kamen temeljac uspjeha financijske strukture (nakon povjerenja, tečaj). Stoga je želja da se troškovi što više smanje bez ugrožavanja informacijske sigurnosti prirodna i sasvim ostvariva.

Trošak prosječnog standardnog projekta za stvaranje sustava zaštite osobnih podataka za bankovnu strukturu iznosi oko 1,5 milijuna rubalja. Prilikom izračuna ovog iznosa uzimaju se u obzir brojna načela, nakon kojih se može smanjiti proračun za stvaranje sustava zaštite osobnih podataka.

Prije svega, nastojimo što više očuvati IT infrastrukturu koja već postoji u organizaciji. Obično se govori o dva polarna scenarija zaštite osobnih podataka. Prvi je radikalna prerada svih ISPD-ova, a drugi je formalan, koji se sastoji samo od izdavanja internih regulatornih dokumenata, bez ikakvih promjena u ISPD-u. Optimalnom smatramo treću opciju, koja se sastoji upravo u održavanju postojeće informatičke infrastrukture banke, popraćenoj modificiranjem nekih njezinih elemenata i dodavanjem novih potrebnih za usklađenost sa zakonom.

U ovom slučaju govorimo o prvom principu, na temelju maksimalno korištenje postojećih alata za informacijsku sigurnost pri projektiranju sustava informacijske sigurnosti. Zaštitna sredstva u svakoj tvrtki koriste se neovisno o potrebi zaštite osobnih podataka, a to uključuje antivirusne sustave zaštite i ugrađene alate za kontrolu pristupa operacijski sustav, vatrozid i mnoge druge alate. Stoga je najveći broj zahtjeva pokriven postojećim sigurnosnim mjerama. I samo ako neki zahtjevi nisu ispunjeni trenutnim sredstvima zaštite, potrebno je kupiti i implementirati dodatne.

Drugi princip je princip ekonomično logičko strukturiranje informacijskih sustava osobni podaci. Po ovom principu, u sklopu implementacije projekta zaštite osobnih podataka u banci, postaje ekonomski isplativo spajanje više sustava smještenih u istoj prostoriji u jedan, u kombinaciji s degradiranjem nekritičnih segmenata. Tako se stvara ISPD “Centar za obradu podataka” u kojem je osigurana zaštita duž perimetra. To vam omogućuje značajno smanjenje troškova odvajanja tokova unutar različitih sustava.

Načelo tri - štiti samo od trenutnih prijetnji. Istodobno, ažuriranje prijetnji opisano je u dokumentu potrebnom za posebne sustave, pod nazivom “Threat Model”. Prilikom ažuriranja prijetnji odbacuju se one čija je vjerojatnost mala, a šteta pri implementaciji mala.

Uz korištenje već provjerenih metoda, zadatak usklađivanja ISPD-a bilo koje banke sa zahtjevima zakona do 1. siječnja 2011. u potpunosti je ostvariv. Za maksimalan uspjeh u implementaciji takvih tehnologija u bankarski sektor, još uvijek je potrebno zapamtiti integrirani pristup radu na projektu. U ovom slučaju mislimo na organizaciju zajedničkog rada stručnjaka iz različitih odjela - stručnjaka za IT tehnologije, informacijsku sigurnost i upravljanje projektima, financijera, pravnika - jamčeći usklađenost s potrebnom ravnotežom ukupnog pristupa zaštiti kritičnih podataka unutar financijske strukture .

Referenca: ReignVox je ruska tvrtka specijalizirana za inovativne projekte i razvoj u području informacijske tehnologije i osiguravanje njihove informacijske sigurnosti.

Svrha stvaranja tvrtke je pružanje usluga za osiguranje zaštite osobnih podataka u skladu sa zahtjevima Zakona o osobnim podacima Savezni zakon br. 152 od 27. srpnja 2006. i izgradnja sveobuhvatnih sustava informacijske sigurnosti.

ReignVox je član međuregionalne javne organizacije "Udruga za informacijsku sigurnost" (IPO "AZI"), pridruženi član "Infocommunication Union", a također je član Udruge regionalnih banaka Rusije.

ReignVox ima značajno iskustvo u uspješnoj provedbi projekata zaštite osobnih podataka u velikim poslovnim bankama. Među klijentima su NOTA-Bank, Vnesheconombank, CentroCredit, Tempbank, Alta-Bank itd.

Procjena:

UVOD

Relevantnost. U moderni svijet informacije postaju strateški resurs, jedno od glavnih bogatstava gospodarski razvijene države. Brzi napredak informatizacije u Rusiji, njezin prodor u sve sfere vitalnih interesa pojedinca, društva i države, uzrokovao je, osim nedvojbenih prednosti, pojavu niza značajnih problema. Jedna od njih bila je potreba za zaštitom informacija. S obzirom da je trenutno gospodarski potencijal sve više određen stupnjem razvijenosti informacijske strukture, proporcionalno raste i potencijalna ranjivost gospodarstva na informacijske utjecaje.

Širenje računalni sustavi, njihovim spajanjem u komunikacijske mreže povećavaju se mogućnosti elektroničkog prodora u njih. Problem računalnog kriminala u svim zemljama svijeta, bez obzira na njihov zemljopisni položaj, zahtijeva privlačenje sve veće pozornosti javnosti i nastojanja da se organizira borba protiv ove vrste kriminala. Posebno su rašireni zločini u automatiziranim bankarskim sustavima i e-trgovini. Prema inozemnim podacima, gubici banaka kao posljedica računalnog kriminala godišnje iznose više milijardi dolara. Iako stupanj implementacije najnovijih informatičkih tehnologija u praksi u Rusiji nije tako značajan, računalni kriminal se svakim danom sve više osjeća, a zaštita države i društva od njih postala je super zadatak nadležnih tijela.

Nitko ne sumnja u relevantnost pitanja zaštite osobnih podataka. To je prije svega zbog roka postavljenog za usklađivanje informacijskih sustava osobnih podataka (PDIS) sa Saveznim zakonom br. 152-FZ od 27. srpnja 2006. "O osobnim podacima". Taj se rok neumoljivo približava, au isto vrijeme očita poteškoća u ispunjavanju zahtjeva regulatornih smjernica izaziva mnogo kontroverzi i dvosmislenih tumačenja. Istodobno, tajnost pojedinih upravnih dokumenata, njihov neodređen pravni status, kao i niz drugih pitanja, ne pridonose rješavanju problema. Sve to stvara situaciju u kojoj regulatorni okvir nije dovršen, te je potrebno sada uskladiti zakonske uvjete.

svibnja 2009. održan prvi sastanak radna skupina o problematici osobnih podataka u ARB-u. Na skupu su, tijekom otvorene rasprave, vrlo jasno identificirana problematična područja koja zabrinjavaju bankarsku zajednicu. Uglavnom su se ticali tehnička zaštita osobni podaci i buduća interakcija između financijskih institucija i FSTEC-a. Predstavnici Banke Rusije najavili su u svom govoru razvoj događaja u organiziranju provedbe zakona "O osobnim podacima". Pokušaji Banke Rusije da pronađe kompromis s regulatorima u vezi s formuliranjem tehničkih zahtjeva za bankarsku zajednicu mogu se nazvati temeljno novim i važnim. Posebno bih želio istaknuti aktivnost Središnje banke Ruske Federacije u suradnji s FSTEC-om Rusije. Uzimajući u obzir veliki broj poteškoća u ispunjavanju zahtjeva upravljačkih dokumenata FSTEC-a, Banka Rusije odlučila je pripremiti vlastite dokumente (nacrte dokumenata), koji su trenutno u skladu s FSTEC-om. Može se pretpostaviti da postoji velika vjerojatnost pojave novog industrijskog standarda za financijske institucije o osobnim podacima.

Svrha kolegija je proučavanje načina zaštite osobnih podataka u sustavima internetskog bankarstva.

Za postizanje cilja riješeni su sljedeći zadaci:

proučavanje pristupa i osnovnih načela osiguranja sigurnosti;

određivanje metoda i sredstava osiguranja sigurnosti;

utvrđivanje značajki osiguranja sigurnosti osobnih podataka u sustavima internetskog bankarstva;

razvoj mjera za osiguranje sigurnosti osobnih podataka u sustavima internetskog bankarstva.

Predmet proučavanja su bankarski informacijski sustavi.

Predmet istraživanja je sigurnost osobnih podataka u sustavima internetskog bankarstva.

Teorijska i metodološka osnova istraživanja temeljila se na teorijskim postavkama, radu znanstvenika i istraživanjima stručnjaka o problematici informiranja.

Metodološka osnova kolegija bio je sustavni pristup proučavanju sigurnosnih problema.

Korištene su logička, poredbenopravna i sistemska analiza. Osim toga, korištena metoda strukturne analize omogućuje nam da s potrebnom pažnjom proučavamo pojedine sastavnice fenomena koji proučavamo i analiziramo međusobni odnos tih elemenata, kao i s ukupnom cjelinom.

1. Teorijski aspekti zaštite osobnih podataka u sustavima internetskog bankarstva

1.1 Pristupi, načela sigurnosti

Osiguranje sigurnosti informacijskih sustava podrazumijeva mjere kojima se informacijski sustav štiti od slučajnih ili namjernih smetnji u načinima rada.

Dva su temeljna pristupa osiguravanju računalne sigurnosti.

Prvi od njih je fragmentiran, unutar njegovog okvira postoji fokus na suprotstavljanje strogo definiranim prijetnjama pod određenim uvjetima (na primjer, specijalizirani antivirusni alati, samostalni alati za šifriranje itd.). Pristup ima obje prednosti - sugerira visoku razinu selektivnosti u odnosu na strogo definiran problem, i nedostatke - sugerira fragmentaciju zaštite - t.j. strogo definirani elementi.

Proces upravljanja informacijskom sigurnošću uključuje komponente prikazane na sl. 1.

Drugi pristup je sustavan, njegova posebnost je da se u njegovom okviru zaštita informacija tretira na širem planu – stvara se sigurno okruženje za obradu, pohranu i prijenos informacija koje kombinira heterogene metode i sredstva suprotstavljanja prijetnjama: softverske i hardverske, pravne, organizacijski i ekonomski. Kroz navedeno sigurno okruženje može se jamčiti određena razina sigurnosti automatiziranog informacijskog sustava.

Sustavni pristup zaštiti informacija temelji se na sljedećim metodološkim načelima:

konačni cilj - apsolutni prioritet konačnog (globalnog) cilja;

jedinstvo - zajedničko razmatranje sustava kao cjeline" i kao skupa dijelova (elemenata);

povezanost - razmatranje bilo kojeg dijela sustava zajedno s njegovim vezama s okolinom;

modularna konstrukcija - identificiranje modula u sustavu i razmatranje istog kao skupa modula;

hijerarhija - uvođenje hijerarhije dijelova (elemenata) i njihovo rangiranje;

funkcionalnost - zajedničko razmatranje strukture i funkcije s prioritetom funkcije nad strukturom;

razvoj - uzimajući u obzir varijabilnost sustava, njegovu sposobnost da se razvije, proširi, zamijeni dijelove, akumulira informacije;

decentralizacija - kombinacije centralizacije i decentralizacije u donošenju odluka i upravljanju;

neizvjesnost - uzimajući u obzir nesigurnosti i nepredviđene situacije u sustavu.

Suvremeni istraživači identificiraju sljedeće metodološke:

organizacijska i provedbena načela informacijske (uključujući računalne) sigurnosti.

Načelo zakonitosti. Sastoji se od praćenja važeće zakonske regulative u području informacijske sigurnosti.

Načelo neizvjesnosti nastaje zbog dvosmislenosti ponašanja subjekta, tj. tko, kada, gdje i kako može narušiti sigurnost štićenog objekta.

Načelo nemogućnosti stvaranja idealnog sustava zaštite. To proizlazi iz načela neizvjesnosti i ograničenosti sredstava ovih fondova.

Načela minimalnog rizika i minimalne štete proizlaze iz nemogućnosti stvaranja idealnog sustava zaštite. Sukladno tome potrebno je voditi računa o specifičnim uvjetima postojanja predmeta zaštite u svakom trenutku.

Načelo sigurnog vremena Uključuje uzimanje u obzir apsolutnog vremena, tj. tijekom kojih je potrebno očuvati objekte zaštite; i relativno vrijeme, tj. vremensko razdoblje od trenutka otkrivanja zlonamjernih radnji do trenutka kada napadač postigne svoj cilj.

Načelo “zaštititi svakoga od svakoga”. Podrazumijeva organiziranje mjera zaštite od svih oblika ugrožavanja objekata zaštite, što je posljedica načela neizvjesnosti.

Načela osobne odgovornosti. Preuzima osobnu odgovornost svakog zaposlenika poduzeća, ustanove i organizacije za poštivanje sigurnosnog režima u okviru svojih ovlasti, funkcionalnih odgovornosti i važećih uputa.

Načelo ograničenja ovlasti Podrazumijeva ograničenje ovlasti subjekta da se upozna s informacijama kojima pristup nije potreban za normalno obavljanje njegovih funkcionalnih dužnosti, kao i uvođenje zabrane pristupa objektima i područjima u. koji boravak ne zahtijeva priroda njegove djelatnosti.

Načelo interakcije i suradnje. Interno, to uključuje njegovanje odnosa povjerenja između zaposlenika odgovornih za sigurnost (uključujući sigurnost informacija) i osoblja. U vanjskoj manifestaciji - uspostavljanje suradnje sa svim zainteresiranim organizacijama i pojedincima (npr. agencijama za provođenje zakona).

Načelo složenosti i individualnosti podrazumijeva nemogućnost osiguranja sigurnosti objekta zaštite bilo kojom mjerom, već samo skupom složenih, međusobno povezanih i preklapajućih mjera, koje se provode pojedinačno prema određenim uvjetima.

Načelo uzastopnih sigurnosnih vodova podrazumijeva što raniju dojavu o zadiranju u sigurnost određenog štićenog objekta ili drugom nepovoljnom incidentu kako bi se povećala vjerojatnost da će rani alarmni signal zaštitne opreme pružiti priliku djelatnicima zaduženim za sigurnost. pravovremeno utvrditi uzrok alarma i organizirati učinkovite protumjere.

Načela jednake čvrstoće i jednake snage zaštitnih vodova. Jednaka čvrstoća podrazumijeva nepostojanje nezaštićenih područja unutar zaštitnih linija. Ekvivalentnost pretpostavlja relativno jednaku razinu zaštite linija zaštite u skladu sa stupnjem ugroženosti štićenog objekta.

Metode za osiguranje informacijske sigurnosti u poduzeću su sljedeće:

Prepreka je metoda fizičkog blokiranja napadačevog puta do zaštićenih informacija (oprema, mediji za pohranu itd.).

Kontrola pristupa je metoda zaštite informacija reguliranjem korištenja svih resursa automatiziranog informacijskog sustava poduzeća. Kontrola pristupa uključuje sljedeće sigurnosne značajke:

identifikaciju korisnika, osoblja i resursa informacijskog sustava (dodjeljivanje osobnog identifikatora svakom objektu);

autentifikacija (utvrđivanje autentičnosti) objekta ili subjekta pomoću identifikatora koji je predstavljen;

provjera ovlasti (provjera usklađenosti dana u tjednu, doba dana, traženih sredstava i procedura s utvrđenim propisima);

registracija zahtjeva za zaštićenim resursima;

odgovor (alarm, gašenje, odgoda rada, odbijanje zahtjeva pri pokušaju neovlaštenih radnji).

Maskiranje je metoda zaštite informacija u automatiziranom informacijskom sustavu poduzeća njihovim kriptografskim zatvaranjem.

Regulacija je način zaštite informacija kojim se stvaraju uvjeti za automatiziranu obradu, pohranu i prijenos informacija pri kojima bi se mogućnost neovlaštenog pristupa informacijama svela na minimum.

Prisila je način zaštite podataka u kojem se korisnici i osoblje sustava prisiljavaju na poštivanje pravila obrade, prijenosa i korištenja zaštićenih podataka pod prijetnjom materijalne, administrativne i kaznene odgovornosti.

Poticaj je metoda informacijske sigurnosti koja potiče korisnike i osoblje sustava da ne krše utvrđena pravila poštivanjem utvrđenih moralnih i etičkih standarda.

Navedeni načini osiguranja informacijske sigurnosti provode se sljedećim temeljnim sredstvima: fizičkim, hardverskim, programskim, hardversko-softverskim, kriptografskim, organizacijskim, zakonodavnim i moralno-etičkim.

Fizička sredstva zaštite namijenjena su vanjskoj zaštiti teritorija objekata, zaštiti komponenti automatiziranog informacijskog sustava poduzeća i implementiraju se u obliku autonomnih uređaja i sustava.

Hardverska zaštitna sredstva su elektronički, elektromehanički i drugi uređaji neposredno ugrađeni u blokove automatiziranog informacijskog sustava ili izvedeni kao samostalni uređaji i povezani s tim blokovima. Namijenjeni su za unutarnju zaštitu konstruktivnih elemenata objekata i sustava računalna tehnologija: terminali, procesori, periferna oprema, komunikacijske linije itd.

Alati za zaštitu softvera dizajnirani su za obavljanje funkcija logičke i intelektualne zaštite i uključeni su ili u softver automatiziranog informacijskog sustava ili u sastav alata, kompleksa i sustava upravljačke opreme.

Softver za informacijsku sigurnost najčešći je tip zaštite koji ima sljedeća pozitivna svojstva: svestranost, fleksibilnost, jednostavnost implementacije, mogućnost promjene i razvoja. Ova okolnost ih čini ujedno i najranjivijim elementima zaštite informacijskog sustava poduzeća.

Hardversko-programska sredstva zaštite su sredstva u kojima su programski (firmware) i hardverski dijelovi potpuno međusobno povezani i neodvojivi.

Kriptografska sredstva su sredstva zaštite transformacijom informacija (enkripcija).

Organizacijska sredstva - organizacijske, tehničke i organizacijsko-pravne mjere za reguliranje ponašanja osoblja.

Zakonodavna sredstva su pravni akti zemlje koji reguliraju pravila za korištenje, obradu i prijenos informacija s ograničenim pristupom i koji utvrđuju kazne za kršenje tih pravila.

Moralno-etička sredstva - norme, tradicija u društvu, na primjer: Kodeks profesionalnog ponašanja za članove Udruge korisnika računala u SAD-u.

1.2 Sigurnosne metode i sredstva

Za provedbu sigurnosnih mjera koriste se različiti mehanizmi šifriranja. U početku, kada se šalje podatak (tekst, govor ili crtež), isti je nezaštićen, odnosno, kako to stručnjaci nazivaju, otvoren. Otvorene podatke lako mogu presresti drugi korisnici (namjerno ili ne). Ako postoji cilj spriječiti da određene informacije dođu do trećih strana, takvi se podaci kriptiraju. Korisnik kojemu je navedena informacija namijenjena zatim je dekriptira inverznom transformacijom kriptograma, dobivajući podatke u obliku koji mu je potreban.

Enkripcija može biti simetrična (jedan tajni ključ se koristi za enkripciju) i asimetrična (jedan javni ključ se koristi za enkripciju, a drugi za dešifriranje, međusobno nisu povezani - tj. ako znate jedan od njih, ne možete odrediti drugi).

Sigurnosni mehanizmi uključuju:

) Digitalni mehanizmi Elektronički potpis temelje se na asimetričnim algoritmima šifriranja i uključuju dva postupka: formiranje potpisa od strane pošiljatelja i njegovo prepoznavanje od strane primatelja. Formiranje potpisa od strane pošiljatelja osigurava da je podatkovni blok šifriran ili dopunjen kriptografskim kontrolnim zbrojem, au oba slučaja koristi se tajni ključ pošiljatelja. Za identifikaciju se koristi javni ključ.

) Mehanizmi kontrole pristupa provjeravaju ovlaštenje programa i korisnika za pristup mrežnim resursima. Kada se resursu pristupi preko veze, kontrola se izvodi i na početnoj točki i međutočkama, kao i na krajnjoj točki.

) Mehanizmi cjelovitosti podataka primjenjuju se na pojedinačni blok i na tok podataka. Pošiljatelj dovršava poslani blok kriptografskom količinom, a primatelj je uspoređuje s kriptografskom vrijednošću koja odgovara primljenom bloku. Odstupanje ukazuje na iskrivljenje informacija u bloku.

) Mehanizmi za uspostavu prometa. Temelje se na generiranju blokova od strane AIS objekata, njihovoj enkripciji i organizaciji prijenosa mrežnim kanalima. Time se neutralizira mogućnost dobivanja informacija promatranjem vanjskih karakteristika tokova koji kruže komunikacijskim kanalima.

) Kontrolni mehanizmi usmjeravanja osiguravaju odabir ruta za kretanje informacija komunikacijska mreža na način da se spriječi prijenos osjetljivih informacija kroz nesigurne, fizički nepouzdane kanale.

) Arbitražni mehanizmi osiguravaju potvrdu karakteristika podataka koje treća strana prenosi između subjekata. U tu svrhu informacije koje objekti šalju ili primaju prolaze kroz arbitra, što mu omogućuje naknadnu potvrdu navedenih karakteristika.

Glavni nedostaci sigurnosnog sustava gospodarskih objekata su:

-usko, nesustavno shvaćanje problema sigurnosti objekata;

-zanemarivanje prevencije prijetnji, radeći po principu „Ako se prijetnja pojavila, počinjemo je uklanjati“;

-nekompetentnost u ekonomiji sigurnosti, nesposobnost usporedbe troškova i rezultata;

-“tehnokratizam” stručnjaka menadžmenta i sigurnosti, tumačenje svih poslova jezikom njima poznatog područja.

Kao zaključak iz prvog poglavlja rada utvrđujemo sljedeće. Osiguranje sigurnosti informacijskih sustava odnosi se na određene mjere kojima se informacijski sustav štiti od slučajnih ili namjernih smetnji u načinima rada. Kako bi se osigurala sigurnost, postoje dva glavna pristupa: 1) fragmentirani, unutar kojeg se određenim prijetnjama suprotstavlja pod određenim uvjetima; i 2) sistemski, unutar kojeg se stvara sigurno okruženje za obradu, pohranjivanje i prijenos informacija, kombinirajući različite vrste metoda i sredstava za suzbijanje prijetnji. Za zaštitu informacija koriste se različita sredstva i mehanizmi. Sredstva uključuju: šifriranje, digitalno elektroničko snimanje, kontrola pristupa, postavljanje prometa itd.

banka online sustav sigurnost

2. Značajke osiguranja sigurnosti osobnih podataka u sustavima internetskog bankarstva

2.1. Opći uvjeti za osiguranje sigurnosti osobnih podataka u sustavima internetskog bankarstva

Zaštita osobnih podataka je stanje sigurnosti informacija i prateće infrastrukture (računala, komunikacijskih vodova, elektroenergetskih sustava i sl.) od slučajnih ili namjernih utjecaja koji bi mogli prouzročiti štetu vlasnicima ili korisnicima tih informacija.

Informacijska sigurnost vjerodajnica također znači: osiguranu pouzdanost računala, zaštitu osobnih podataka od promjena od strane neovlaštenih osoba, čuvanje dokumentiranih vjerodajnica u elektroničkim komunikacijama.

Objekti informacijske sigurnosti u računovodstvu su informacijski resursi koji sadrže informacije klasificirane kao poslovna tajna i povjerljive informacije; kao i alati i sustavi informacijske tehnologije.

Vlasnik informacijskih resursa, informacijskih sustava, tehnologija i sredstava za njihovu podršku je subjekt koji ima vlasništvo i korištenje tih objekata i ima ovlasti raspolaganja u granicama utvrđenim zakonom.

Korisnik informacija je subjekt koji se obraća informacijskom sustavu ili posredniku kako bi dobio informacije koje su mu potrebne i koristi ih.

Informacijski izvori su pojedinačni dokumenti i pojedinačni nizovi dokumenata, dokumenti i nizovi dokumenata u informacijskim sustavima.

Prijetnja informacijskoj sigurnosti je potencijalna radnja koja svojim utjecajem na komponente osobnog sustava može dovesti do oštećenja vlasnika informacijskih resursa ili korisnika sustava.

Pravni režim informacijskih izvora određen je pravilima kojima se utvrđuju:

postupak dokumentiranja informacija;

vlasništvo nad pojedinim dokumentima i pojedinačnim spisima

dokumenti, dokumenti i nizovi dokumenata u informacijskim sustavima; kategoriju informacija prema razini pristupa istima; postupak pravne zaštite informacija.

Glavno načelo koje se krši pri implementaciji informacijske prijetnje u računovodstvu je načelo dokumentiranja informacija. Računovodstveni dokument primljen iz automatiziranog računovodstvenog informacijskog sustava stječe pravnu snagu nakon što ga potpiše službena osoba na način utvrđen zakonodavstvom Ruske Federacije.

Sve spremno potencijalne prijetnje u računovodstvu se prema prirodi nastanka mogu podijeliti u dvije klase: prirodne (objektivne) i umjetne.

Prirodne prijetnje uzrokovane su objektivnim razlozima, obično izvan kontrole računovođe, što dovodi do potpunog ili djelomičnog uništenja računovodstvenog odjela zajedno s njegovim komponentama. U takve prirodne pojave spadaju: potresi, udari groma, požari itd.

Prijetnje koje je stvorio čovjek povezane su s ljudskim aktivnostima. Mogu se podijeliti na nenamjerne (nenamjerne), uzrokovane sposobnošću zaposlenika da počini bilo kakvu pogrešku zbog nepažnje, odnosno umora, bolesti i sl. Na primjer, računovođa prilikom unosa podataka u računalo može pritisnuti pogrešnu tipku, napraviti nenamjerne pogreške u programu, unijeti virus ili slučajno otkriti lozinke.

Namjerne (namjerne) prijetnje povezane su sa sebičnim težnjama ljudi – napadača koji namjerno izrađuju lažne dokumente.

Sigurnosne prijetnje s obzirom na fokus mogu se podijeliti u sljedeće skupine:

prijetnje prodora i čitanja podataka iz baza vjerodajnica i računalnih programa za njihovu obradu;

prijetnje sigurnosti vjerodajnica, koje dovode do njihovog uništenja ili izmjene, uključujući krivotvorenje dokumenata o plaćanju (zahtjevi za plaćanje, nalozi itd.);

prijetnje dostupnosti podataka koje se javljaju kada korisnik ne može pristupiti vjerodajnicama;

Prijetnja odbijanja izvršavanja operacija, kada jedan korisnik prenosi poruku drugome, a zatim ne potvrđuje prenesene podatke.

Informacijski procesi su procesi prikupljanja, obrade, akumulacije, pohranjivanja, pretraživanja i distribucije informacija.

Informacijski sustav je organizacijski uređen skup dokumenata (nizovi dokumenata i informacijskih tehnologija, uključujući korištenje računalne tehnologije i komunikacija, implementaciju informacijski procesi).

Dokumentiranje informacija provodi se na način koji utvrđuju državna tijela odgovorna za organizaciju uredskog rada, standardizaciju dokumenata i njihovih nizova i sigurnost Ruske Federacije.

Ovisno o izvoru prijetnji, mogu se podijeliti na unutarnje i vanjske.

Izvor internih prijetnji su aktivnosti osoblja organizacije. Vanjske prijetnje dolaze izvana od zaposlenika drugih organizacija, od hakera i drugih pojedinaca.

Vanjske prijetnje možemo podijeliti na:

lokalne, koje uključuju ulazak uljeza na teritorij organizacije i dobivanje pristupa zasebnom računalu ili lokalnoj mreži;

udaljene prijetnje tipične su za sustave povezane s globalnim mrežama (Internet, međunarodni bankarski sustav SWIFT itd.).

Takve se opasnosti najčešće javljaju u sustavu elektroničkog plaćanja prilikom plaćanja između dobavljača i kupaca te korištenja internetskih mreža u plaćanju. Izvori ovakvih informacijskih napada mogu se nalaziti tisućama kilometara daleko. Štoviše, nisu pogođena samo računala, već i računovodstveni podaci.

Namjerne i nenamjerne pogreške u računovodstvu koje dovode do povećanja računovodstvenog rizika su sljedeće: pogreške u evidentiranju računovodstvenih podataka; netočne šifre; kršenje kontrolnih granica; propušteno Računi; greške u obradi podataka ili izlazu; pogreške u formiranju ili ispravljanju imenika; nepotpuni računi; netočna dodjela zapisa razdobljima; krivotvorenje podataka; kršenje regulatornih zahtjeva; kršenje načela osobne politike; nesklad između kvalitete usluga i potreba korisnika.

Osobito su opasni podaci koji predstavljaju poslovnu tajnu, a odnose se na osobne i izvještajne podatke (podaci o partnerima, klijentima, bankama, analitički podaci o tržišnim aktivnostima). Kako bi ovi i slični podaci bili zaštićeni, potrebno je sklopiti ugovore sa djelatnicima računovodstva, financijskih službi i drugih gospodarskih službi s naznakom popisa podataka koji ne podliježu javnoj objavi.

Zaštita informacija u automatiziranim računovodstvenim sustavima temelji se na sljedećim osnovnim načelima.

Osiguravanje fizičke odvojenosti prostora namijenjenih obradi klasificiranih i neklasificiranih podataka.

Osiguranje kriptografske zaštite informacija. Osiguravanje autentifikacije pretplatnika i pretplatničkih instalacija. Osiguravanje diferencijacije pristupa informacijama subjekata i njihovih procesa. Osiguravanje utvrđivanja autentičnosti i cjelovitosti dokumentarnih poruka kada se prenose komunikacijskim kanalima.

Osiguravanje zaštite opreme i tehničkih sredstava sustava, prostorija u kojima se nalaze, od curenja povjerljivih informacija kroz tehničke kanale.

Osiguravanje zaštite tehnologije šifriranja, opreme, hardvera i softvera od curenja informacija putem hardverskih i softverskih knjižnih oznaka.

Osiguravanje kontrole integriteta programskog i informacijskog dijela automatiziranog sustava.

Koristeći samo domaće kao mehanizme zaštite

Državni informacijski resursi Ruske Federacije otvoreni su i javno dostupni. Izuzetak su dokumentirane informacije koje su zakonom označene kao ograničeni pristup. Dokumentirani podaci s ograničenim pristupom, prema uvjetima svog pravnog režima, dijele se na podatke koji su klasificirani kao državna tajna i povjerljivi. Popis povjerljivih informacija, posebno informacija koje se odnose na komercijalne aktivnosti, utvrđen je Uredbom predsjednika Ruske Federacije od 6. ožujka 1997. br. 188 (Dodatak br.) razvoj događaja.

Osiguranje organizacijskih i režimskih mjera zaštite. Preporučljivo je koristiti dodatne mjere za osiguranje sigurnosti komunikacije u sustavu.

Organiziranje zaštite informacija o intenzitetu, trajanju i prometu razmjene informacija.

Korištenje kanala i metoda za prijenos i obradu informacija koje otežavaju presretanje.

Zaštita informacija od neovlaštenog pristupa ima za cilj formiranje tri glavna svojstva zaštićene informacije:

povjerljivost (klasificirani podaci trebaju biti dostupni samo onima kojima su namijenjeni);

cjelovitost (informacije na temelju kojih se donose važne odluke moraju biti pouzdane, točne i potpuno zaštićene od mogućih nenamjernih i zlonamjernih iskrivljavanja);

spremnost (informacije i povezane informacijske usluge moraju biti dostupne, spremne služiti dionicima kad god su potrebne).

Metode za osiguranje zaštite osobnih podataka su: prepreke; kontrola pristupa, kamuflaža, regulacija, prisila, poticanje.

Prepreku treba smatrati metodom fizičkog blokiranja napadačevog puta do zaštićenih osobnih podataka. Ovu metodu provodi pristupni sustav poduzeća, uključujući prisutnost sigurnosti na ulazu u njega, blokiranje puta neovlaštenih osoba do odjela računovodstva, blagajne itd.

Kontrola pristupa je metoda zaštite osobnih i prijavnih podataka, koja se provodi putem:

autentifikacija - utvrđivanje autentičnosti objekta ili subjekta prema identifikatoru koji oni prezentiraju (provodi se usporedbom unesenog identifikatora s onim pohranjenim u memoriji računala);

ovlaštene provjere - provjera usklađenosti zatraženih resursa i operacija koje se izvode u skladu s dodijeljenim resursima i dopuštenim postupcima; registracija zahtjeva za zaštićenim resursima;

obavješćivanje i reagiranje na pokušaje neovlaštenih radnji. (Kriptografija je metoda zaštite transformacijom informacija (enkripcija)).

U kompleksu BEST-4 pristup informacijama je ograničen na razini pojedinih podsustava i osiguran postavljanjem zasebnih pristupnih lozinki. Na početno postavljanje ili u bilo kojem trenutku tijekom rada s programom, administrator sustava može postaviti ili promijeniti jednu ili više lozinki. Lozinka se traži svaki put kada se prijavite u podsustav.

Osim toga, neki moduli imaju vlastiti sustav za ograničavanje pristupa informacijama. Pruža mogućnost zaštite svake stavke izbornika posebnim lozinkama. Lozinkama se može zaštititi i pristup pojedinim podskupovima primarnih dokumenata: npr. u automatiziranom radnom mjestu “Knjigovodstvo zaliha u skladištu” i “Knjigovodstvo robe i proizvoda” moguće je postaviti pristupne lozinke svakom skladištu posebno, u automatiziranom radnom mjestu “Računovodstvo gotovinskog prometa” - pristupne lozinke za svaku blagajnu, u automatiziranom radnom mjestu “Računovodstvo obračuna s bankom” - pristupne lozinke svakom bankovnom računu.

Posebno treba istaknuti činjenicu da je za učinkovito ograničavanje pristupa informacijama prije svega potrebno lozinkama zaštititi same načine određivanja lozinki za pristup određenim blokovima.

1C.Enterprise, verzija 7.7 ima vlastitu informacijsku zaštitu - prava pristupa kako bi se integrirao i odvojio korisnički pristup informacijama pri radu sa sustavom 1C.Enterprise na mreži osobnih računala, konfigurator sustava omogućuje vam postavljanje prava za svakog korisnika za rad s informacijama koje obrađuje sustav. Prava se mogu postaviti u prilično širokom rasponu - od mogućnosti pregledavanja samo određenih vrsta dokumenata do cijeli set prava na unos, pregled, ispravak i brisanje bilo koje vrste podataka.

Dodjeljivanje prava pristupa korisniku provodi se u 2 faze. U prvoj fazi stvaraju se standardni skupovi prava za rad s informacijama, koji se u pravilu razlikuju po širini mogućnosti pristupa. U drugoj fazi, korisniku se dodjeljuje jedno od ovih standardnih skupova prava.

Sav rad na stvaranju standardnih skupova prava obavlja se na kartici "Prava" u prozoru "Konfiguracija". Ovaj se prozor poziva odabirom stavke "otvori konfiguraciju" iz izbornika "Konfiguracija" u glavnom izborniku programa

2.2 Skup mjera za osiguranje sigurnosti osobnih podataka u sustavima internetskog bankarstva

Opravdanost skupa mjera za osiguranje sigurnosti osobnih podataka u ISPD-u provodi se uzimajući u obzir rezultate procjene opasnosti od prijetnji i određivanje klase ISPD-a na temelju „Osnovnih mjera za organiziranje i tehnička podrška sigurnost osobnih podataka koji se obrađuju u informacijskim sustavima osobnih podataka.”

U tom slučaju treba odrediti mjere za:

utvrđivanje i zatvaranje tehničkih kanala curenja osobnih podataka u informacijskom sustavu;

zaštita osobnih podataka od neovlaštenog pristupa i protupravnih radnji;

postavljanje, konfiguracija i uporaba zaštitne opreme.

Mjere za prepoznavanje i zatvaranje tehničkih kanala curenja osobnih podataka u informacijskom sustavu formulirane su na temelju analize i procjene prijetnji sigurnosti osobnih podataka.

Mjere zaštite osobnih podataka tijekom njihove obrade u ISPD-u od neovlaštenog pristupa i protupravnih radnji uključuju:

kontrola pristupa;

registracija i računovodstvo;

osiguranje integriteta;

kontrola nepostojanja nedeklariranih sposobnosti;

antivirusna zaštita;

osiguranje sigurne međumrežne interakcije ISPD-a;

sigurnosna analiza;

otkrivanje upada.

Preporuča se implementacija podsustava kontrole pristupa, registracije i obračuna na bazi programskih alata za blokiranje neovlaštenih radnji, signalizaciju i registraciju. Riječ je o posebnom softveru i hardveru te softveru koji ne ulazi u jezgru niti jednog operacijskog sustava za zaštitu samih operacijskih sustava, elektroničkih baza osobnih podataka i aplikativnih programa. Oni obavljaju zaštitne funkcije samostalno ili u kombinaciji s drugim sredstvima zaštite i usmjereni su na uklanjanje ili kompliciranje izvršenja radnji korisnika ili prekršitelja koje su opasne za ISPD. To uključuje posebne komunalije i sustavi zaštite softvera koji provode funkcije dijagnostike, registracije, uništavanja, alarma i simulacije.

Dijagnostički alati provode testiranje datotečnog sustava i baza osobnih podataka, neprestano prikupljajući informacije o funkcioniranju elemenata podsustava informacijske sigurnosti.

Alati za uništavanje dizajnirani su za uništavanje preostalih podataka i mogu omogućiti hitno uništavanje podataka u slučaju prijetnje neovlaštenim pristupom koju sustav ne može blokirati.

Sredstva za signalizaciju su namijenjena za upozorenje operatera kada pristupe zaštićenom PD i za upozorenje administratora kada otkriju činjenicu neovlaštenog pristupa PD i druge činjenice kršenja normalnog načina rada ISPD.

Alati za simulaciju simuliraju rad s prekršiteljima kada se otkrije pokušaj diranja u zaštićene osobne podatke ili softver. Imitacija vam omogućuje da povećate vrijeme za određivanje lokacije i prirode neovlaštenih podataka, što je posebno važno u geografski distribuiranim mrežama, te da dezinformirate prekršitelja o lokaciji zaštićenih osobnih podataka.

Podsustav integriteta implementiraju prvenstveno operativni sustavi i sustavi za upravljanje bazama podataka. Sredstva za povećanje pouzdanosti i osiguranje integriteta prenesenih podataka i pouzdanosti transakcija, ugrađena u operacijske sustave i sustave za upravljanje bazama podataka, temelje se na izračunu kontrolnih zbrojeva, obavijesti o kvaru u prijenosu paketa poruka i ponovnom slanju neprihvaćenog paketa.

Podsustav za praćenje odsutnosti nedeklariranih mogućnosti implementiran je u većini slučajeva na temelju sustava za upravljanje bazama podataka, alata za informacijsku sigurnost i antivirusnih alata za informacijsku sigurnost.

Kako bi se osigurala sigurnost PD-a i softverskog i hardverskog okruženja ISPD-a koji obrađuje ove informacije, preporučuje se korištenje posebnih antivirusnih zaštitnih alata koji obavljaju:

otkrivanje i (ili) blokiranje destruktivnih virusnih učinaka na sustavni i aplikacijski softver koji obrađuje osobne podatke, kao i na osobne podatke;

otkrivanje i uklanjanje nepoznatih virusa;

osiguravanje samonadzora (sprečavanje infekcije) ovog antivirusnog proizvoda kada se pokrene.

Prilikom odabira antivirusnih zaštitnih alata, preporučljivo je razmotriti sljedeće čimbenike:

kompatibilnost ovih alata sa standardnim ISPD softverom;

stupanj smanjenja učinkovitosti ISPD-a za njegovu glavnu svrhu;

dostupnost sredstava za centralizirano upravljanje radom alata za antivirusnu zaštitu s radnog mjesta administratora informacijske sigurnosti u ISPD-u;

mogućnost promptnog obavještavanja administratora informacijske sigurnosti u ISPD-u o svim događajima i činjenicama manifestacije programskih i matematičkih utjecaja (PMI);

dostupnost detaljne dokumentacije o radu alata za antivirusnu zaštitu;

mogućnost povremenog testiranja ili samotestiranja alata za antivirusnu zaštitu;

mogućnost proširenja sastava sredstava zaštite od Drugog svjetskog rata novim dodatnim sredstvima bez značajnih ograničenja u izvedbi ISPD-a i "sukoba" s drugim vrstama sredstava zaštite.

Treba uključiti opis postupka instaliranja, konfiguriranja, konfiguriranja i administriranja antivirusnih zaštitnih alata, kao i postupak postupanja u slučaju otkrivanja napada virusa ili drugog kršenja zahtjeva za zaštitu od programsko-matematičkih utjecaja. u priručniku za administratore informacijske sigurnosti u ISPD-u.

Za ograničavanje pristupa ISDN resursima tijekom međumrežne interakcije koristi se vatrozid koji se provodi pomoću softverskih i hardversko-softverskih vatrozida (FW). Između zaštićene mreže, koja se naziva interna mreža, i vanjske mreže postavlja se vatrozid. Vatrozid je dio zaštićene mreže. Za njega se kroz postavke posebno postavljaju pravila koja ograničavaju pristup s interne mreže na vanjsku i obrnuto.

Kako bi se osiguralo sigurno internetsko povezivanje u klasama 3 i 4 ISPD, preporučuje se korištenje ME najmanje pete sigurnosne razine.

Kako bi se osigurala sigurna internetska veza u Class 2 ISPD, preporučuje se korištenje ME najmanje četvrte sigurnosne razine.

Kako bi se osigurala sigurna internetska veza u Class 1 ISPD, preporučuje se korištenje ME najmanje treće razine sigurnosti.

Podsustav sigurnosne analize implementiran je korištenjem alata za testiranje (sigurnosna analiza) i kontrolu (audit) informacijske sigurnosti.

Alati za sigurnosnu analizu koriste se za praćenje sigurnosnih postavki operativnih sustava na radnim stanicama i poslužiteljima te omogućuju procjenu mogućnosti napada napadača na mrežnu opremu i praćenje sigurnosti softvera. Da bi to učinili, ispituju topologiju mreže tražeći nezaštićene ili neovlaštene mrežne veze, provjerite postavke vatrozida. Takva se analiza provodi na temelju detaljnih opisa ranjivosti u sigurnosnim postavkama (na primjer, preklopnici, usmjerivači, vatrozidi) ili ranjivosti u operativnim sustavima ili aplikacijskom softveru. Rezultat alata za sigurnosnu analizu je izvješće koje sažima informacije o otkrivenim propustima.

Alati za otkrivanje ranjivosti mogu djelovati na razini mreže(u ovom slučaju nazivaju se "temeljeno na mreži"), razina operativnog sustava ("temeljeno na hostu") i razina aplikacije ("temeljeno na aplikaciji"). Pomoću softvera za skeniranje možete brzo izraditi kartu svih dostupnih ISDN čvorova, identificirati usluge i protokole koji se koriste na svakom od njih, odrediti njihove osnovne postavke i napraviti pretpostavke u vezi s vjerojatnošću implementacije NSD-a.

Na temelju rezultata skeniranja sustavi razvijaju preporuke i mjere za otklanjanje uočenih nedostataka.

U interesu identificiranja NSD prijetnji putem umrežavanja, koriste se sustavi za otkrivanje upada. Takvi sustavi izgrađeni su uzimajući u obzir specifičnosti provedbe napada, faze njihovog razvoja i temelje se na nizu metoda otkrivanja napada.

Postoje tri skupine metoda otkrivanja napada:

metode potpisa;

metode otkrivanja anomalija;

kombinirane metode (koristeći zajedno algoritme definirane u metodama potpisa i metodama otkrivanja anomalija).

Za otkrivanje upada u ISPD klase 3 i 4 preporučuje se korištenje sustava za otkrivanje mrežnih napada koji koriste metode analize potpisa.

Za otkrivanje upada u ISPD klase 1 i klase 2 preporučuje se korištenje sustava za otkrivanje mrežnih napada koji koriste metode otkrivanja anomalija zajedno s metodama analize potpisa.

Za zaštitu osobnih podataka od curenja tehničkim kanalima koriste se organizacijske i tehničke mjere usmjerene na otklanjanje curenja akustičnih (govornih), tipskih informacija, kao i curenja informacija zbog nuspojava. elektromagnetska radijacija i savjeti.

Kao zaključak drugog poglavlja rada donosimo sljedeće zaključke. Zaštita osobnih podataka je stanje sigurnosti informacija i njihove prateće infrastrukture od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode, prepuno štete za vlasnike ili korisnike tih informacija. Objekti informacijske sigurnosti u računovodstvu su definirani kao: informacijski resursi koji sadrže informacije klasificirane kao poslovna tajna te alati i informatizacija sustava. Glavne metode koje se koriste u okviru zaštite informacija su: otkrivanje i izravna zaštita.

ZAKLJUČAK

Problem informacijske sigurnosti gospodarskih objekata višestruk je i zahtijeva daljnja istraživanja.

U suvremenom svijetu informatizacija postaje strateški nacionalni resurs, jedan od glavnih aduta gospodarski razvijene države. Brzo unapređenje informatizacije u Rusiji, njezino prodiranje u sve sfere vitalnih interesa pojedinca, društva i države, uz nedvojbene prednosti, dovelo je do pojave niza značajnih problema. Jedna od njih bila je potreba za zaštitom informacija. S obzirom da je trenutno gospodarski potencijal sve više određen stupnjem razvijenosti informacijske infrastrukture, proporcionalno raste i potencijalna ranjivost gospodarstva na informacijske utjecaje.

Provedba prijetnji informacijskoj sigurnosti sastoji se od narušavanja povjerljivosti, cjelovitosti i dostupnosti informacija. Sa stajališta sustavnog pristupa zaštiti informacija potrebno je koristiti cjelokupni arsenal raspoloživih sigurnosnih sredstava u svim strukturnim elementima gospodarskog subjekta iu svim fazama tehnološkog ciklusa obrade informacija. Metode i sredstva zaštite moraju pouzdano blokirati moguće načine neovlaštenog pristupa zaštićenim tajnama. Učinkovitost informacijske sigurnosti znači da troškovi njezine implementacije ne smiju biti veći od mogućih gubitaka od implementacije informacijske prijetnje. Planiranje informacijske sigurnosti provodi se tako da svaki odjel razvija detaljne planove informacijske sigurnosti. Potrebna je jasnoća u ostvarivanju ovlasti i prava korisnika na pristup određenim vrstama informacija, u osiguravanju nadzora nad sigurnosnim mjerama i hitnom odgovoru na njihovo propuštanje.

BIBLIOGRAFIJA

1.Automatizirane informacijske tehnologije u bankarstvu / ur. prof. G.A. Titorenko. - M.: Finstatinform, 2007

2.Automatizirane informacijske tehnologije u ekonomiji / Ed. prof. G.A. Titorenko. - M.: JEDINSTVO, 2010

.Ageev A. S. Organizacija i suvremene metode zaštite informacija. - M.: Koncern "Banka. Poslovni centar", 2009

.Adzhiev, V. Mitovi o sigurnosti softvera: lekcije iz poznatih katastrofa. - Otvoreni sustavi, 199. №6

.Aleksejev, V.I. Sigurnost informacija općine. - Voronjež: Izdavačka kuća VSTU, 2008.

.Aleksejev, V.M. Međunarodni kriteriji za procjenu sigurnosti informacijskih tehnologija i njihova praktičnu upotrebu: Udžbenik. - Penza: Izdavačka kuća Penz. država Sveučilište, 2002. (monografija).

.Aleksejev, V.M. Regulatorno osiguranje zaštite informacija od neovlaštenog pristupa. - Penza: Izdavačka kuća Penz. država Sveučilište, 2007. (monografija).

.Aleksejev, V.M. Osiguranje informacijske sigurnosti tijekom razvoja softvera. - Penza: Izdavačka kuća Penz. država Sveučilište, 2008. (monografija).

.Aleshin, L.I. Zaštita informacija i informacijska sigurnost: Tečaj predavanja L. I. Aleshin; Moskva država Sveučilište kulture. - M.: Moskva. država Sveučilište u kulturi, 2010. (monografija).

.Akhramenka, N.F. itd. Zločin i kazna u platnom prometu sa elektronički dokumenti// Upravljanje informacijskom sigurnošću, 1998

.Banke i bankovno poslovanje. Udžbenik / Ed. E.F. Žukova. - M.: Banke i mjenjačnice, UNITY, 2008

.Barsukov, V.S. Sigurnost: tehnologije, alati, usluge. - M.: Kudits - Slika, 2007

.Baturin, Yu.M. Problemi računalnog prava. - M.: Pravni. lit., 1991

.Baturin, Yu.M. Računalni kriminal i računalna sigurnost. M.: Yur.lit., 2009

.Bezrukov, N.N. Uvod u računalnu virologiju. Opća načela rada, klasifikacija i katalog najčešćih virusa u M5-005. K., 2005. (enciklopedijska natuknica).

.Bykov, V.A. Elektroničko poslovanje i sigurnost / V. A. Bykov. - M.: Radio i komunikacije, 2000

.Varfolomejev, A.A. Sigurnost informacija. Matematičke osnove kriptologije. Dio 1. - M.: MEPhI, 1995

.Vekhov, V.B. Računalni zločini: Metode počinjenja i otkrivanja. - M.: Pravo i pravo, 1996

.Volobuev, S.V. Uvod u informacijsku sigurnost. - Obninsk: Obn. Institut za atomsku energiju, 2001. (monografija).

.Volobuev, S.V. Informacijska sigurnost automatiziranih sustava. - Obninsk: Obn. Institut za atomsku energiju, 2001. (monografija).

.Sveruska znanstveno-praktična konferencija "Informacijska sigurnost u sustavu Srednja škola", 28.-29. studenog 2000., NSTU, Novosibirsk, Rusija: IBVSh 2000. - Novosibirsk, 2001.

23.Galatenko, V.A. Informacijska sigurnost: praktični pristup V. A. Galatenko; ur. V. B. Betelina; Ross. akad. znanosti, istraživanje Institut za sustave. istraživanje - M.: Znanost, 1998

.Galatenko, V.A.. Osnove informacijske sigurnosti: Tečaj predavanja. - M.: Internet sveučilište informacija. tehnologije, 2003. (enciklopedijska natuknica).

.Gennadieva, E.G. Teorijske osnove računalne znanosti i informacijske sigurnosti. - M.: Radio i komunikacije, 2000

.Ghika, Sebastian Narchis. Skrivanje informacija u grafičkim datotekama VMR formata Dis. ...kand. tehn. Znanosti: 05.13.19 - St. Petersburg, 2001

.Ghika, S.N. Skrivanje informacija u grafičkim datotekama BMP formata: autorski sažetak. dis. ...kand. tehn. Znanosti: 05.13.19 St. Petersburg. država int mehanike i optike. - Sankt Peterburg, 2001

.Golubev, V.V. Upravljanje sigurnošću. - St. Petersburg: Peter, 2004

.Gorbatov, V.S. Sigurnost informacija. Osnove pravne zaštite. - M.: MEPhI (TU), 1995

.Gorlova, I.I., ur. Informacijska sloboda i informacijska sigurnost: Materijali međunar. znanstveni Conf., Krasnodar, 30.-31. listopada. 2001 - Krasnodar, 2001

.Greensberg, A.S. i dr. Zaštita informacijskih resursa javne uprave. - M.: JEDINSTVO, 2003

.Informacijska sigurnost Rusije u globalnom kontekstu informacijsko društvo"INFOFORUM-5": sub. materijali 5. sveruski. Conf., Moskva, 4-5 veljače. 2003 - M.: LLC Ed. časopis Poslovanje i sigurnost Rusije, 2003

.Informacijska sigurnost: sub. metoda. materijali Ministarstvo obrazovanja Ruske Federacije. Federacija [i drugi]. - M.: TSNIIATOMINFORM, 2003

34.Informacijska tehnologija// Ekonomija i život. broj 25, 2001

35.Informacijske tehnologije u marketingu: Udžbenik za sveučilišta - M.: 2003

.Informacijske tehnologije u ekonomiji i menadžmentu: Udžbenik / Kozyrev A.A.: Izdavačka kuća Mikhailov V.A., 2005

.Lopatin, V.N. Informacijska sigurnost Rusije Dis. ... doktor prava. znanosti: 12.00.01

.Lukašin, V.I. Sigurnost informacija. - M.: Moskva. država Sveučilište za ekonomiju, statistiku i informatiku

.Luchin, I.N., Zheldakov A.A., Kuznetsov N.A. Zaštita lozinkom od hakiranja // Informatizacija sustava za provedbu zakona. M., 1996

.McClure, Stuart. Hakiranje na webu. Napadi i obrana Stuart McClar, Saumil Shah, Sriraj Shah. - M.: Williams, 2003

.Malyuk, A.A. Teorijske osnove za formaliziranje prediktivne procjene razine informacijske sigurnosti u sustavima za obradu podataka. - M.: MEPhI, 1998SPb., 2000

.Ekonomska učinkovitost sustava informacijske sigurnosti. Čebotar P.P. - Moldavska ekonomska akademija, 2003

.Jakovljev, V.V. Informacijska sigurnost i zaštita informacija u korporativne mrežeželjeznički promet. - M., 2002

.Yarochkin, V.I. Sigurnost informacija. - M.: Mir, 2003

.Yarochkin, V.I. Sigurnost informacija. - M.: Zaklada "Mir", 2003: Akad. Projekt

.Yasenev, V.N. Automatizirani informacijski sustavi u gospodarstvu i osiguranje njihove sigurnosti: Tutorial. - N. Novgorod, 2002

Slično radi - Zaštita osobnih podataka u sustavima internetskog bankarstva

Postalo je posebno popularno za ruske odjele stranih kompanija zbog dodatka 5. dijela članka 18. 152-FZ „O osobnim podacima”: „... operater je dužan osigurati snimanje, sistematizaciju, akumulaciju, pohranu, pojašnjenje (ažuriranje, mijenjanje), pronalaženje osobni podaci građani Ruske Federacije koji koriste baze podataka koje se nalaze na teritoriju Ruske Federacije" . Postoji niz iznimaka u zakonu, ali priznajte da u slučaju nadzora regulatora želite imati jače adute od “ali to nas se ne tiče”.

Kazne za prekršitelje su vrlo ozbiljne. Internet trgovine, društveni mediji, informativne stranice, druge tvrtke povezane s Internet kada potraživanja nadzornih tijela zapravo može biti zatvorena. Moguće je da će tijekom prve inspekcije regulator dobiti vrijeme za uklanjanje nedostataka, ali to je razdoblje obično ograničeno. Ako se problem ne riješi vrlo brzo (što bez prethodna priprema teško izvesti), gubici se ne mogu ni na koji način nadoknaditi. Blokiranje stranica ne samo da dovodi do pauze u prodaji, već znači i gubitak tržišnog udjela.

Pojava prekršitelja zakona o osobnim podacima na “crnoj listi” za offline tvrtke manje je dramatična. Ali to uključuje reputacijske rizike, što je značajan faktor za strane tvrtke. Osim toga, sada gotovo da nema više vrsta aktivnosti koje nisu nimalo zahvaćene zaštitom osobnih podataka. Banke, trgovina, čak i proizvodnja - sve vode baze podataka klijenata, što znači da podliježu relevantnim zakonima.

Ovdje je važno razumjeti da se ovo pitanje ne može razmatrati izolirano ni unutar poduzeća. Zaštita osobnih podataka ne može se ograničiti samo na postavljanje certificiranih sigurnosnih mjera na poslužitelje i zaključavanje papirnatih kartica u sefove. Osobni podaci imaju mnogo ulaznih točaka u tvrtku - odjel prodaje, HR, služba za korisnike, ponekad i centri za obuku, nabavne komisije i druge jedinice. Upravljanje zaštitom osobnih podataka složen je proces koji utječe TO, protok dokumenata, propisi, pravna registracija.

Pogledajmo što bi bilo potrebno za pokretanje i održavanje takvog procesa.

Koji se podaci smatraju osobnim

Strogo govoreći, svaka informacija koja se izravno ili neizravno odnosi na određenu osobu je njezin osobni podatak. Imajte na umu da govorimo o ljudima, a ne pravne osobe. Ispostavilo se da je dovoljno navesti svoje puno ime i prezime i adresu stanovanja kako bi se pokrenula zaštita ovih (kao i povezanih) podataka. Međutim, primanje elektronička pošta s nečijim osobnim podacima u obliku potpisa i telefonski broj ovo nije razlog da ih branite. Ključni pojam: “Koncept prikupljanja osobnih podataka.” Radi pojašnjenja konteksta, istaknuo bih nekoliko članaka Zakona o osobnim podacima.

Članak 5. Načela obrade osobnih podataka. Moraju postojati jasni ciljevi iz kojih je jasno zašto se podaci prikupljaju. U protivnom, čak i uz potpuno poštivanje svih drugih pravila i propisa, vjerojatne su sankcije.

Članak 10. Posebne kategorije osobnih podataka. Na primjer, odjel ljudskih resursa može zabilježiti ograničenja poslovnih putovanja, uključujući trudnoću zaposlenica. Naravno, takav dodatne informacije također su zaštićeni. Time se uvelike proširuje razumijevanje osobnih podataka, kao i lista odjela i informacijskih repozitorija tvrtke u kojima je potrebno obratiti pozornost na zaštitu.

Članak 12. Prekogranični prijenos osobnih podataka. Ako se informacijski sustav s podacima o građanima Ruske Federacije nalazi u zemlji koja nije ratificirala Konvenciju o zaštiti osobnih podataka (primjerice u Izraelu), treba se pridržavati odredbi ruskog zakonodavstva.

Članak 22. Obavijest o obradi osobnih podataka. Preduvjet kako se ne bi privukla nepotrebna pozornost regulatora. Ako obavljate djelatnost vezanu uz osobne podatke, prijavite to sami ne čekajući inspekcije.

Gdje se osobni podaci mogu nalaziti

Tehnički, PD se može nalaziti bilo gdje, od tiskanih medija (papirnate datoteke) do strojnih medija ( tvrdih diskova, flash pogoni, CD-ovi itd.). Odnosno, fokus pažnje bilo koje pohranjivanje podataka koji spadaju pod definiciju ISPD (informacijski sustavi osobnih podataka).

Geografija lokacije je zasebno veliko pitanje. S jedne strane, osobni podaci Rusa ( pojedinaca koji su državljani Ruske Federacije) moraju biti pohranjeni na teritoriju Ruske Federacije. S druge strane, u ovom trenutku to je više vektor razvoja situacije nego fait accompli. Mnoga međunarodna i izvozna poduzeća, razni holdingi i zajednička ulaganja kroz povijest su imali distribuiranu infrastrukturu - i to se neće promijeniti preko noći. Za razliku od načina pohrane i zaštite osobnih podataka, koji se moraju prilagoditi gotovo sada, odmah.

Minimalni popis odjela uključenih u evidentiranje, sistematizaciju, prikupljanje, pohranjivanje, pojašnjenje (ažuriranje, mijenjanje), preuzimanje osobnih podataka:

• Kadrovska služba.
• Odjel prodaje.
• Pravni odjel.

Budući da rijetko postoji savršeni poredak, u stvarnosti se najnepredvidljivije jedinice često mogu dodati ovom "očekivanom" popisu. Na primjer, skladište može bilježiti personalizirane informacije o dobavljačima ili sigurnosna služba može voditi vlastitu detaljnu evidenciju o svima koji ulaze u prostorije. Tako se, usput, sastav osobnih podataka za zaposlenike može nadopuniti podacima o klijentima, partnerima, izvođačima, ali i slučajnim pa čak i tuđim posjetiteljima – čiji osobni podaci postaju “zločin” prilikom fotografiranja za propusnicu, skeniranja osobnu iskaznicu, te u nekim drugim slučajevima. ACS (sustavi kontrole i upravljanja pristupom) lako mogu postati izvor problema u kontekstu zaštite osobnih podataka. Dakle, odgovor na pitanje "Gdje?" sa stajališta usklađenosti sa Zakonom, to zvuči ovako: svugdje na području izvješćivanja. Precizniji odgovor može se dati samo provođenjem odgovarajuće revizije. Ovo je prva faza projekt o zaštiti osobnih podataka. Cijeli popis njegove ključne faze:

1) Revizija postojećeg stanja u poduzeću.

2) Izrada tehničkog rješenja.

3) Priprema procesa zaštite osobnih podataka.

4) Provjera usklađenosti tehničkog rješenja i postupka zaštite osobnih podataka sa zakonodavstvom Ruske Federacije i propisima tvrtke.

5) Izvedba tehničkog rješenja.

6) Pokretanje postupka zaštite osobnih podataka.

1. Revizija postojećeg stanja u poduzeću

Prije svega provjerite u HR službi i ostalim službama koje koriste papirnate medije s osobnim podacima:

• Postoje li obrasci privole za obradu osobnih podataka? Jesu li ispunjeni i potpisani?
• Poštuje li se „Uredba o posebnostima obrade osobnih podataka bez upotrebe alata za automatizaciju“ od 15. rujna 2008. br. 687?

Odredite zemljopisni položaj ISPD-a:

• U kojim zemljama se nalaze?
• Na temelju čega?
• Postoje li ugovori za njihovo korištenje?
• Kakva tehnološka zaštita koristi se za sprječavanje curenja podataka ?
• Koje se organizacijske mjere poduzimaju za zaštitu osobnih podataka?

U idealnom slučaju, informacijski sustav s osobnim podacima Rusa trebao bi biti u skladu sa svim zahtjevima Zakona 152-FZ „O osobnim podacima“, čak i ako se nalazi u inozemstvu.

Na kraju, obratite pozornost na impresivan popis dokumenata koji su potrebni u slučaju verifikacije (ovo nije sve, samo glavni popis):

• Obavijest o obradi PD.
• Dokument koji identificira osobu odgovornu za organiziranje obrade osobnih podataka.
• Popis zaposlenika ovlaštenih za obradu osobnih podataka.
• Dokument koji definira mjesto skladištenja PD-a.
• Potvrda o obradi posebnih i biometrijskih kategorija osobnih podataka.
• Potvrda o prekograničnom prijenosu osobnih podataka.
• Standardni obrasci dokumenata s osobnim podacima.
• Standardni obrazac privole za obradu osobnih podataka.
• Postupak prijenosa PD na treće osobe.
• Postupak evidentiranja zahtjeva subjekata PD.
• Popis informacijskih sustava osobnih podataka (ISPD).
• Dokumenti koji reguliraju sigurnosno kopiranje podataka u ISPD.
• Popis korištenih alata za informacijsku sigurnost.
• Postupak uništavanja osobnih podataka.
• Matrica pristupa.
• Model prijetnje.
• Dnevnik za snimanje strojnih medija PDn.
• Dokument koji definira razine sigurnosti za svaki ISPD u skladu s PP-1119 od 1. studenog 2012. „O odobrenju zahtjeva za zaštitu osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka.”

2. Izrada tehničkog rješenja

Opis organizacijskih i tehničkih mjera koje se moraju poduzeti za zaštitu osobnih podataka dan je u poglavlju 4. „Odgovornosti operatera” Zakona 152-FZ „O osobnim podacima”. Tehničko rješenje mora se temeljiti na odredbama članka 2. Zakona 242-FZ od 21. srpnja 2014.

Ali kako poštivati ​​zakon i obrađivati ​​osobne podatke građana Ruske Federacije na teritoriju Rusije u slučaju kada se izvor podataka još uvijek nalazi u inozemstvu? Ovdje postoji nekoliko opcija:

• Fizički prijenos informacijski sustav i baza podataka na području Ruske Federacije. Ako je tehnički izvedivo, ovo će biti najlakše.
• PD podatke ostavljamo u inozemstvu, ali u Rusiji stvaramo njihovu kopiju i postavljamo jednosmjernu replikaciju PD podataka ruskih građana iz ruske kopije u inozemnu. Istodobno, u stranom sustavu potrebno je isključiti mogućnost izmjene osobnih podataka građana Ruske Federacije; sve promjene moraju se izvršiti samo putem ruskog ISPD-a.
• Postoji nekoliko ISPD-ova i svi su u inozemstvu. Prijenos može biti skup ili tehnički neizvediv (npr. nemoguće je odabrati dio baze podataka s osobnim podacima građana Ruske Federacije i preseliti ga u Rusiju). U ovom slučaju, rješenje može biti stvaranje novog ISPD-a na bilo kojoj dostupnoj platformi na poslužitelju u Rusiji, odakle će se izvršiti jednosmjerna replikacija na svaki strani ISPD. Napominjem da izbor platforme ostaje na tvrtki.

Ako PDn nije u potpunosti i isključivo prenesen u Rusiju, nemojte zaboraviti navesti u potvrdi o prekograničnom prijenosu podataka kome se i koji određeni skup PD šalje. Obavijest o obradi mora naznačiti svrhu prijenosa osobnih podataka. Opet, ovaj cilj mora biti legitiman i jasno opravdan.

3. Priprema procesa zaštite osobnih podataka

Proces zaštite osobnih podataka trebao bi odrediti barem sljedeće točke:

• Popis odgovornih za obradu osobnih podataka u društvu.
• Postupak pružanja pristupa ISPD-u. Idealno, ovo je matrica pristupa s razinom pristupa za svaku poziciju ili određenog zaposlenika (čitaj/čitaj-piši/modificiraj). Ili popis dostupnih osobnih podataka za svaku poziciju. Sve ovisi o implementaciji IP-a i zahtjevima tvrtke.
• Revizija pristupa osobnim podacima i analiza pokušaja pristupa kojima se krše razine pristupa.
• Analiza razloga nedostupnosti osobnih podataka.
• Postupak odgovaranja na zahtjeve subjekata PD-a u vezi s njihovim PD-om.
• Revizija popisa osobnih podataka koji se prenose izvan društva.
• Pregled primatelja osobnih podataka, uključujući i inozemstvo.
• Periodični pregled modela prijetnji za osobne podatke, kao i promjena u razini zaštite osobnih podataka u vezi s promjenama modela prijetnji.
• Ažuriranje dokumenata tvrtke (popis je gore, a po potrebi se može dopuniti).

Ovdje možete detaljno opisati svaku točku, ali bih želio obratiti posebnu pozornost na razinu sigurnosti. Određuje se na temelju sljedećih dokumenata (čitajte redom):

1. “Metodologija identificiranja trenutnih prijetnji sigurnosti osobni podaci kada se obrađuju u informacijskim sustavima osobnih podataka" (FSTEC RF 14. veljače 2008.).

2. Uredba Vlade Ruske Federacije br. 1119 od 1. studenog 2012. „O odobrenju zahtjeva za zaštitu osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka.”

3. Naredba FSTEC-a br. 21 od 18. veljače 2013. „O odobrenju sastava i sadržaja organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka.”

Također, ne zaboravite uzeti u obzir potrebu za takvim kategorijama troškova kao što su:

• Organizacija projektni tim i upravljanje projektima.
• Programeri za svaku od ISPDn platformi.
• Kapacitet poslužitelja (vlastiti ili iznajmljeni u podatkovnom centru).

Do kraja druge i treće faze projekta trebali biste imati:

• Obračun troškova.
• Zahtjevi kvalitete.
• Rokovi i raspored projekta.
• Tehnički i organizacijski rizici projekta.

4. Provjera usklađenosti tehničkog rješenja i postupka zaštite osobnih podataka sa zakonodavstvom Ruske Federacije i propisima tvrtke

Kratko u tekstu, ali važna faza, unutar kojeg morate biti sigurni da sve planirane radnje nisu u suprotnosti sa zakonodavstvom Ruske Federacije i pravilima tvrtke (na primjer, sigurnosnim politikama). Ukoliko se to ne učini, u temelje projekta bit će postavljena bomba koja u budućnosti može “eksplodirati” uništavajući dobrobiti postignutih rezultata.

5. Provedba tehničkog rješenja

Ovdje je sve više-manje očito. Specifičnosti ovise o početnoj situaciji i odlukama. Ali općenito bi slika trebala izgledati ovako:

• Kapacitet poslužitelja je dodijeljen.
• Mrežni inženjeri osigurali su dovoljan kapacitet kanala između PDn prijamnika i odašiljača.
• Programeri su uspostavili replikaciju između ISPDn baza podataka.
• Administratori su spriječili promjene ISPD-ova koji se nalaze u inozemstvu.

Osoba odgovorna za zaštitu osobnih podataka ili "vlasnik procesa" može biti ista osoba ili različita. Sama činjenica je da “vlasnik procesa” mora pripremiti svu dokumentaciju i organizirati cijeli proces zaštite osobnih podataka. Za to je potrebno obavijestiti sve zainteresirane strane, uputiti zaposlenike, a informatičkoj službi omogućiti provedbu tehničkih mjera zaštite podataka.

6. Pokretanje postupka zaštite osobnih podataka

Ovo je važan korak iu određenom smislu cilj cijelog projekta je uvođenje kontrole u tok. osim tehnička rješenja i regulatorne dokumentacije, uloga vlasnika procesa ovdje je ključna. On mora pratiti promjene ne samo u zakonodavstvu, već iu IT infrastrukturi. To znači da su potrebne odgovarajuće vještine i kompetencije.

Osim toga, ono što je kritično važno u uvjetima pravi posao, nositelj procesa zaštite osobnih podataka treba sve potrebne ovlasti i administrativnu podršku uprave tvrtke. Inače će biti vječiti “molitelj” na kojeg nitko ne obraća pozornost, a nakon nekog vremena projekt se može ponovno pokrenuti, ponovno s revizijom.

Nijanse

Nekoliko točaka koje je lako zanemariti:

• Ako radite s podatkovnim centrom, potreban vam je ugovor o pružanju usluge poslužiteljskog kapaciteta, prema kojem vaša tvrtka legalno pohranjuje podatke i kontrolira ih.
• Potrebne su vam licence za softver koji se koristi za prikupljanje, pohranu i obradu osobnih podataka ili ugovori o najmu.
• Ako se ISPD nalazi u inozemstvu, potreban je ugovor s tvrtkom koja tamo posjeduje sustav - kako bi se jamčilo poštivanje zakonodavstva Ruske Federacije u vezi s osobnim podacima Rusa.
• Ako se osobni podaci prenose ugovaratelju vaše tvrtke (primjerice IT outsourcing partneru), tada ćete u slučaju curenja osobnih podataka od outsourcinga biti odgovorni za potraživanja. Zauzvrat, vaša tvrtka može podnijeti tužbe protiv naručitelja usluga. Možda ovaj faktor može utjecati na samu činjenicu outsourcinga rada.

I još jednom, najvažnije je da se zaštita osobnih podataka ne može jednostavno osigurati. To je proces. Stalan iterativni proces koji će uvelike ovisiti o daljnjim promjenama u zakonodavstvu, kao io formatu i strogosti primjene ovih pravila u praksi.