Marina Prokhorova, urednik časopisa "Osobni podaci"
Natalia Samoilova, Pravnik u InfoTechnoProjectu
Regulatorni okvir koji je do danas razvijen u području obrade osobnih podataka, dokumenti koje tek treba donijeti za učinkovitiju organizaciju rada na zaštiti osobnih podataka u organizacijama, tehnički aspekti pripreme informacijski sustavi operateri osobnih podataka - ovo su teme u U zadnje vrijeme dotaknuti su u mnogim novinskim i časopisnim publikacijama posvećenim problematici osobnih podataka. U ovom bih se članku želio osvrnuti na takav aspekt organizacije rada bankarskih i kreditnih institucija kao što je "netehnička" zaštita osobnih podataka koji se obrađuju u tim organizacijama.
Počnimo s konkretnim primjerom
Riječ je o sudskoj reviziji slučaja o zaštiti osobnih podataka, pokrenutom protiv Sberbanka u lipnju 2008. Bit suđenja bila je sljedeća. Između građanina i banke sklopljen je ugovor o jamstvu, prema kojem se građanin obvezuje odgovarati banci za ispunjenje obveza zajmoprimca iz ugovora o kreditu. Potonja nije ispunila svoje obveze u roku utvrđenom ugovorom o kreditu, podaci o jamcu kao nepouzdanom klijentu uneseni su u automatizirani informacijski sustav banke Stop-List, što je pak bila osnova za odbijanje odobrenja njemu zajam. Istodobno, banka nije niti obavijestila građanina o nepropisnom ispunjavanju obveza iz ugovora o kreditu od strane dužnika. Osim toga, u ugovoru o jamstvu nije naznačeno da u slučaju neurednog ispunjavanja obveza od strane korisnika kredita, banka ima pravo unijeti podatke o jamcu u informacijski sustav Stop liste. Dakle, banka je obradila osobne podatke građanina uključivši podatke o njemu u informacijski sustav Stop liste bez njegovog pristanka, čime je prekršila zahtjeve 1. dijela čl. 9 Saveznog zakona br. 152-FZ od 27. srpnja 2006. "O osobnim podacima", prema kojem subjekt osobnih podataka odlučuje dati svoje osobne podatke i pristaje na njihovu obradu vlastitom voljom iu vlastitom interesu. Osim toga, na način propisan dijelom 1. čl. 14. istog zakona, građanin se obratio banci sa zahtjevom da mu omogući da se upozna s podacima koji su o njemu uneseni u informacijski sustav Stop lista, te da te podatke blokira i uništi. Banka je odbila udovoljiti zahtjevima građana.
Na temelju rezultata razmatranja slučaja, Lenjinski okružni sud u Vladivostoku udovoljio je zahtjevima Ureda Roskomnadzora za Primorsko područje protiv ruske Sberbank za zaštitu povrijeđenih prava građana i naredio banci da uništi podatke o građanin iz informacijskog sustava Stop liste.
Zašto je ovaj primjer značajan? Banke, pohranjujući osobne podatke značajnog broja svojih klijenata, ne ustručavaju se premještati ih iz jedne baze podataka u drugu, i to najčešće bez da o tome obavijeste subjekta osobnih podataka, a da ne govorimo o dobivanju njegovog pristanka na takve radnje. osobni podaci. Naravno, bankarska djelatnost ima niz obilježja, a često se osobni podaci klijenata koriste ne samo za ispunjavanje ugovora koje je banka sklopila, već i za vršenje kontrole banke nad ispunjavanjem svojih obveza od strane klijenta, ali to znači da je za svaku manipulaciju osobnim podacima već potreban pristanak subjekta.
Poteškoće u tumačenju odredbi
Zašto ne učiniti legalnim sve operacije s osobnim podacima? Naravno, to će najvjerojatnije zahtijevati angažman stručnjaka trećih strana, budući da su i odvjetnici iz pravnih odjela velikih banaka prvorazredni profesionalci samo u određenom području, te se moraju upoznati sa specifičnostima rada u polje osobnih podataka praktički od nule. Stoga je najbolji izlaz uključiti tvrtke specijalizirane za pružanje usluga organizacije rada s osobnim podacima, uključujući i one koje su sposobne izvršiti reviziju usklađenosti vaših netehničkih mjera zaštite sa zahtjevima zakonodavca, da rade na organizaciji osobnih podataka. sustav zaštite.
Rezultati analitičkih studija omogućuju nam da zaključimo da tumačenje koje odredbe Saveznog zakona br. 152-FZ "O osobnim podacima" izazivaju najveće poteškoće.
U skladu s dijelom 1. članka 22. ovog regulatornog dokumenta, operater je dužan obavijestiti ovlašteno tijelo o obradi osobnih podataka. Među iznimkama je slučaj kada su osobni podaci koji se obrađuju dobiveni u vezi sa sklapanjem ugovora u kojem je subjekt osobnih podataka stranka... te ih operater koristi isključivo za ispunjenje navedenog ugovora na temelju stavak 2. dijela 2. članka 22. Saveznog zakona broj 152-FZ "O osobnim podacima". Na temelju ove odredbe neke banke ne dostavljaju obavijest o obradi osobnih podataka, a mnoge se ne smatraju operaterima, što je bitno pogrešno.
Također, još jedna česta greška banaka, kao operatera osobnih podataka, vezana uz ugovor je sljedeća. Prema čl. 6. navedenog zakona, obradu osobnih podataka operater može provoditi uz privolu subjekata osobnih podataka, osim u slučajevima među kojima se obrada provodi radi ispunjenja ugovora, jednog od stranke kojima je subjekt osobnih podataka. Stoga mnoge bankarske institucije svoj nedostatak privole subjekta osobnih podataka objašnjavaju upravo činjenicom sklapanja takvog ugovora.
Ali razmislimo o tome, ne koristi li banka, kao operater, osobne podatke subjekta primljene prilikom sklapanja ugovora, na primjer, za slanje obavijesti o novim uslugama, za održavanje "Stop-liste"? To znači da se obrada osobnih podataka provodi ne samo u svrhu ispunjenja ugovora, već i u druge svrhe čije je postizanje od komercijalnog interesa za banke, dakle:
- banke su dužne nadležnom tijelu dostaviti obavijest o obradi osobnih podataka;
- banke bi trebale obrađivati osobne podatke samo uz pristanak subjekta.
A to znači da banke moraju organizirati sustav za rad s osobnim podacima svojih klijenata, odnosno osigurati netehničku zaštitu tih podataka.
Pisani pristanak za obradu osobnih podataka
Što se tiče privole subjekta osobnih podataka za obradu osobnih podataka, Savezni zakon br. 152-FZ "O osobnim podacima" obvezuje operatere da dobiju pisani pristanak za obradu osobnih podataka samo u slučajevima određenim zakonom. Istodobno, u skladu s dijelom 3. čl. 9, obvezu dokazivanja privole subjekta na obradu njegovih osobnih podataka ima operater. Kako ne bismo gubili vrijeme, ako je potrebno, na prikupljanje takvih dokaza (primjerice, traženje svjedoka), po našem mišljenju, u svakom slučaju bolje je dobiti suglasnost subjekata u pisanom obliku.
Evo još jednog argumenta za pisani oblik obrade osobnih podataka. Često djelatnost banaka uključuje prijenos podataka (uključujući osobne podatke) na područje strane države. Ovom prilikom, dio 1. čl. 12 Saveznog zakona br. 152-FZ "O osobnim podacima" navodi se da je prije početka prekograničnog prijenosa osobnih podataka operater dužan osigurati da strana država u koju se vrši prijenos osobnih podataka pruža odgovarajuću zaštitu prava subjekata osobnih podataka. Ako takva zaštita nije osigurana, prekogranični prijenos osobnih podataka moguć je samo uz pisani pristanak subjekta osobnih podataka. Može se pretpostaviti da je službeniku banke lakše dobiti pisani pristanak klijenta za obradu osobnih podataka nego utvrditi stupanj primjerenosti njihove zaštite u stranoj državi.
Skrećemo vam pozornost na činjenicu da su podaci koje mora sadržavati pisani pristanak navedeni u dijelu 4. čl. 9. navedenog Saveznog zakona, te je ovaj popis konačan. A potpis ispod izraza, na primjer, u ugovoru o zajmu: "Slažem se s korištenjem mojih osobnih podataka", prema Saveznom zakonu br. 152-FZ "O osobnim podacima", nije pristanak na njihovu obradu!
Čini se da postoji samo nekoliko točaka zakona, ali koliko komplikacija, sve do parnice, može izazvati njihovo pogrešno tumačenje. Osim toga, danas, kada osobni podaci subjekata često postaju roba u konkurentskoj borbi različitih struktura, uspješno rješavanje pitanja njihove zaštite, osiguravanje sigurnosti informacijskih sustava bankovnih i kreditnih institucija postaje ključ za održavanje ugled, dobro ime bilo koje organizacije.
Građani su svakim danom sve svjesniji mogućih negativnih posljedica širenja njihovih osobnih podataka, čemu pridonosi i pojava specijaliziranih publikacija. Tu su i izvori informacija razne tvrtke. Neki od njih općenito pokrivaju cijeli niz pitanja povezanih s konceptom " sigurnost informacija", drugi su posvećeni pregledima mjera i sredstava tehničke zaštite, netko se, naprotiv, fokusira na probleme povezane s netehničkom zaštitom. Drugim riječima, informacije o zaštiti osobnih podataka postaju sve dostupnije, što znači da će građani biti pametniji u zaštiti svojih prava.
POLOŽAJ
o zaštiti osobnih podataka
Klijenti (pretplatnici)
u Ortes-Finance LLC
Pojmovi i definicije
1.1. Osobne informacije— sve informacije koje se odnose na pojedinca identificiranog ili utvrđenog na temelju takvih podataka (predmet osobnih podataka), uključujući njegovo prezime, ime, patronim, godinu, mjesec, datum i mjesto rođenja, adresu, e-mail adresu , broj telefona, obitelj, socijalno, imovinsko stanje, obrazovanje, zanimanje, prihod, ostali podaci.
1.2. Obrada osobnih podataka- radnje (operacije) s osobnim podacima, uključujući prikupljanje, sistematizaciju, akumulaciju, pohranjivanje, pojašnjenje (ažuriranje, mijenjanje), korištenje, distribuciju (uključujući prijenos), depersonalizaciju, blokiranje.
1.3. Povjerljivost osobnih podataka— obavezni zahtjev da imenovana odgovorna osoba koja je ostvarila pristup osobnim podacima spriječi njihovu distribuciju bez privole subjekta ili druge zakonske osnove.
1.4. Širenje osobnih podataka- radnje usmjerene na prijenos osobnih podataka određenom krugu osoba (prijenos osobnih podataka) ili na upoznavanje s osobnim podacima neograničenog broja osoba, uključujući objavu osobnih podataka u medijima, postavljanje u informacijske i telekomunikacijske mreže ili omogućavanja pristupa osobnim podacima na bilo koji ili na bilo koji drugi način.
1.5. Korištenje osobnih podataka– radnje (operacije) s osobnim podacima koje se obavljaju u svrhu donošenja odluka ili poduzimanja drugih radnji kojima nastaju pravne posljedice u odnosu na subjekte osobnih podataka ili na drugi način utječu na njihova prava i slobode ili prava i slobode drugih osoba.
1.6. Blokiranje osobnih podataka- privremenu obustavu prikupljanja, sistematizacije, prikupljanja, korištenja, distribucije osobnih podataka, uključujući njihov prijenos.
1.7. Uništavanje osobnih podataka— radnje uslijed kojih je nemoguće vratiti sadržaj osobnih podataka u informacijski sustav osobnih podataka ili uslijed kojih se uništavaju materijalni nositelji osobnih podataka.
1.8. Depersonalizacija osobnih podataka- radnje, zbog kojih je nemoguće bez upotrebe dodatne informacije utvrditi vlasništvo nad osobnim podacima određenog subjekta.
1.9. Javni osobni podaci- osobni podaci, pristup neograničenog broja osoba kojima je dopušten uz suglasnost subjekta ili koji, u skladu sa saveznim zakonima, ne podliježu zahtjevu povjerljivosti.
1.10. Informacija- informacije (poruke, podaci) bez obzira na oblik njihove prezentacije.
1.11. Klijent (subjekt osobnih podataka)- pojedinačni korisnik usluga Ortes-Finance LLC, u daljnjem tekstu "Organizacija".
1.12. Operater- državno tijelo, općinsko tijelo, pravna osoba ili pojedinac, samostalno ili zajedno s drugim osobama koje organiziraju i (ili) provode obradu osobnih podataka, kao i utvrđuju svrhe obrade osobnih podataka, sastav osobnih podataka podaci koji se obrađuju, radnje (operacije) koje se izvode s osobnim podacima. U okviru ovog Pravilnika, Operater je društvo s ograničenom odgovornošću "Ortes-Finance";
2. Opće odredbe.
2.1. Ova Uredba o obradi osobnih podataka (u daljnjem tekstu Uredba) razvijena je u skladu s Ustavom Ruske Federacije, Građanskim zakonikom Ruske Federacije, Saveznim zakonom "O informacijama, informacijskim tehnologijama i zaštiti Informacije", Savezni zakon 152-FZ "O osobnim podacima", drugi savezni zakoni.
2.2. Svrha izrade Uredbe je utvrditi postupak obrade i zaštite osobnih podataka svih klijenata Organizacije, čiji su podaci predmet obrade, na temelju ovlasti operatera; osiguranje zaštite prava i sloboda čovjeka i građanina pri obradi njegovih osobnih podataka, uključujući zaštitu prava na privatnost, osobnu i obiteljsku tajnu, kao i utvrđivanje odgovornosti službenih osoba koje imaju pristup osobnim podacima za nepoštivanje zahtjeva propisa kojima se uređuje obrada i zaštita osobnih podataka.
2.3. Postupak stupanja na snagu i izmjene Pravilnika.
2.3.1. Ovaj Pravilnik stupa na snagu od trenutka kada ga odobri Generalni direktor Organizacije i vrijedi neograničeno vrijeme, dok ga ne zamijeni novi Pravilnik.
2.3.2. Izmjene Pravilnika vrše se na temelju Naredbi Generalnog direktora Organizacije.
3. Sastav osobnih podataka.
3.1. Sastav osobnih podataka Klijenta uključuje:
3.1.1. Puno ime.
3.1.2. Godina rođenja.
3.1.3. Mjesec rođenja.
3.1.4. Datum rođenja.
3.1.5. Mjesto rođenja.
3.1.6. Podaci o putovnici
3.1.7. Email adresa.
3.1.8. Broj telefona (kućni, mobitel).
3.2. Sljedeći dokumenti i informacije mogu se stvarati (izrađivati, prikupljati) i pohranjivati u Organizaciji, uključujući u u elektroničkom obliku, koji sadrži podatke o Klijentima:
3.2.1. Prijava za anketu o mogućnosti povezivanja pojedin.
3.2.2. Ugovor (javna ponuda).
3.2.3. Potvrda o pristupanju ugovoru.
3.2.5. Preslike osobnih dokumenata, kao i drugih dokumenata koje dostavlja Naručitelj, a sadrže osobne podatke.
3.2.6. Podaci o plaćanjima za narudžbe (robe/usluge), koji sadrže podatke o plaćanju i druge podatke o Naručitelju.
4. Svrha obrade osobnih podataka.
4.1. Svrha obrade osobnih podataka je provedba skupa radnji usmjerenih na postizanje cilja, uključujući:
4.1.1. Pružanje savjetodavnih i informacijskih usluga.
4.1.2. Druge transakcije koje nisu zabranjene zakonom, kao i skup radnji s osobnim podacima potrebnih za izvršenje navedenih transakcija.
4.1.3. Kako bi se ispunili zahtjevi zakonodavstva Ruske Federacije.
4.2. Uvjet za prestanak obrade osobnih podataka je likvidacija Organizacije, kao i odgovarajući zahtjev Klijenta.
5. Prikupljanje, obrada i zaštita osobnih podataka.
5.1. Postupak dobivanja (prikupljanja) osobnih podataka:
5.1.1. Sve osobne podatke Klijenta treba dobiti od njega osobno uz njegov pisani pristanak, osim u slučajevima navedenim u stavcima 5.1.4 i 5.1.6 ovih Pravila i drugih slučajeva predviđenih zakonima Ruske Federacije.
5.1.2. Klijentov pristanak za korištenje njegovih osobnih podataka pohranjuje se u Organizaciji u papirnatom i/ili elektroničkom obliku.
5.1.3. Privola subjekta za obradu osobnih podataka vrijedi za cijelo vrijeme trajanja ugovora, kao i u roku od 5 godina od dana prestanka ugovornog odnosa između Naručitelja i Organizacije. Nakon isteka navedenog roka, suglasnost se smatra produljenom za svakih sljedećih pet godina u slučaju izostanka podataka o njezinom povlačenju.
5.1.4. Ukoliko se osobni podaci Klijenta mogu dobiti samo od treće strane, Klijenta je potrebno prethodno obavijestiti o tome i od njega dobiti pisanu suglasnost. Treća strana koja daje osobne podatke Klijenta mora imati suglasnost subjekta za prijenos osobnih podataka Organizaciji. Organizacija je dužna od treće strane koja prenosi osobne podatke Klijenta ishoditi potvrdu da se osobni podaci prenose uz njegovu suglasnost. Organizacija je dužna u interakciji s trećim stranama s njima sklopiti ugovor o povjerljivosti podataka koji se odnose na osobne podatke Klijenta.
5.1.5. Organizacija je dužna informirati Klijenta o svrhama, navodnim izvorima i metodama dobivanja osobnih podataka, kao io prirodi osobnih podataka koji se prikupljaju i posljedicama Klijentovog odbijanja davanja osobnih podataka dati pisani pristanak za primanje osobnih podataka. ih.
5.1.6. Obrada osobnih podataka Klijenta bez njihove privole provodi se u sljedećim slučajevima:
5.1.6.1. Osobni podaci su javni.
5.1.6.2. Na zahtjev ovlaštenih državnih tijela u slučajevima predviđenim saveznim zakonom.
5.1.6.3. Obrada osobnih podataka provodi se na temelju saveznog zakona koji utvrđuje njegovu svrhu, uvjete za dobivanje osobnih podataka i krug subjekata čiji osobni podaci podliježu obradi, kao i određivanje ovlasti operatera.
5.1.6.4. Obrada osobnih podataka provodi se u svrhu sklapanja i izvršenja ugovora čija je jedna od strana subjekt osobnih podataka - Klijent.
5.1.6.5. Obrada osobnih podataka provodi se u statističke svrhe, uz obveznu depersonalizaciju osobnih podataka.
5.1.6.6. U drugim slučajevima predviđenim zakonom.
5.1.7. Organizacija nema pravo primati i obrađivati osobne podatke Klijenta o njegovoj rasi, nacionalnosti, političkim stavovima, vjerskim ili filozofskim uvjerenjima, zdravstvenom stanju, intimnom životu.
5.2. Postupak obrade osobnih podataka:
5.2.1. Subjekt osobnih podataka pruža Organizaciji pouzdane podatke o sebi.
5.2.2. Pristup obradi osobnih podataka Klijenta mogu imati samo zaposlenici Organizacije koji smiju raditi s osobnim podacima Klijenta i koji su potpisali Ugovor o neobjavljivanju osobnih podataka Klijenta.
5.2.3. Sljedeće osobe imaju pravo pristupa osobnim podacima Klijenta u Organizaciji:
Generalni direktor Organizacije;
Zaposlenici odgovorni za financijske obračune (voditelj, računovođa).
Zaposlenici Odjela za odnose s kupcima (voditelj odjela prodaje, voditelj).
IT djelatnici (tehnički direktor, administrator sustava).
Klijent kao subjekt osobnih podataka.
5.2.3.1. Popis imena zaposlenika Organizacije koji imaju pristup osobnim podacima Klijenta utvrđuje se nalogom Generalnog direktora Organizacije.
5.2.4. Obrada osobnih podataka Klijenta može se provoditi isključivo u svrhe utvrđene Uredbom i u skladu sa zakonima i drugim regulatornim pravnim aktima Ruske Federacije.
5.2.5. Pri određivanju opsega i sadržaja obrađenih osobnih podataka, Organizacija se rukovodi Ustavom Ruske Federacije, zakonom o osobnim podacima i drugim saveznim zakonima.
5.3. Zaštita osobnih podataka:
5.3.1. Zaštita osobnih podataka Klijenta podrazumijeva skup mjera (organizacijskih, administrativnih, tehničkih, pravnih) usmjerenih na sprječavanje neovlaštenog ili slučajnog pristupa istima, uništavanje, mijenjanje, blokiranje, kopiranje, distribuciju osobnih podataka subjekata, kao i kao i druge nezakonite radnje.
5.3.2. Zaštita osobnih podataka Klijenta provodi se na trošak Organizacije na način propisan saveznim zakonom Ruske Federacije.
5.3.3. Prilikom zaštite osobnih podataka Klijenta, Organizacija poduzima sve potrebne organizacijske, administrativne, pravne i tehničke mjere, uključujući:
Antivirusna zaštita.
Sigurnosna analiza.
Otkrivanje i sprječavanje upada.
Kontrola pristupa.
Registracija i računovodstvo.
Osiguravanje integriteta.
Organizacija regulatornih i metodoloških lokalnih akata kojima se uređuje zaštita osobnih podataka.
5.3.4. Opću organizaciju zaštite osobnih podataka Klijenta provodi Generalni direktor Organizacije.
5.3.5. Zaposlenici Organizacije kojima su osobni podaci potrebni u vezi s obavljanjem radnih obaveza imaju pristup osobnim podacima Klijenta.
5.3.6. Svi zaposlenici uključeni u zaprimanje, obradu i zaštitu osobnih podataka Klijenta dužni su potpisati Ugovor o tajnosti osobnih podataka Klijenta.
5.3.7. Postupak za dobivanje pristupa osobnim podacima Klijenta uključuje:
Upoznavanje radnika s ovom Uredbom uz potpis. Ukoliko postoje drugi propisi (nalozi, upute, upute i sl.) koji reguliraju obradu i zaštitu osobnih podataka Klijenta, ti se akti također provjeravaju na potpis.
Zahtijevanje od zaposlenika (osim generalnog direktora) pismene obveze čuvanja povjerljivosti osobnih podataka Klijenta i poštivanja pravila njihove obrade u skladu s internim lokalnim aktima Organizacije koji reguliraju pitanja osiguranja sigurnost povjerljivih informacija.
5.3.8. Zaposlenik Organizacije koji ima pristup osobnim podacima Klijenta u vezi s obavljanjem radnih obveza:
Osigurava pohranu informacija koje sadrže osobne podatke Klijenta, isključujući pristup trećim osobama.
U slučaju odsutnosti zaposlenika, na njegovom radnom mjestu ne bi smjeli biti dokumenti koji sadrže osobne podatke Klijenta.
Prilikom odlaska na godišnji odmor, tijekom službenog putovanja i u drugim slučajevima duže odsutnosti zaposlenika na radnom mjestu, isti je dužan dokumente i druge medije koji sadrže osobne podatke Klijenta prenijeti osobi koja je lokalnim aktom Tvrtki (red, red), bit će povjereno izvršavanje njegovih radnih dužnosti.
Ako takva osoba nije imenovana, dokumenti i drugi mediji koji sadrže osobne podatke klijenata prenose se drugom zaposleniku koji ima pristup osobnim podacima klijenata prema uputama generalnog direktora Organizacije.
Nakon otkaza zaposlenika koji ima pristup osobnim podacima Klijenta, dokumenti i drugi mediji koji sadrže osobne podatke Klijenta prenose se drugom zaposleniku koji ima pristup osobnim podacima Klijenta po nalogu Generalnog direktora .
U svrhu izvršenja postavljenog zadatka, a na temelju dopisa s pozitivnim rješenjem Generalnog direktora, pristup osobnim podacima Klijenta može se omogućiti drugom zaposleniku. Zabranjen je pristup osobnim podacima Klijenta drugim zaposlenicima Organizacije koji nemaju propisno formaliziran pristup.
5.3.9. Voditelj ljudskih resursa osigurava:
Upoznavanje radnika s ovom Uredbom uz potpis.
Zahtijevanje od zaposlenika pisane obveze čuvanja povjerljivosti osobnih podataka Klijenta (Ugovor o tajnosti podataka) i pridržavanja pravila njihove obrade.
Opći nadzor nad pridržavanjem zaposlenika mjera zaštite osobnih podataka Klijenta.
5.3.10. Zaštitu osobnih podataka Klijenta pohranjenih u elektroničkim bazama Organizacije od neovlaštenog pristupa, iskrivljavanja i uništavanja informacija, kao i od drugih nezakonitih radnji, osigurava Administrator sustava.
5.4. Pohrana osobnih podataka:
5.4.1. Osobni podaci Klijenta na papiru pohranjuju se u sefove.
5.4.2. Osobni podaci Klijenta elektronički se pohranjuju u lokalnoj računalnoj mreži Organizacije, u elektroničkim mapama i datotekama u osobnim računalima Generalnog direktora i djelatnika ovlaštenih za obradu osobnih podataka Klijenta.
5.4.3. Dokumenti koji sadrže osobne podatke Klijenta pohranjuju se u ormare (sefove) koji se mogu zaključati i koji pružaju zaštitu od neovlaštenog pristupa. Na kraju radnog dana svi dokumenti koji sadrže osobne podatke Klijenta odlažu se u ormare (sefove) koji osiguravaju zaštitu od neovlaštenog pristupa.
5.4.4. Zaštitu pristupa elektroničkim bazama osobnih podataka Klijenta osiguravaju:
Korištenje licenciranih antivirusnih i antihakerskih programa koji ne dopuštaju neovlašteni pristup lokalnoj mreži Organizacije.
Razlikovanje prava pristupa korištenjem računa.
Dvostupanjski sustav zaporki: na razini lokalne računalne mreže i na razini baza podataka. Lozinke postavlja Administrator sustava Organizacije i priopćava ih pojedinačno zaposlenicima koji imaju pristup osobnim podacima Klijenta.
5.4.4.1. Neovlašteni pristup računalu na kojem se nalaze osobni podaci Klijenta blokiran je lozinkom koju postavlja Administrator sustava i ne podliježe otkrivanju.
5.4.4.2. Sve elektroničke mape i datoteke koje sadrže osobne podatke Klijenta zaštićene su lozinkom koju postavlja zaposlenik Organizacije odgovoran za računalo i prijavljuje Administratoru sustava.
5.4.4.3. Lozinke mijenja administrator sustava najmanje jednom svaka 3 mjeseca.
5.4.5. Kopiranje i izrada izvadaka osobnih podataka Klijenta dopušteno je isključivo u službene svrhe uz pisano dopuštenje Generalnog direktora Organizacije.
5.4.6. Odgovori na pisane zahtjeve drugih organizacija i institucija o osobnim podacima Klijenta daju se samo uz pisani pristanak samog Klijenta, osim ako zakonom nije drugačije određeno. Odgovori se daju u pisanom obliku, na memorandumu Organizacije, i to u mjeri koja dopušta da se ne otkrije prekomjerna količina osobnih podataka Klijenta.
6. Blokiranje, depersonalizacija, uništavanje osobnih podataka
6.1. Postupak blokade i deblokade osobnih podataka:
6.1.1. Blokada osobnih podataka Klijenta provodi se uz pisani zahtjev Klijenta.
6.1.2. Blokiranje osobnih podataka podrazumijeva:
6.1.2.2. Zabrana širenja osobnih podataka na bilo koji način (e-mail, mobilne komunikacije, materijalni mediji).
6.1.2.4. Povlačenje papirnatih dokumenata koji se odnose na Klijenta i sadrže njegove osobne podatke iz internog tijeka rada Organizacije i zabrana njihove uporabe.
6.1.3. Blokiranje osobnih podataka Klijenta može se privremeno ukloniti ako je to potrebno u skladu sa zakonodavstvom Ruske Federacije.
6.1.4. Deblokada osobnih podataka Naručitelja provodi se uz njegovu pisanu suglasnost (ukoliko postoji potreba za ishođenjem suglasnosti) ili zahtjevom Naručitelja.
6.1.5. Ponovna suglasnost Klijenta za obradu njegovih osobnih podataka (ako je potrebno i pribavljanje iste) povlači za sobom deblokadu njegovih osobnih podataka.
6.2. Postupak depersonalizacije i uništavanja osobnih podataka:
6.2.1. Depersonalizacija osobnih podataka Naručitelja događa se na pisani zahtjev Naručitelja, pod uvjetom da su sklopljeni svi ugovorni odnosi i da je prošlo najmanje 5 godina od datuma isteka zadnjeg ugovora.
6.2.2. Prilikom depersonalizacije osobni podaci u informacijskim sustavima zamjenjuju se skupom znakova po kojima je nemoguće utvrditi pripadaju li osobni podaci pojedinom Klijentu.
6.2.3. Papirnati nosači dokumenata uništavaju se prilikom depersonalizacije osobnih podataka.
6.2.4. Organizacija je dužna osigurati povjerljivost u odnosu na osobne podatke ako je potrebno testirati informacijske sustave na području razvojnog programera i depersonalizirati osobne podatke u informacijskim sustavima prenesenim na razvojnog programera.
6.2.5. Uništenje osobnih podataka Naručitelja podrazumijeva prestanak svakog pristupa osobnim podacima Naručitelja.
6.2.6. Kada su osobni podaci Klijenta uništeni, zaposlenici Organizacije ne mogu pristupiti osobnim podacima subjekta u informacijskim sustavima.
6.2.7. Prilikom uništavanja osobnih podataka uništavaju se papirnati nosači dokumenata, depersonaliziraju se osobni podaci u informacijskim sustavima. Osobni podaci se ne mogu vratiti.
6.2.8. Operacija uništenja osobnih podataka je nepovratna.
6.2.9. Razdoblje nakon kojeg je moguća operacija uništavanja osobnih podataka Klijenta određuje se do kraja razdoblja navedenog u stavku 7.3 ovih Pravila.
7. Prijenos i pohrana osobnih podataka
7.1. Prijenos osobnih podataka:
7.1.1. Pod prijenosom osobnih podataka subjekta podrazumijeva se širenje informacija putem komunikacijskih kanala i na materijalnim medijima.
7.1.2. Prilikom prijenosa osobnih podataka zaposlenici Organizacije moraju se pridržavati sljedećih zahtjeva:
7.1.2.1. Ne otkrivajte osobne podatke Klijenta u komercijalne svrhe.
7.1.2.2. Ne otkrivajte osobne podatke Klijenta trećoj strani bez pisanog pristanka Klijenta, osim ako je drugačije određeno saveznim zakonom Ruske Federacije.
7.1.2.3. Upozoriti osobe koje primaju osobne podatke Klijenta da se ti podaci mogu koristiti samo u svrhe za koje su prijavljeni, te zahtijevati od tih osoba da potvrde pridržavanje ovog pravila;
7.1.2.4. Omogućiti pristup osobnim podacima Klijenta samo posebno ovlaštenim osobama, pri čemu bi te osobe trebale imati pravo dobiti samo one osobne podatke Klijenta koji su nužni za obavljanje određenih funkcija.
7.1.2.5. Prenositi osobne podatke Klijenta unutar Organizacije u skladu s ovim Pravilnikom, regulatornom i tehnološkom dokumentacijom i opisom poslova.
7.1.2.6. Omogućiti Klijentu pristup njegovim osobnim podacima prilikom kontaktiranja ili primitka zahtjeva od Klijenta. Organizacija je dužna Klijentu pružiti informacije o dostupnosti osobnih podataka o njemu, kao i pružiti priliku da se s njima upozna u roku od deset radnih dana od dana podnošenja zahtjeva.
7.1.2.7. Prenijeti osobne podatke Klijenta predstavnicima Klijenta na način propisan zakonom i regulatornom i tehnološkom dokumentacijom i ograničiti te podatke samo na one osobne podatke subjekta koji su navedenim predstavnicima nužni za obavljanje njihovih funkcija.
7.2. Pohranjivanje i korištenje osobnih podataka:
7.2.1. Pohrana osobnih podataka odnosi se na postojanje zapisa u informacijskim sustavima i na fizičkim medijima.
7.2.2. Osobni podaci Klijenta obrađuju se i pohranjuju u informacijskim sustavima, kao i na papiru u Organizaciji. Osobni podaci Klijenta pohranjuju se iu elektroničkom obliku: u lokalnoj računalnoj mreži Organizacije, u elektroničkim mapama i datotekama u osobnom računalu Generalnog direktora i djelatnika ovlaštenih za obradu osobnih podataka Klijenta.
7.2.3. Pohranjivanje osobnih podataka Klijenta ne može se provoditi dulje nego što to zahtijevaju svrhe obrade, osim ako nije drugačije određeno saveznim zakonima Ruske Federacije.
7.3. Uvjeti čuvanja osobnih podataka:
7.3.1. Uvjeti pohrane ugovora o građanskom pravu koji sadrže osobne podatke klijenata, kao i dokumenata koji prate njihovo sklapanje, izvršenje - 5 godina od datuma isteka ugovora.
7.3.2. Tijekom razdoblja pohrane osobni podaci ne mogu se depersonalizirati niti uništiti.
7.3.3. Nakon isteka roka pohrane osobni podaci mogu se depersonalizirati u informacijskim sustavima i uništiti na papiru na način propisan Pravilnikom i važećim zakonodavstvom Ruske Federacije. (Prilog Zakona o uništavanju osobnih podataka)
8. Prava operatera osobnih podataka
Organizacija ima pravo:
8.1. Obranite svoje interese na sudu.
8.2. Dati osobne podatke klijenata trećim stranama, ako je to predviđeno važećim zakonom (porezi, agencije za provedbu zakona, itd.).
8.3. Odbiti davanje osobnih podataka u slučajevima predviđenim zakonom.
8.4. Koristiti osobne podatke Klijenta bez njegovog pristanka, u slučajevima predviđenim zakonodavstvom Ruske Federacije.
9. Prava klijenta
Klijent ima pravo:
9.1. Zahtijevati pojašnjenje svojih osobnih podataka, njihovo blokiranje ili uništavanje ako su osobni podaci nepotpuni, zastarjeli, nepouzdani, nezakonito dobiveni ili nisu nužni za navedenu svrhu obrade, kao i poduzeti zakonske mjere za zaštitu svojih prava;
9.2. Zahtijevati popis obrađenih osobnih podataka dostupnih u Organizaciji i izvor njihovog primitka.
9.3. Dobiti informacije o uvjetima obrade osobnih podataka, uključujući uvjete njihove pohrane.
9.4. Zahtijevati obavještavanje svih osoba koje su prethodno bile obaviještene o netočnim ili nepotpunim osobnim podacima o svim iznimkama, ispravcima ili dopunama istih.
9.5. Podnijeti žalbu ovlaštenom tijelu za zaštitu prava ispitanika ili sudu protiv nezakonitih radnji ili propusta u obradi njegovih osobnih podataka.
10. Odgovornost za povredu pravila koja uređuju obradu i zaštitu osobnih podataka
10.1. Zaposlenici Organizacije koji su krivi za kršenje pravila koja uređuju primanje, obradu i zaštitu osobnih podataka snose disciplinsku, upravnu, građansku ili kaznenu odgovornost u skladu s važećim zakonodavstvom Ruske Federacije i internim lokalnim aktima Organizacije.
nadzor nad provedbom potrebnih pravila. Popis korištene literature:
1. Savezni zakon "O bankama i bankarskim aktivnostima"
2. www.grandars.ru [ Elektronički izvor] Način pristupa: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Datum pristupa: 05.05.2016.)
3. In-bank.ru [Elektronički izvor] Način pristupa: http://journal.ib-bank.ru/post/411 (Datum pristupa: 05.05.2016.)
Khlestova Daria Robertovna
Email: [e-mail zaštićen]
ZNAČAJKE ZAŠTITE OSOBNIH PODATAKA U BANKARSKOM SEKTORU
anotacija
Ovaj članak govori o značajkama zaštite osobnih podataka klijenata u bankarskom sektoru. Naveden je niz pravnih akata na temelju kojih bi se trebao graditi sustav obrade i zaštite osobnih podataka u banci. Istaknut je popis mjera za organiziranje sigurnosti podataka u bankarskim institucijama.
Ključne riječi
Osobni podaci, sigurnost u bankama, informacijska sigurnost,
zaštita osobnih podataka
Zaštita osobnih podataka u doba informacijske tehnologije postala je posebno aktualna. Sve su češći slučajevi kada napadači dođu do bilo koje povjerljive informacije napadom na informacijske sustave organizacija. Bez sumnje, napadi ne zaobilaze bankarski sektor. Budući da bankarski sustavi sadrže veliki broj osobnih podataka klijenata, njihova bi sigurnost trebala biti pod velikom pažnjom države i samih vlasnika financijskih institucija.
Za početak je vrijedno shvatiti koji osobni podaci osobe mogu postati dostupni banci ako postane njezin klijent. Dakle, obavezno je: prezime, ime i patronim; Datum i mjesto rođenja; državljanstvo; mjesto registracije i stvarnog prebivališta; svi podaci o putovnici (serija, broj, kada i tko je izdao dokument); broj mobitela i kućni telefon; mjesto rada, položaj. U većini slučajeva institucije od osobe traže dodatne podatke, ali i bez njih lista podataka koje osoba vjeruje banci ispada impresivna. Naravno, klijent se nada da će njegovi osobni podaci biti pouzdano zaštićeni tijekom obrade i pohrane.
Kako bi financijske institucije mogle kvalitativno organizirati sustav za obradu i zaštitu osobnih podataka, potrebno je odrediti popis pravnih akata na koje se banka treba oslanjati pri radu s osobnim podacima klijenata: Ustav Ruske Federacije je najvažniji dokument zemlje; Zakon o radu Ruske Federacije; Građanski zakon i Kazneni zakon Ruske Federacije; Savezni zakon br. 152 "O osobnim podacima"; savezni zakon br. 149 "O
informacije, informacijske tehnologije i zaštita informacija”; savezni zakon br. 395-1 "O bankama i bankarskim aktivnostima". I u bankama se prilikom izrade sustava za obradu i pohranu osobnih podataka izrađuje niz lokalnih dokumenata koji pružaju dodatnu kontrolu rada s podacima.
Prilikom primanja osobnih podataka od klijenta, bankarska organizacija preuzima obvezu poduzimanja svih organizacijskih i tehničkih mjera za zaštitu informacija koje su joj povjerene od neovlaštenog pristupa (slučajnog ili namjernog), blokiranja, izmjene, uništavanja i drugih nezakonitih radnji. Vrijedno je istaknuti niz mjera za kvalitetnu organizaciju obrade i zaštite osobnih podataka u bankama: imenovanje odgovornih za obradu i osiguranje sigurnosti podataka u informacijskom sustavu banke; provođenje kontrolnih mjera i upoznavanje zaposlenika s relevantnim regulatornim okvirom i internim aktima na kojima se temelji sustav sigurnosti podataka banke; prepoznavanje prijetnji u obradi osobnih podataka u banci i mjere za njihovo suzbijanje; ocjenu učinkovitosti primijenjenih organizacijskih i tehničkih mjera za osiguranje zaštite podataka, prije uvođenja sustava zaštite u rad; računovodstvo svih strojnih nositelja osobnih podataka; uspostavljanje pravila za pristup sustavu obrade i zaštite za zaposlenike; u slučaju otkrivanja neovlaštenog pristupa zaštićenim podacima, poduzimanje mjera za otklanjanje prijetnje i vraćanje izgubljenih podataka. A obvezna mjera za banke s funkcionalnim sustavom pohrane i zaštite osobnih podataka klijenata je stalno praćenje i unapređenje sigurnosnog sustava.
Stoga je vrijedno napomenuti da se obrada, pohrana i zaštita osobnih podataka u bankama trebaju provoditi na temelju uvjeta utvrđenih regulatornim okvirom Ruske Federacije. Svaka financijska institucija mora: poštovati načelo zakonitosti pri organiziranju zaštite osobnih podataka svojih klijenata; provodi cijeli niz mjera za organizacijsku i tehničku zaštitu podataka; pri izradi lokalnih dokumenata koji se odnose na informacijsku sigurnost oslanjati se na najbolje ruske i međunarodne prakse u ovom području; pridržavati se svih zahtjeva regulatornih tijela (FSTEC, Roskomnadzor, FSB) kako bi se osigurala zaštita osobnih podataka klijenta.
Popis korištene literature:
1. Khlestova D.R., Popov K.G. „O pitanju pravnih aspekata zaštite osobnih podataka“
2. Savezni zakon "O bankama i bankarskoj djelatnosti"
3. Banka Rusije [Elektronički izvor] Način pristupa: http://www.cbr.ru/ (Datum pristupa: 06.05.2016.)
© Khlestova D.R., Popov K.G., 2016
Khlestova Daria Robertovna
Student 2. godine Instituta za ekonomiju i ponašanje BashGU, Ufa, RF E-mail: [e-mail zaštićen] Popov Kirill Gennadievich kandidat ekonomije, izvanredni profesor Odsjeka za informacijsku sigurnost, Baškirsko državno sveučilište, Ufa, RF
Email: [e-mail zaštićen]
POSLOVNA INTELIGENCIJA KAO NAJLEGALNIJI NAČIN DOBIVANJA INFORMACIJA
anotacija
Članak se bavi metodama poslovne inteligencije. Također je obrazloženo zašto je poslovno obavještavanje legalna djelatnost u poslovanju. Istaknuti osnovni principi kojih se treba pridržavati,
1. TEORIJSKE OSNOVE ZA SIGURNOST OSOBNIH PODATAKA
1.1 Zakonodavni okvir za zaštitu osobnih podataka u Ruskoj Federaciji
1.3.1 opće karakteristike izvori prijetnji neovlaštenog pristupa u informacijskom sustavu osobnih podataka.
1.3.2 Opće karakteristike prijetnji izravnog pristupa operativnom okruženju informacijskog sustava osobnih podataka
1.3.3 Opće karakteristike prijetnji sigurnosti osobnih podataka koje se implementiraju korištenjem mrežnih protokola
1.4 Obilježja Banke i njezine djelatnosti
1.5 Baze osobnih podataka
1.5.1 Informacijski sustav osobnih podataka zaposlenika organizacije
1.5.2 Informacijski sustav osobnih podataka sustava kontrole i upravljanja pristupom
1.5.3 Informacijski sustav osobnih podataka automatiziranog bankovnog sustava
1.6 Uređaj i prijetnje lokalnom računalna mreža Staklenka
1.7 Alati za informacijsku sigurnost
2.2 Zaštite softvera i hardvera
2.3 Osnovna sigurnosna politika
2.3.1 Sustav svijesti zaposlenika o informacijskoj sigurnosti
2.3.4 Kako zaposlenici rade s e-poštom
2.3.5 Politika lozinki Banke
3. EKONOMSKA OPRAVDANOST PROJEKTA
ZAKLJUČAK
Prijave.
UVOD
Raširena informatizacija koja je započela krajem 20. stoljeća traje do danas. Automatizacija procesa u poduzećima povećava produktivnost radnika. Korisnici informacijskih sustava mogu brzo doći do podataka potrebnih za obavljanje svojih dužnosti. Istovremeno, uz olakšavanje pristupa podacima, javljaju se i problemi sa sigurnošću tih podataka. Imajući pristup raznim informacijskim sustavima, napadači ih mogu koristiti za osobnu korist: prikupljanje podataka za prodaju na crnom tržištu, krađu Novac od klijenata organizacije, krađu poslovne tajne organizacije.
Stoga je problem zaštite kritičan važna informacija za organizacije je vrlo akutan. Iz medija se sve češće doznaje o raznim tehnikama ili metodama krađe novca hakiranjem informacijskih sustava financijskih organizacija. Dobivši pristup informacijskim sustavima osobnih podataka, napadač može ukrasti podatke klijenata financijskih organizacija, širiti informacije o njihovim financijskim transakcijama, nanoseći financijsku i reputacijsku štetu klijentu banke. Osim toga, saznavši podatke o klijentu, prevaranti mogu izravno nazvati klijenta, predstavljajući se kao zaposlenici banke i prijevarom, koristeći tehnike društvenog inženjeringa, saznati lozinke iz sustava udaljenog bankarstva i povući novac s računa klijenta.
U našoj je zemlji problem krađe i nezakonite distribucije osobnih podataka vrlo akutan. Na internetu postoji velik broj resursa koji sadrže ukradene baze osobnih podataka, uz pomoć kojih se npr. brojem mobitel, možete pronaći vrlo detaljne informacije o osobi, uključujući podatke o putovnici, adresu stanovanja, fotografije i još mnogo toga.
U ovom diplomskom projektu istražujem proces stvaranja sustava zaštite osobnih podataka u PJSC Citibank.
1. OSNOVE SIGURNOSTI OSOBNIH PODATAKA
1.1 Pravna osnova za zaštitu osobnih podataka
Danas se u Rusiji provodi državna regulativa u području osiguranja sigurnosti osobnih podataka. Glavni pravni akti koji reguliraju sustav zaštite osobnih podataka u Ruskoj Federaciji su Ustav Ruske Federacije i Savezni zakon "O osobnim podacima" od 27. srpnja 2006. br. 152-FZ. Ova dva glavna pravna akta utvrđuju glavne teze o osobnim podacima u Ruskoj Federaciji:
Svaki građanin ima pravo na privatnost, osobnu i obiteljsku tajnu, zaštitu svoje časti i dobrog imena;
Svatko ima pravo na tajnost dopisivanja, telefonskih razgovora, poštanskih, telegrafskih i drugih komunikacija. Ograničenje ovog prava dopušteno je samo na temelju sudske odluke;
Nije dopušteno prikupljanje, pohranjivanje, korištenje i širenje podataka o privatnom životu osobe bez njezina pristanka;
Obrada osobnih podataka mora se provoditi na zakonitoj i poštenoj osnovi;
Obrada osobnih podataka trebala bi biti ograničena na postizanje specifičnih, unaprijed određenih i legitimnih svrha. Nije dopuštena obrada osobnih podataka koja je nespojiva sa svrhama prikupljanja osobnih podataka.
Nije dopušteno spajanje baza podataka koje sadrže osobne podatke čija se obrada provodi u svrhe koje su međusobno nespojive.
Predmet obrade su samo osobni podaci koji udovoljavaju namjeni njihove obrade.
Pri obradi osobnih podataka mora se osigurati točnost osobnih podataka, njihova dostatnost, a po potrebi i relevantnost u odnosu na svrhe obrade osobnih podataka. Operater mora poduzeti ili osigurati da se poduzmu potrebne mjere za uklanjanje ili razjašnjenje nepotpunih ili netočnih podataka.
Pohranjivanje osobnih podataka treba se provoditi u obliku koji omogućuje određivanje predmeta osobnih podataka, ne dulje nego što to zahtijevaju svrhe obrade osobnih podataka, osim ako je razdoblje pohranjivanja osobnih podataka utvrđeno saveznim zakonom, ugovorom koji subjekt osobnih podataka je stranka, korisnik ili jamac. Obrađeni osobni podaci podliježu uništenju ili depersonalizaciji nakon postizanja ciljeva obrade ili u slučaju gubitka potrebe za postizanjem tih ciljeva, osim ako saveznim zakonom nije drugačije određeno.
Ostali propisi koji imaju pravni učinak u području zaštite osobnih podataka u organizacijama bankarskog sektora Ruske Federacije su:
Savezni zakon Ruske Federacije od 27. srpnja 2006. br. 149 FZ “O informacijama, informacijskim tehnologijama i zaštiti informacija”;
Zakon o radu Ruske Federacije (poglavlje 14);
Uredba Vlade Ruske Federacije od 1. studenog 2012. br. 1119 „O odobrenju zahtjeva za zaštitu osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka”;
Naredba FSTEC-a Rusije od 18. veljače 2013. br. 21 „O odobrenju sastava i sadržaja organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka”.
Razmotrite glavne definicije koje se koriste u zakonodavstvu.
Osobni podaci - svaka informacija koja se odnosi na izravno ili neizravno identificiranu ili prepoznatljivu fizičku osobu (subjekt osobnih podataka).
Operater osobnih podataka - državno tijelo, općinsko tijelo, pravna osoba ili pojedinac, samostalno ili zajedno s drugim osobama koje organiziraju i (ili) provode obradu osobnih podataka, kao i određivanje svrhe obrade osobnih podataka, sastav osobnih podataka podaci koji se obrađuju, radnje (operacije) koje se provode s osobnim podacima;
Obrada osobnih podataka - svaka radnja (operacija) ili skup radnji (operacija) koje se izvode sa ili bez upotrebe automatiziranih alata s osobnim podacima, uključujući prikupljanje, bilježenje, sistematizaciju, akumulaciju, pohranjivanje, pojašnjenje (ažuriranje, mijenjanje), izdvajanje , korištenje, prijenos (distribucija, pružanje, pristup), depersonalizacija, blokiranje, brisanje, uništavanje osobnih podataka;
Automatizirana obrada osobnih podataka - obrada osobnih podataka korištenjem sredstava informatika;
Širenje osobnih podataka - radnje usmjerene na otkrivanje osobnih podataka neodređenom krugu osoba;
Davanje osobnih podataka - radnje usmjerene na otkrivanje osobnih podataka određenoj osobi ili određenom krugu osoba;
Blokiranje osobnih podataka – privremena obustava obrade osobnih podataka (osim ako je obrada nužna za pojašnjenje osobnih podataka);
Uništavanje osobnih podataka - radnje zbog kojih postaje nemoguće obnoviti sadržaj osobnih podataka u informacijskom sustavu osobnih podataka i (ili) zbog kojih se materijalni nosači osobnih podataka uništavaju;
Depersonalizacija osobnih podataka - radnje, kao rezultat kojih postaje nemoguće, bez korištenja dodatnih informacija, utvrditi vlasništvo nad osobnim podacima od strane određenog subjekta osobnih podataka;
Informacijski sustav osobnih podataka - skup osobnih podataka sadržanih u bazama podataka i informacijskih tehnologija koje osiguravaju njihovu obradu i tehnička sredstva;
Prekogranični prijenos osobnih podataka - prijenos osobnih podataka na područje strane države tijelu strane države, stranoj fizičkoj ili stranoj pravnoj osobi.
Biometrijski osobni podaci - informacije koje karakteriziraju fiziološke i biološke karakteristike osobe, na temelju kojih je moguće utvrditi njezin identitet (biometrijski osobni podaci) i koje operater koristi za identifikaciju subjekta osobnih podataka.
Sigurnost osobnih podataka - stanje zaštite osobnih podataka, koje karakterizira sposobnost korisnika, tehničkih sredstava i informacijskih tehnologija da osiguraju povjerljivost, cjelovitost i dostupnost osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka
1.2 Klasifikacija prijetnji informacijskoj sigurnosti osobnih podataka.
Prijetnja informacijskoj sigurnosti shvaćena je kao prijetnja kršenja svojstava informacijske sigurnosti - dostupnosti, cjelovitosti ili povjerljivosti informacijske imovine organizacije.
Popis prijetnji, procjena vjerojatnosti njihove implementacije, kao i model uljeza služe kao osnova za analizu rizika od prijetnji i formuliranje zahtjeva za automatizirani sustav zaštite sustava. Osim identificiranja mogućih prijetnji, potrebno je identificirane prijetnje analizirati na temelju njihove klasifikacije prema nizu karakteristika. Prijetnje koje odgovaraju svakoj značajki klasifikacije omogućuju vam da precizirate zahtjev koji odražava ova značajka.
Budući da su informacije pohranjene i obrađene u modernom AS-u izložene iznimno velikom broju čimbenika, postaje nemoguće formalizirati zadatak opisivanja cijelog skupa prijetnji. Stoga se za zaštićeni sustav obično ne utvrđuje popis prijetnji, već popis klasa prijetnji.
Klasifikacija mogućih prijetnji informacijskoj sigurnosti AS-a može se provesti prema sljedećim osnovnim značajkama:
Po prirodi pojave:
Prirodne prijetnje uzrokovane utjecajem objektivnih fizičkih procesa ili elementarnih nepogoda na NEK;
Umjetne prijetnje sigurnosti NEK uzrokovane ljudskim djelovanjem.
Prema stupnju namjernosti manifestacije:
Prijetnje uzrokovane ljudskom pogreškom ili nemarom, poput zlouporabe zaštitne opreme, nemara u rukovanju podacima;
Prijetnje namjernim djelovanjem, kao što je hakiranje automatiziranog sustava od strane uljeza, uništavanje podataka od strane zaposlenika organizacije kako bi se osvetili poslodavcu.
Prema neposrednom izvoru prijetnji:
Prirodne opasnosti, kao što su prirodne katastrofe, katastrofe koje je uzrokovao čovjek;
Ljudske prijetnje, na primjer: uništavanje informacija, otkrivanje povjerljivih podataka;
Dopušteni firmware, kao što je fizički kvar hardvera, softverske greške, sukobi softvera;
Neovlašteni softver i hardver, na primjer, uvođenje hardverskih grešaka, softverskih grešaka.
Prema poziciji izvora prijetnje:
Izvan kontroliranog područja, na primjer, presretanje podataka koji se prenose komunikacijskim kanalima;
O unutar kontroliranog područja, na primjer, neovlašteno kopiranje informacija, neovlašteni pristup zaštićenom području;
Izravno u automatiziranom sustavu, na primjer, nepravilno korištenje AS resursa.
Prema stupnju ovisnosti o aktivnosti AS:
Bez obzira na aktivnost AU-a, na primjer, fizička krađa medija za pohranu;
Samo tijekom obrade podataka, kao što je infekcija zlonamjernim softverom.
Po stupnju utjecaja na AC:
Opasne prijetnje koje, kada se implementiraju, ne mijenjaju ništa u strukturi i sadržaju AS-a, npr. prijetnja kopiranjem tajnih podataka;
Aktivne prijetnje koje, kada su izložene, mijenjaju strukturu i sadržaj AS-a, na primjer, brisanje podataka, njihova izmjena.
Po fazama pristupa korisnika ili programa resursima:
Prijetnje koje se manifestiraju u fazi pristupa resursima AS-a, npr.: prijetnje neovlaštenog pristupa AS-u;
Prijetnje koje se pojavljuju nakon dopuštanja pristupa AS resursima, na primjer, nepravilno korištenje AS resursa.
Putem pristupa AS resursima:
Prijetnje izvršene korištenjem standardnog pristupnog puta resursima AS-a
Prijetnje izvedene korištenjem skrivenog nestandardnog pristupa resursima AS-a, na primjer: neovlašteni pristup resursima AS-a korištenjem nedokumentiranih značajki instaliranog softvera.
Prema trenutačnoj lokaciji informacija pohranjenih i obrađenih u AS-u:
Prijetnje pristupom informacijama koje se nalaze na vanjskim uređajima za pohranu, na primjer: kopiranje povjerljivih informacija s medija za pohranu;
Prijetnje pristupu informacijama koje se nalaze u RAM memorija, na primjer: čitanje preostalih informacija iz RAM-a, pristup području sustava RAM-a pomoću aplikacijskih programa;
Prijetnje pristupom informacijama koje kruže komunikacijskim linijama, na primjer: ilegalno spajanje na komunikacijske linije radi uklanjanja informacija, slanje modificiranih podataka;
Opasni utjecaji na automatizirani sustav dijele se na slučajne i namjerne.
Uzroci slučajnih udara tijekom rada NE mogu biti:
Hitna stanja uslijed elementarnih nepogoda i nestanaka električne energije;
Odbijanje usluga;
Programske pogreške;
Greške u radu servisnog osoblja i korisnika;
Smetnje u komunikacijskim linijama zbog utjecaja okoline.
Korištenje programskih pogrešaka je najčešći način narušavanja informacijske sigurnosti informacijskih sustava. Ovisno o složenosti softvera, povećava se broj pogrešaka. Napadači mogu pronaći ove ranjivosti i preko njih dobiti pristup informacijskom sustavu organizacije. Kako bi se te prijetnje svele na najmanju moguću mjeru, potrebno je stalno ažurirati verzije softvera.
Namjerne prijetnje povezane su s ciljanim radnjama uljeza. Napadači se dijele na dvije vrste: unutarnji napadač i vanjski napadač. Interni uljez čini nezakonite radnje dok se nalazi unutar kontrolirane zone automatiziranog sustava i može koristiti službene ovlasti za ovlašteni pristup automatiziranom sustavu. Vanjski napadač nema pristup kontroliranoj zoni, ali može djelovati istovremeno s unutarnjim napadačem kako bi postigao svoje ciljeve.
Postoje tri glavne prijetnje informacijskoj sigurnosti usmjerene izravno na zaštićene informacije:
Povreda povjerljivosti - povjerljivi podaci se ne mijenjaju, već postaju dostupni trećim osobama kojima nije dopušten pristup tim podacima. Kada se ova prijetnja realizira, postoji velika vjerojatnost da će napadač otkriti ukradene podatke, što može dovesti do financijske štete ili štete po ugledu. Povreda cjelovitosti zaštićenih informacija - iskrivljavanje, promjena ili uništavanje informacija. Cjelovitost informacija može biti povrijeđena ne namjerno, već kao rezultat nesposobnosti ili nemara zaposlenika poduzeća. Integritet također može biti povrijeđen od strane napadača radi postizanja vlastitih ciljeva. Na primjer, mijenjanje podataka o računu u automatiziranom bankovnom sustavu radi prijenosa sredstava na račun napadača ili zamjena osobnih podataka klijenta organizacije radi dobivanja informacija o suradnji klijenta s organizacijom.
Povreda dostupnosti zaštićenih informacija ili uskraćivanje usluge - radnje u kojima ovlašteni korisnik ne može pristupiti zaštićenim informacijama zbog razloga kao što su: kvar hardvera, softvera, kvar lokalne mreže.
Nakon razmatranja prijetnji automatiziranih sustava, možete pristupiti analizi prijetnji informacijskom sustavu osobnih podataka.
Informacijski sustav osobnih podataka - skup osobnih podataka sadržanih u bazama podataka i informacijskim tehnologijama i tehničkim sredstvima koja osiguravaju njihovu obradu.
Informacijski sustavi osobnih podataka skup su informacijskih i programskih i hardverskih elemenata te informacijskih tehnologija koji se koriste u obradi osobnih podataka.
Glavni elementi ISPD-a su:
Osobni podaci sadržani u bazama podataka;
Informacijske tehnologije koje se koriste u obradi PD-a;
Tehnička sredstva koja obrađuju osobne podatke (računalna oprema, informacijski i računalni sustavi i mreže, sredstva i sustavi za prijenos, primanje i obradu osobnih podataka, sredstva i sustavi za snimanje zvuka, pojačanje zvuka, reprodukciju zvuka, sredstva za izradu, umnožavanje dokumenata i dr. tehnička sredstva za obradu govornih, grafičkih, video i alfanumeričkih informacija);
Softver(operacijski sustavi, sustavi za upravljanje bazama podataka, itd.);
Sredstva zaštite informacija ISPDn;
Pomoćna tehnička sredstva i sustavi - tehnička sredstva i sustavi, njihove komunikacije, koji nisu namijenjeni obradi osobnih podataka, ali se nalaze u prostorijama u kojima se nalazi ISPD.
Prijetnje sigurnosti osobnih podataka - skup uvjeta i čimbenika koji stvaraju opasnost od neovlaštenog, uključujući slučajnog, pristupa osobnim podacima, što može rezultirati uništavanjem, mijenjanjem, blokiranjem, kopiranjem, distribucijom osobnih podataka, kao i druge neovlaštene radnje tijekom njihove obrade u informacijskom sustavu osobnih podataka.
Karakteristike informacijskog sustava osobnih podataka koje uzrokuju nastanak UBPD-a uključuju kategoriju i obujam osobnih podataka koji se obrađuju u informacijskom sustavu osobnih podataka, strukturu informacijskog sustava osobnih podataka, prisutnost ISPD veza s javnim komunikacijskim mrežama te (ili) međunarodne mreže za razmjenu informacija, karakteristike podsustava sigurnosti osobnih podataka koji se obrađuju u ISPD-u, načini obrade osobnih podataka, načini razlikovanja prava pristupa korisnika ISPD-a, lokacija i uvjeti za smještaj tehničkih sredstava ISPD-a.
Svojstva okoline propagacije informativnih signala koji sadrže zaštićenu informaciju karakterizirana su vrstom fizičke okoline u kojoj se PD distribuira i određuju se prilikom procjene mogućnosti implementacije UBPD. Mogućnosti izvora UBPD određene su kombinacijom metoda neovlaštenog i (ili) slučajnog pristupa PD-u, zbog čega se povjerljivost (kopiranje, ilegalna distribucija), cjelovitost (uništenje, modifikacija) i dostupnost (blokiranje) PD-a mogu biti povrijeđen.
Prijetnja sigurnosti osobnih podataka ostvaruje se kao rezultat formiranja kanala za provedbu UBPD-a između izvora prijetnje i nositelja (izvora) PD-a, čime se stvaraju uvjeti za narušavanje sigurnosti PD-a. PD.
Glavni elementi kanala implementacije UBPD (Slika 1) su:
Izvor UBPD - subjekt, materijalni objekt ili fizički fenomen koji stvara UBPD;
PD distribucijsko okruženje ili utjecaji u kojima se fizičko polje, signal, podaci ili programi mogu širiti i utjecati na zaštićena svojstva osobnih podataka;
Nositelj osobnih podataka - pojedinac ili materijalni objekt, uključujući fizičko polje u kojem se PD odražavaju u obliku simbola, slika, signala, tehnička rješenja i procesi, kvantitativne karakteristike fizikalnih veličina.
Slika 1. Generalizirana shema kanala za implementaciju prijetnji sigurnosti osobnih podataka
PD nosači mogu sadržavati informacije predstavljene u sljedećim oblicima:
Akustične (govorne) informacije sadržane izravno u govornom govoru korisnika ISPD-a kada on obavlja funkciju glasovnog unosa PD-a u informacijski sustav osobnih podataka ili reproducirane akustičnim sredstvima ISPD-a (ako su takve funkcije omogućene tehnologijom obrade PD-a) ), kao i sadržani u elektromagnetskim poljima i električnim signalima , koji nastaju zbog transformacije akustičke informacije;
Prikaz informacija (VI) predstavljenih u obliku teksta i slika različitih uređaja za prikaz informacija računalne opreme, informacijskih i računalnih sustava, tehničkih sredstava za obradu grafičkih, video i alfanumeričkih informacija koje su dio ISPD-a;
Informacije obrađene (kruže) u ISPD-u, u obliku električnih, elektromagnetskih, optičkih signala;
Informacije obrađene u ISPD-u, predstavljene u obliku bitova, bajtova, datoteka i drugih logičkih struktura.
Kako bi se formirao sustavan popis UBPD-ova tijekom njihove obrade u ISPD-ovima i razvoja privatnih modela na njihovoj osnovi u odnosu na određenu vrstu ISPD-ova, prijetnje se klasificiraju prema sljedećim značajkama (Slika 2):
Prema vrsti informacije zaštićene od UBPD, koja sadrži PD;
Po vrstama mogućih izvora UBPD;
Prema vrsti ISPD-a, na koji je usmjerena provedba UBPD-a;
Prema načinu provedbe UBPD;
Prema vrsti svojstva informacije koja se krši (vrsta neovlaštenih radnji provedenih s PD);
Iskorištenom ranjivošću;
Prema objektu utjecaja.
Prema vrstama mogućih izvora UBPD razlikuju se sljedeći
Klase prijetnji:
Prijetnje povezane s namjernim ili nenamjernim radnjama osoba koje imaju pristup ISPD-u, uključujući korisnike informacijskog sustava osobnih podataka, koji prijetnje implementiraju izravno u ISPD (interni prekršitelj);
Prijetnje povezane s namjernim ili nenamjernim radnjama osoba koje nemaju pristup ISPD-u, implementacijom prijetnji iz vanjskih javnih komunikacijskih mreža i (ili) međunarodnih mreža za razmjenu informacija (vanjski uljez).
Osim toga, prijetnje mogu proizaći iz uvođenja hardverskih grešaka i zlonamjernog softvera.
Prema vrsti ISPD-a, na koju je usmjerena provedba UBPD-a, razlikuju se sljedeće klase prijetnji:
UBPD obrađen u ISPD na temelju autonomne radne stanice (AWP);
UBPD obrađen u ISPD na temelju automatiziranog radnog mjesta spojenog na javnu mrežu (na mrežu međunarodne razmjene informacija);
UBPD obrađen u ISPD na temelju lokalnih informacijskih sustava bez veze s javnom mrežom (mrežom međunarodne razmjene informacija);
UBPD obrađen u ISPD na temelju lokalnih informacijskih sustava s vezom na javnu mrežu (na mrežu međunarodne razmjene informacija);
UBPD obrađen u ISPD na temelju distribuiranih informacijskih sustava bez veze s javnom mrežom (mrežom međunarodne razmjene informacija);
UBPD obrađen u ISPD na temelju distribuiranih informacijskih sustava povezanih s javnom mrežom (mrežom međunarodne razmjene informacija).
Prema metodama implementacije UBPD-a razlikuju se sljedeće klase prijetnji:
Prijetnje povezane s UA PD-u (uključujući prijetnje uvođenjem zlonamjernog softvera);
Prijetnje curenjem osobnih podataka putem tehničkih kanala curenja informacija;
Prijetnje posebnim utjecajima na ISPD.
Prema vrsti neovlaštenih radnji koje se provode s PD-om, razlikuju se sljedeće klase prijetnji:
Prijetnje koje dovode do povrede povjerljivosti PD (kopiranje ili neovlaštena distribucija), čija provedba ne utječe izravno na sadržaj informacija;
Prijetnje koje dovode do neovlaštenog, uključujući slučajnog, utjecaja na sadržaj informacija, uslijed čega se PD mijenja ili uništava;
Prijetnje koje dovode do neovlaštenog, uključujući slučajnog, utjecaja na softverske ili hardversko-softverske elemente ISPD-a, uslijed čega se PD blokira.
Sljedeće klase prijetnji razlikuju se po iskorištenoj ranjivosti:
Prijetnje implementirane korištenjem ranjivosti sistemskog softvera;
Prijetnje implementirane korištenjem ranjivosti aplikacijskog softvera;
Prijetnje koje proizlaze iz korištenja ranjivosti uzrokovane prisutnošću hardverske kartice u AS-u;
Prijetnje implementirane korištenjem ranjivosti u mrežnim komunikacijskim protokolima i kanalima prijenosa podataka;
Prijetnje koje proizlaze iz iskorištavanja ranjivosti uzrokovane nedostacima u organizaciji VBI-a iz NSD-a;
Prijetnje implementirane korištenjem ranjivosti koje uzrokuju prisutnost tehničkih kanala za curenje informacija;
Prijetnje implementirane korištenjem ranjivosti informacijske sigurnosti.
Prema predmetu utjecaja razlikuju se sljedeće klase prijetnji:
Prijetnje sigurnosti PD-a koji se obrađuju na radnoj stanici;
Prijetnje sigurnosti PD-a obrađenih u namjenskim alatima za obradu (pisači, ploteri, crtači, daljinski monitori, video projektori, alati za reprodukciju zvuka itd.);
Prijetnje sigurnosti PD-a koji se prenose komunikacijskim mrežama;
Prijetnje aplikacijskim programima koji obrađuju PD;
Prijetnje softveru sustava koji osigurava funkcioniranje ISPD-a.
Provedba jednog od UBPD-ova navedenih razreda ili njihova kombinacija može dovesti do sljedećih vrsta posljedica za predmete PD-a:
Značajne negativne posljedice za PD subjekte;
Negativne posljedice za subjekte PD-a;
Beznačajne negativne posljedice za PD subjekte.
Prijetnje od curenja osobnih podataka tehničkim kanalima jednoznačno su opisane karakteristikama izvora informacija, medija distribucije i primatelja informativnog signala, odnosno određene su karakteristikama tehničkog kanala curenja PD.
Prijetnje neovlaštenim pristupom (UAH) predstavljene su kao skup generaliziranih klasa mogućih izvora UA prijetnji, softvera i ranjivosti softvera. hardver ISPD, načini provedbe prijetnji, objekti utjecaja (nosači zaštićenih informacija, imenici, imenici, datoteke s PD-om ili sami PD) i moguća destruktivna djelovanja. Takav prikaz opisan je sljedećim formaliziranim zapisom (slika 2).
1.3 Opće karakteristike izvora prijetnji u informacijskim sustavima osobnih podataka
Prijetnje UA-u u ISPD-u korištenjem softvera i softvera i hardvera provode se kada se izvrši neovlašteni, uključujući slučajni pristup, uslijed čega se narušava povjerljivost, cjelovitost i dostupnost PD-a, a uključuju:
Prijetnje neovlaštenim pristupom radnom okruženju računala korištenjem standardnog softvera (alati operacijskog sustava ili opći aplikacijski programi);
Prijetnje stvaranja nenormalnih načina rada softvera (softvera i hardvera) znači zbog namjernih promjena podataka usluge, ignoriranja ograničenja sastava i karakteristika obrađenih informacija predviđenih u redovitim uvjetima, iskrivljavanje (modifikacija) samih podataka, itd.;
Slika 2. Klasifikacija UBPD-a koji se obrađuju u informacijskim sustavima osobnih podataka
Prijetnje uvođenjem zloćudnih programa (softversko-matematički utjecaj).
Sastav elemenata opisa UA prijetnji informacijama u ISPD-u prikazan je na slici 3.
Osim toga, moguće su kombinirane prijetnje, koje su kombinacija tih prijetnji. Na primjer, zbog uvođenja zlonamjernih programa mogu se stvoriti uvjeti za neovlašteni pristup radnom okruženju računala, uključujući i formiranje netradicionalnih kanala za pristup informacijama.
Prijetnje neovlaštenog pristupa ISPD radnom okruženju korištenjem standardnog softvera dijele se na prijetnje izravnog i udaljenog pristupa. Prijetnje izravnim pristupom provode se pomoću softvera i firmvera I/O računala. Prijetnje daljinskim pristupom implementirane su pomoću mrežnih komunikacijskih protokola.
Takve se prijetnje provode u odnosu na ISPD kako na temelju automatiziranog radnog mjesta koje nije uključeno u javnu komunikacijsku mrežu, tako i u odnosu na sve ISPD koji su povezani s javnim komunikacijskim mrežama i međunarodnim mrežama za razmjenu informacija.
Slika 3. Klasifikacija UBPD-a koji se obrađuju u informacijskim sustavima osobnih podataka
1.3.1 Opći opis izvora prijetnji neovlaštenog pristupa u informacijskom sustavu osobnih podataka.
Izvori prijetnji u informacijskom sustavu osobnih podataka mogu biti:
Uljez;
Nositelj zlonamjernog programa;
Oznaka hardvera.
PD sigurnosne prijetnje povezane s uvođenjem hardverskih grešaka utvrđuju se u skladu s regulatornim dokumentima Federalne sigurnosne službe Ruske Federacije na način koji je ona utvrdila.
Prema prisutnosti prava stalnog ili jednokratnog pristupa kontroliranoj zoni ISPD-a, prekršitelji su podijeljeni u dvije vrste:
Prekršitelji koji nemaju pristup ISPD-u, realizirajući prijetnje iz vanjskih javnih komunikacijskih mreža i (ili) međunarodnih mreža za razmjenu informacija, vanjski su prekršitelji;
Prekršitelji koji imaju pristup ISPD-u, uključujući korisnike ISPD-a koji implementiraju prijetnje izravno u ISPD, interni su prekršitelji.
Vanjski uljezi mogu biti:
Konkurentske organizacije;
beskrupulozni partneri;
Vanjski subjekti (pojedinci).
Vanjski uljez ima sljedeće mogućnosti:
Izvršiti neovlašteni pristup komunikacijskim kanalima koji izlaze izvan uredskih prostorija;
Provoditi neovlašteni pristup putem radnih stanica povezanih s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija;
Obavljati neovlašteni pristup informacijama korištenjem posebnih softverskih akcija putem softverskih virusa, zlonamjernog softvera, algoritamskih ili softverskih knjižnih oznaka;
Obavljati neovlašteni pristup elementima informacijske infrastrukture informacijskog sustava osobnih podataka, koji u tijeku životni ciklus(modernizacija, održavanje, popravak, zbrinjavanje) su izvan kontrolirane zone;
Obavljati neovlašteni pristup kroz informacijske sustave međusobno povezanih odjela, organizacija i institucija kada su povezani na ISPD.
Interni potencijalni prekršitelji podijeljeni su u osam kategorija ovisno o načinu pristupa i ovlasti za pristup PD.
U prvu kategoriju spadaju osobe koje imaju ovlašteni pristup ISPD-u, ali nemaju pristup PD-u. U ovu vrstu počinitelja spadaju službene osobe koje osiguravaju normalno funkcioniranje ISPD-a.
Imati pristup fragmentima informacija koje sadrže PD i distribuiraju se putem internih ISPD komunikacijskih kanala;
Imati fragmente informacija o topologiji ISPD-a io korištenim komunikacijskim protokolima i njihovim uslugama;
Imati imena i provoditi identifikaciju lozinki registriranih korisnika;
Promijenite konfiguraciju ISPD hardvera, unesite u njega softverske i hardverske oznake i omogućite dohvaćanje informacija izravnom vezom na ISPD hardver.
Posjeduje sve sposobnosti osoba prve kategorije;
Poznaje barem jedno legalno pristupno ime;
Ima sve potrebne atribute koji omogućuju pristup određenom podskupu PD-a;
Ima povjerljive podatke kojima ima pristup.
Njegova prava pristupa, autentifikacije i pristupa određenom podskupu PD-a trebaju biti regulirana relevantnim pravilima kontrole pristupa.
Posjeduje sve sposobnosti osoba prve i druge kategorije;
Ima podatke o topologiji ISPD-a temeljenoj na lokalnom i (ili) distribuiranom informacijskom sustavu putem kojeg se ostvaruje pristup te o sastavu tehničkih sredstava ISPD-a;
Ima mogućnost izravnog (fizičkog) pristupa fragmentima tehničkih sredstava ISPD.
Posjeduje potpunu informaciju o sustavu i aplikativnom softveru koji se koristi u ISPD segmentu (fragment);
Posjeduje potpunu informaciju o tehničkim sredstvima i konfiguraciji ISPD segmenta (fragmenta);
Ima pristup alatima za informacijsku sigurnost i logiranje, kao i pojedinim elementima koji se koriste u ISPD segmentu (fragment);
Ima pristup svim tehničkim sredstvima ISPD segmenta (fragmenta);
Ima prava konfiguriranja i upravljanja nekim podskupom tehničkih sredstava ISPD segmenta (fragmenta).
Ovlasti administratora ISPD sustava.
Posjeduje sve sposobnosti osoba iz prethodnih kategorija;
Posjeduje potpunu informaciju o sustavu i aplikativnom softveru ISPD-a;
Posjeduje potpune podatke o tehničkim sredstvima i konfiguraciji ISPD-a;
Ima pristup svim tehničkim sredstvima obrade informacija i ISPD podataka;
Posjeduje prava konfiguriranja i administrativnog podešavanja tehničkih sredstava ISPD.
Administrator sustava konfigurira i upravlja softverom i hardverom, uključujući hardver odgovoran za sigurnost zaštićenog objekta: alati kriptografska zaštita informiranje, praćenje, registracija, arhiviranje, zaštita od neovlaštenog pristupa.
Posjeduje sve sposobnosti osoba iz prethodnih kategorija;
Posjeduje punu informaciju o ISPD-u;
Ima pristup informacijskoj sigurnosti i alatima za bilježenje te nekim od ključnih elemenata ISPD-a;
Nema prava pristupa konfiguriranju mrežnog hardvera, osim onih za kontrolu (inspekciju).
Posjeduje informacije o algoritmima i programima za obradu informacija na ISPD-u;
Ima mogućnost uvođenja pogrešaka, nedeklariranih značajki, softverskih oznaka, zlonamjernog softvera softver ISPD u fazi razvoja, implementacije i održavanja;
Može sadržavati bilo koje fragmente informacija o topologiji ISPD-a i tehničkim sredstvima za obradu i zaštitu PD-a koji se obrađuje u ISPD-u.
Ima sposobnost izrade knjižnih oznaka u tehničkim sredstvima ISPD-a u fazi njihovog razvoja, implementacije i održavanja;
Može sadržavati bilo koje fragmente informacija o topologiji ISPD-a i tehničkim sredstvima obrade i zaštite informacija u ISPD-u.
Nositelj zlonamjernog programa može biti hardverski element računala ili programski spremnik. Ako zlonamjerni program nije povezan ni s jednim aplikacijskim programom, tada se njegovim nositeljem smatraju sljedeći:
Otuđi medij, odnosno disketa, optički disk, brza memorija;
Ugrađeni medij za pohranu ( tvrdih diskova, RAM čipovi, procesor, čipovi matična ploča, mikročipovi uređaja ugrađeni u jedinica sustava, - video adapter, mrežna kartica, zvučna kartica, modem, ulazno/izlazni uređaji, magnetski tvrdi i optički diskovi, napajanje itd., čipovi s izravnim pristupom memoriji, podatkovne sabirnice, ulazno/izlazni portovi);
Čipovi vanjskih uređaja (monitor, tipkovnica, printer, modem, skener itd.).
Ako je maliciozni program povezan s bilo kojim aplikacijskim programom, s datotekama koje imaju određene ekstenzije ili druge atribute, s porukama koje se prenose preko mreže, tada su njegovi nositelji:
Paketi poruka koji se prenose preko računalne mreže;
Datoteke (tekstualne, grafičke, izvršne, itd.).
1.3.2 Opće karakteristike prijetnji izravnog pristupa operativnom okruženju informacijskog sustava osobnih podataka
Prijetnje neovlaštenog pristupa radnom okruženju računala i neovlaštenog pristupa PD-u povezane su s pristupom:
Na informacije i naredbe pohranjene u osnovnom I/O sustavu ISPD-a, s mogućnošću presretanja kontrole učitavanja operativnog sustava i dobivanja prava povjerljivog korisnika;
U radnom okruženju, odnosno u okruženju funkcioniranja lokalnog operacijskog sustava zasebnog tehničkog sredstva ISPD s mogućnošću neovlaštenog pristupa pozivanjem redovnih programa operacijskog sustava ili pokretanjem posebno dizajniranih programa koji provode takve radnje ;
U radnom okruženju aplikacijskih programa (na primjer, to lokalni sustav upravljanje bazom podataka);
Izravno na korisničke informacije (na datoteke, tekst, audio i grafičke informacije, polja i zapisa u elektroničkim bazama podataka) te su zbog mogućnosti narušavanja njegove povjerljivosti, cjelovitosti i dostupnosti.
Ove se prijetnje mogu realizirati u slučaju dobivanja fizičkog pristupa ISPD-u ili, barem, načinu unosa informacija u ISPD. Mogu se grupirati prema uvjetima provedbe u tri skupine.
Prva skupina uključuje prijetnje implementirane tijekom učitavanja operativnog sustava. Ove prijetnje informacijskoj sigurnosti usmjerene su na presretanje lozinki ili identifikatora, modificiranje softvera osnovnog ulazno/izlaznog sustava, presretanje kontrole preuzimanja uz promjenu potrebnih tehnoloških informacija za primanje UA u ISPD operativnom okruženju. Najčešće se takve prijetnje provode pomoću otuđenih medija.
Druga skupina su prijetnje koje se implementiraju nakon učitavanja operativnog okruženja, neovisno o tome koji aplikacijski program korisnik pokreće. Te su prijetnje obično usmjerene na izvođenje izravnog neovlaštenog pristupa informacijama. U pristupu radnom okruženju uljez može koristiti kako standardne funkcije operacijskog sustava ili nekog javnog aplikacijskog programa (primjerice, sustavi za upravljanje bazama podataka), tako i programe posebno kreirane za neovlašteni pristup, na primjer:
Pregledači i izmjene registra;
programi za pretraživanje teksta tekstualne datoteke Po ključne riječi i kopiranje;
Posebni programi za pregled i kopiranje zapisa u bazama podataka;
Programi za brzo pregledavanje grafičkih datoteka, njihovo uređivanje ili kopiranje;
Programi za podršku mogućnostima rekonfiguracije softverskog okruženja (ISPD postavke u interesu prekršitelja).
Konačno, treća skupina uključuje prijetnje čija je implementacija određena time koji od aplikacijskih programa je korisnik pokrenuo, odnosno činjenicom da je neki od aplikacijskih programa pokrenut. Većina ovih prijetnji su prijetnje ubrizgavanjem zlonamjernog softvera.
1.3.3 Opće karakteristike prijetnji sigurnosti osobnih podataka koje se implementiraju korištenjem mrežnih protokola
Ako je ISPD implementiran na temelju lokalnog ili distribuiranog informacijskog sustava, tada se informacijske sigurnosne prijetnje mogu implementirati u njega korištenjem mrežnih protokola. Istovremeno se može osigurati NSD prema PD-u ili se može realizirati prijetnja uskraćivanja usluge. Prijetnje su posebno opasne kada je ISPD distribuirani informacijski sustav povezan s javnim mrežama i (ili) mrežama međunarodne razmjene informacija. Klasifikacijska shema prijetnji implementiranih preko mreže prikazana je na slici 4. Temelji se na sljedećih sedam primarnih klasifikacijskih obilježja.
Slika 4 Klasifikacijska shema prijetnji korištenjem protokola za mrežno povezivanje
1. Priroda prijetnje. Na temelju toga prijetnje mogu biti pasivne i aktivne. Pasivna prijetnja je prijetnja čija implementacija ne utječe izravno na rad ISPD-a, ali se mogu prekršiti utvrđena pravila za ograničavanje pristupa PD-u ili mrežnim resursima. Primjer takvih prijetnji je prijetnja "Analiza mrežnog prometa", koja je usmjerena na prisluškivanje komunikacijskih kanala i presretanje prenesenih informacija. Aktivna prijetnja je prijetnja povezana s utjecajem na ISPD resurse čija implementacija izravno utječe na rad sustava (promjena konfiguracije, poremećaj performansi i sl.), a uz kršenje utvrđenih pravila za ograničavanje pristupa PD-u ili mrežni resursi. Primjer takvih prijetnji je prijetnja uskraćivanjem usluge, reklamirana kao "TCP zahtjevna oluja".
2. Svrha provedbe prijetnje. Na temelju toga prijetnje mogu biti usmjerene na narušavanje povjerljivosti, cjelovitosti i dostupnosti informacija (uključujući narušavanje operativnosti ISPD-a ili njegovih elemenata).
3. Uvjet za početak procesa provedbe prijetnje. Na temelju toga prijetnja se može realizirati:
Na zahtjev objekta protiv kojeg se prijetnja provodi. U tom slučaju uljez čeka prijenos zahtjeva određene vrste, što će biti uvjet za početak neovlaštenog pristupa;
Po nastanku očekivanog događaja na objektu prema kojem se prijetnja provodi. U tom slučaju uljez stalno prati stanje ISPD operativnog sustava i, ako se dogodi određeni događaj u ovom sustavu, počinje neovlašteni pristup;
Bezuvjetni utjecaj. U ovom slučaju početak provedbe neovlaštenog pristupa je bezuvjetan u odnosu na svrhu pristupa, odnosno prijetnja se realizira odmah i neovisno o stanju sustava.
4. Dostupnost Povratne informacije s ISPD-om. Na temelju toga, proces implementacije prijetnje može biti sa ili bez povratne informacije. Prijetnja koja se realizira uz povratnu informaciju iz informacijskog sustava osobnih podataka karakterizira činjenica da neki zahtjevi koji se šalju ISPD-u zahtijevaju da prekršitelj dobije odgovor. Posljedično, između prekršitelja i informacijskog sustava osobnih podataka postoji povratna veza koja omogućuje prekršitelju da adekvatno reagira na sve promjene koje se događaju u ISPD-u. Za razliku od prijetnji implementiranih uz prisutnost povratne informacije iz informacijskog sustava osobnih podataka, kod implementacije prijetnji bez povratne informacije nije potrebno odgovoriti na bilo kakve promjene nastale u ISPD-u.
5. Položaj uljeza u odnosu na ISPD. U skladu s ovim znakom, prijetnja se ostvaruje i unutar segmenta i među segmentom.
Mrežni segment - fizička asocijacija računala (ISPD hardver ili komunikacijski elementi koji imaju mrežnu adresu). Na primjer, segment informacijskog sustava osobnih podataka čini skup hostova povezanih s poslužiteljem prema shemi “common bus”. U slučaju kada postoji prijetnja unutar segmenta, uljez ima fizički pristup hardverskim elementima ISPD. Ako postoji međusegmentna prijetnja, tada se prekršitelj nalazi izvan ISPD-a, realizirajući prijetnju iz druge mreže ili iz drugog segmenta informacijskog sustava osobnih podataka.
6. Razina referentnog modela interakcije otvoreni sustavi(ISO/OSI) na kojem je prijetnja implementirana. Na temelju toga, prijetnja se može implementirati na fizičkoj, kanalnoj, mrežnoj, transportnoj, sesijskoj, prezentacijskoj i aplikacijskoj razini ISO/OSI modela.
7. Omjer broja prekršitelja i ISPD elemenata protiv kojih se provodi prijetnja. Na temelju toga prijetnja se može klasificirati kao prijetnja koju provodi jedan uljez protiv jednog tehničkog sredstva ISPD-a (prijetnja jedan na jedan), u odnosu na nekoliko tehničkih sredstava ISPD odjednom (prijetnja jedan na više) ili od nekoliko uljezi sa različita računala u vezi s jednim ili više tehničkih sredstava ISPD-a (distribuirane ili kombinirane prijetnje).
S obzirom na provedenu klasifikaciju, izdvajamo glavne vrste napada na informacijski sustav osobnih podataka:
1. Analiza mrežnog prometa.
Ova prijetnja implementirana je pomoću posebnog softvera za njuškanje paketa koji presreće sve pakete koji se prenose kroz segment mreže i među njima izdvaja one u kojima se prenose korisnički ID i lozinka. Tijekom implementacije prijetnje, uljez proučava logiku mreže - to jest, nastoji dobiti korespondenciju jedan-na-jedan između događaja koji se događaju u sustavu i naredbi koje šalju hostovi u trenutku pojave ovi događaji. To u budućnosti omogućuje napadaču da na temelju dodjele odgovarajućih naredbi dobije povlaštena prava za djelovanje u sustavu ili proširi svoje ovlasti u njemu, presretne tok prenesenih podataka koji se razmjenjuju između komponenti mrežnog operativnog sustava kako bi izvlačenje povjerljivih ili identifikacijskih informacija, njihova zamjena i izmjena.
2.Skeniranje mreže.
Bit procesa implementacije prijetnji je slanje zahtjeva mrežnim uslugama ISPD hostova i analiza njihovih odgovora. Cilj je identificirati korištene protokole, dostupne portove mrežnih usluga, zakone za formiranje identifikatora veze, definiciju aktivnih mrežnih usluga, odabir korisničkih identifikatora i lozinki.
3. Prijetnja otkrivanja lozinke.
Svrha implementacije prijetnje je dobivanje UA nadvladavanjem zaštite lozinkom. Napadač može implementirati prijetnju korištenjem različitih metoda, kao što je jednostavna gruba sila, gruba sila korištenjem posebnih rječnika, instaliranje zlonamjernog softvera za presretanje lozinke, lažiranje pouzdanog mrežnog objekta i njuškanje paketa. Uglavnom se koriste za provedbu prijetnje posebni programi koji pokušavaju dobiti pristup hostu grubim forsiranjem lozinki. Ako uspije, napadač može za sebe stvoriti ulaznu točku za budući pristup, koja će ostati na snazi čak i ako se pristupna lozinka promijeni na glavnom računalu.
4. Zamjena pouzdanog mrežnog objekta i prijenos poruka komunikacijskim kanalima u njegovo ime uz dodjelu njegovih prava pristupa.
Takva se prijetnja učinkovito provodi u sustavima u kojima se koriste slabi algoritmi za identifikaciju i autentifikaciju hostova i korisnika. Pouzdani objekt je mrežni objekt (računalo, vatrozid, usmjerivač itd.) legalno povezan s poslužiteljem. Mogu se razlikovati dvije varijante procesa implementacije ove prijetnje: sa i bez uspostavljanja virtualne veze. Proces implementacije uz uspostavu virtualne veze sastoji se u dodjeli prava povjerljivog subjekta interakcije, što omogućuje uljezu da vodi sesiju s mrežnim objektom u ime povjerljivog subjekta. Implementacija ove vrste prijetnji zahtijeva prevladavanje sustava identifikacije i autentifikacije poruka. Proces implementacije prijetnje bez uspostavljanja virtualne veze može se odvijati u mrežama koje identificiraju poslane poruke samo Internet adresa pošiljatelj. Suština je u prijenosu servisnih poruka u ime mrežnih kontrolnih uređaja (na primjer, u ime usmjerivača) o promjeni podataka o usmjeravanju i adresi.
Kao rezultat implementacije prijetnje, prekršitelj dobiva prava pristupa koje je korisnik postavio za pouzdanog pretplatnika tehničkom alatu ISPD.
5. Nametanje lažne mrežne rute.
Ova se prijetnja realizira na jedan od dva načina: unutarsegmentnim ili međusegmentnim nametanjem. Mogućnost nametanja lažne rute je zbog nedostataka svojstvenih algoritmima usmjeravanja (osobito zbog problema identificiranja mrežnih kontrolnih uređaja), zbog čega možete doći, na primjer, do mreže glavnog računala ili napadača , gdje možete ući u radno okruženje tehničkog alata kao dijela ISPD-a. Provedba prijetnje temelji se na neovlaštena uporaba protokole za usmjeravanje i upravljanje mrežom za izmjene u tablicama za usmjeravanje. U tom slučaju uljez treba poslati kontrolnu poruku u ime uređaja za kontrolu mreže (na primjer, usmjerivač).
6. Uvođenje lažnog mrežnog objekta.
Ova se prijetnja temelji na iskorištavanju slabosti u algoritmima daljinskog pretraživanja. Ako mrežni objekti u početku nemaju adresne informacije jedni o drugima, koriste se različiti protokoli daljinskog pretraživanja koji se sastoje u prijenosu posebnih zahtjeva preko mreže i primanju odgovora na njih s potrebnim informacijama. U tom slučaju postoji mogućnost presretanja od strane uljeza upit za pretraživanje i izdavanje lažnog odgovora na njega, čija će uporaba dovesti do potrebne promjene u podacima o usmjeravanju i adresi. U budućnosti će cijeli protok informacija povezan s objektom žrtve prolaziti kroz lažni mrežni objekt
7. Uskraćivanje usluge.
Te se prijetnje temelje na nedostacima u mrežnom softveru, njegovim ranjivostima koje uljezu omogućuju stvaranje uvjeta u kojima operativni sustav nije u stanju obraditi dolazne pakete. Može se razlikovati nekoliko vrsta takvih prijetnji:
Latentno uskraćivanje usluge uzrokovano uključivanjem dijela ISPD resursa za obradu paketa koje prenosi napadač sa smanjenjem propusnosti komunikacijskih kanala, performansi mrežni uređaji, kršenje zahtjeva za vrijeme obrade zahtjeva. Primjeri implementacije prijetnji ove vrste su: usmjerena oluja echo zahtjeva preko ICMP protokola, oluja zahtjeva za uspostavljanje TCP veze, oluja zahtjeva prema FTP poslužitelju;
Eksplicitno uskraćivanje usluge uzrokovano iscrpljivanjem ISPD resursa prilikom obrade paketa koje je poslao napadač (okupacija cijele propusnosti komunikacijskih kanala, prekoračenje redova zahtjeva za uslugom), pri čemu se legalni zahtjevi ne mogu prenositi mrežom zbog nedostupnosti prijenosnog medija ili im je uskraćeno održavanje zbog prepunih redova zahtjeva, memorijskog diskovnog prostora itd. Primjeri prijetnji ovog tipa su ICMP broadcast echo request storm, directed storm, mail server message storm;
Eksplicitno uskraćivanje usluge uzrokovano kršenjem logičke povezanosti između tehničkih sredstava ISPD-a kada prekršitelj šalje kontrolne poruke u ime mrežnih uređaja, što dovodi do promjene podataka o usmjeravanju i adresi ili informacija o identifikaciji i autentifikaciji;
Izričito uskraćivanje usluge uzrokovano napadačem koji šalje pakete s nestandardnim atributima ili imaju duljinu koja premašuje maksimalnu dopuštena veličina, što može dovesti do kvara mrežnih uređaja uključenih u obradu zahtjeva, pod uvjetom da postoje pogreške u programima koji implementiraju protokole mrežne razmjene. Rezultat implementacije ove prijetnje može biti poremećaj u radu pripadajuće usluge za pružanje daljinskog pristupa PD-u u ISPD-u, prijenos s jedne adrese što većeg broja zahtjeva za povezivanje na tehnički objekt u sklopu ISPD-a, koji može maksimalno obraditi promet, što za sobom povlači prekoračenje reda zahtjeva i otkazivanje jedne od mrežnih usluga ili potpuno gašenje računala zbog nemogućnosti sustava da radi bilo što osim obrade zahtjeva.
8.Udaljeno pokretanje aplikacija.
Prijetnja leži u želji da se na ISPD hostu pokrene razni prethodno ugrađeni zlonamjerni softver: oznake, virusi, "mrežni špijuni", čija je glavna svrha narušavanje povjerljivosti, integriteta, dostupnosti informacija i potpune kontrole nad radom domaćin. Osim toga, moguće je neovlašteno pokretanje korisničkih aplikacijskih programa za neovlašteno dobivanje podataka potrebnih počinitelju, za pokretanje procesa koje kontrolira aplikacijski program i sl. Postoje tri podklase ovih prijetnji:
Distribucija datoteka koje sadrže neovlašteni izvršni kod;
Daljinsko pokretanje aplikacije prekoračenjem međuspremnika aplikacijskih poslužitelja;
Udaljeno pokretanje aplikacije korištenjem mogućnosti daljinskog upravljanja sustavom koje pružaju skrivene kartice softvera i hardvera ili korištenjem standardnih alata.
Tipične prijetnje prve od ovih podklasa temelje se na aktiviranju distribuiranih datoteka kada im se slučajno pristupi. Primjeri takvih datoteka su: datoteke koje sadrže izvršni kod u obliku makronaredbi (dokumenti Microsoft Word, Excel), html dokumenti koji sadrže izvršni kod u obliku ActiveX kontrola, Java appleta, interpretiranih skripti (na primjer, JavaScript malware); datoteke koje sadrže izvršne programske kodove.
Za distribuciju datoteka mogu se koristiti e-pošta, prijenos datoteka, usluge mrežnog sustava datoteka.
Prijetnje druge podklase koriste nedostatke programa koji implementiraju mrežne usluge (osobito nedostatak kontrole prelijevanja međuspremnika). Podešavanjem sistemskih registara, ponekad je moguće prebaciti procesor, nakon prekida prekoračenja međuspremnika, na izvođenje koda koji se nalazi izvan granice međuspremnika.
Kod prijetnji treće podklase uljez koristi mogućnosti daljinskog upravljanja sustavom koje pružaju skrivene komponente ili standardni alati za upravljanje i administraciju. računalne mreže. Njihovom uporabom moguće je postići daljinsko upravljanje stanicom u mreži. Shematski, glavne faze rada ovih programa su sljedeće: instalacija u memoriju; čekanje zahtjeva od udaljenog računala koje izvodi klijentski program i razmjenjuje poruke o spremnosti s njim; prijenos presretnutih informacija klijentu ili davanje kontrole nad napadnutim računalom. Moguće posljedice implementacije prijetnji različitih klasa prikazane su u tablici 1
Tablica 1. Moguće posljedice implementacije prijetnji različitih klasa
|
№
p/n |
Vrsta napada | Moguće posljedice | |
| 1 | Analiza mrežnog prometa | Proučavanje karakteristika mrežnog prometa, presretanje prenesenih podataka, uključujući korisničke ID-ove i lozinke | |
| 2 | Mrežno skeniranje | Definicija protokola, dostupnih priključaka mrežnih usluga, pravila za generiranje identifikatora veze, aktivnih mrežnih usluga, korisničkih ID-ova i lozinki | |
| 3 | Napad "lozinkom". | Izvođenje bilo kakvih destruktivnih radnji povezanih s neovlaštenim pristupom | |
| 4 | Lažno lažiranje pouzdanog mrežnog objekta | Promjena rute poruka, neovlaštena promjena rute i podataka o adresi. Neovlašteni pristup mrežnim resursima, nametanje lažnih informacija | |
| 5 | Nametanje lažnog puta | Neovlaštena promjena podataka o usmjeravanju i adresi, analiza i izmjena prenesenih podataka, nametanje lažnih poruka | |
| 6 | Ubacivanje lažnog mrežnog objekta | Presretanje i praćenje prometa. Neovlašteni pristup mrežnim resursima, nametanje lažnih informacija | |
| 7 | Uskraćivanje usluge | Djelomično iscrpljivanje resursa | Smanjena propusnost komunikacijskih kanala, performanse mrežnih uređaja. Smanjena izvedba poslužiteljskih aplikacija. |
| Potpuna iscrpljenost resursa | Nemogućnost prijenosa poruka zbog nedostatka pristupa prijenosnom mediju, odbijanje uspostavljanja veze. Uskraćivanje usluge. | ||
| Kršenje logičke povezanosti između atributa, podataka, objekata | Nemogućnost slanja poruka zbog nedostatka točnih podataka o usmjeravanju i adresi. Nemogućnost primanja usluga zbog neovlaštene izmjene identifikatora, lozinki itd. | ||
| Korištenje grešaka u programima | Kvar mrežnih uređaja. | ||
| 8 | Udaljeno pokretanje aplikacije | Slanjem datoteka koje sadrže destruktivan izvršni kod, infekcija virusom. | Povreda povjerljivosti, integriteta, dostupnosti informacija. |
| Prekoračenjem međuspremnika poslužiteljske aplikacije | |||
| Iskorištavanjem prilika daljinski upravljač sustava, omogućen skrivenim softverskim i hardverskim karticama ili korištenim standardnim alatima | Skriveno upravljanje sustavom. | ||
Proces realizacije prijetnje općenito se sastoji od četiri faze:
Prikupljanje informacija;
Intruzije (prodor u radnu okolinu);
Provedba neovlaštenog pristupa;
Uklanjanje tragova neovlaštenog pristupa.
U fazi prikupljanja informacija, prekršitelja mogu zanimati različite informacije o ISPD-u, uključujući:
O topologiji mreže u kojoj sustav radi. Ovo može istražiti područje oko mreže (na primjer, uljeza mogu zanimati adrese pouzdanih, ali manje sigurnih hostova). Postoje paralelni alati za dostupnost hosta koji mogu skenirati veliko područje adresnog prostora radi dostupnosti hosta u kratkom vremenu.;
O vrsti operacijskog sustava (OS) u ISPD. Možete primijetiti metodu određivanja vrste OS-a, kao jednostavan upit za uspostavljanje veze pomoću Telnet protokola za daljinski pristup, kao rezultat toga, putem " izgled» odgovor možete odrediti tip OS-a glavnog računala. Prisutnost određenih usluga također može poslužiti kao dodatna indikacija vrste OS-a domaćina;
O uslugama koje funkcioniraju na hostovima. Definicija usluga koje se izvode na glavnom računalu temelji se na metodi "otvorenih portova" za prikupljanje informacija o dostupnosti glavnog računala.
U fazi invazije istražuje se prisutnost tipičnih ranjivosti u uslugama sustava ili grešaka u administraciji sustava. Uspješno iskorištavanje ranjivosti obično rezultira napadačevim procesom dobivanjem povlaštenog načina izvršavanja (pristup povlaštenom načinu izvršavanja procesora), ubacivanjem ilegalnog korisničkog računa u sustav, dobivanjem datoteke lozinke ili ometanjem napadnutog glavnog računala.
Ova faza razvoja prijetnje, u pravilu, je višefazna. Faze procesa implementacije prijetnje mogu uključivati, na primjer: uspostavljanje veze s hostom protiv kojeg se prijetnja implementira; identifikacija ranjivosti; uvođenje zlonamjernog programa u interesu osnaživanja itd.
Prijetnje implementirane u fazi upada podijeljene su u slojeve skupa protokola TCP/IP budući da se formiraju na razini mreže, transporta ili aplikacije, ovisno o korištenom mehanizmu upada. Na tipične prijetnje implementirane na mreži i razine transporta, uključuju sljedeće:
Prijetnja usmjerena na zamjenu pouzdanog objekta;
Prijetnja usmjerena na stvaranje lažne rute u mreži;
Prijetnje usmjerene na stvaranje lažnog objekta korištenjem nedostataka algoritama daljinskog pretraživanja;
Prijetnje uskraćivanjem usluge.
Tipične prijetnje implementirane na aplikativnoj razini uključuju prijetnje usmjerene na neovlašteno pokretanje aplikacija, prijetnje čija je implementacija povezana s uvođenjem programskih grešaka, s detekcijom pristupnih lozinki mreži ili određenom hostu itd. Ako provedba prijetnje nije prekršitelju donijela najviša prava pristupa u sustavu, mogući su pokušaji proširenja tih prava na najveću moguću razinu. Za to se mogu koristiti ranjivosti ne samo mrežnih usluga, već i ranjivosti sistemskog softvera ISPDN hostova.
U fazi implementacije neovlaštenog pristupa postiže se cilj implementacije prijetnje:
Povreda povjerljivosti (kopiranje, nezakonita distribucija);
Povreda cjelovitosti (uništenje, promjena);
Povreda dostupnosti (blokiranje).
U istoj fazi, nakon ovih radnji, u pravilu se formiraju takozvana "stražnja vrata" u obliku jedne od usluga koja opslužuje određenu luku i izvršava naredbe uljeza. "Stražnja vrata" su ostavljena u sustavu u interesu osiguranja: mogućnosti dobivanja pristupa hostu, čak i ako administrator eliminira ranjivost korištenu za uspješnu implementaciju prijetnje; mogućnost pristupa hostu što je moguće diskretnije; mogućnost brzog pristupa hostu (bez ponavljanja procesa implementacije prijetnje). "Stražnja vrata" omogućuju napadaču da ubaci zlonamjerni program u mrežu ili na određeni host, na primjer, "analizator lozinki" - program koji izdvaja korisničke ID-ove i lozinke iz mrežnog prometa kada su pokrenuti protokoli visoke razine). Objekti ubacivanja zlonamjernog softvera mogu biti programi za autentifikaciju i identifikaciju, mrežne usluge, jezgra operativnog sustava, sustav datoteka, knjižnice itd.
Konačno, u fazi uklanjanja tragova provedbe prijetnje, pokušava se uništiti tragove djelovanja uljeza. Time se uklanjaju odgovarajući unosi iz svih mogućih revizijskih dnevnika, uključujući zapise o činjenici da su informacije prikupljene.
1.4 Obilježja Banke i njezine djelatnosti
PJSC Citibank je financijska i kreditna organizacija bankarskog sustava Ruske Federacije koja obavlja financijske transakcije s novcem i vrijednosnim papirima. Banka pruža financijske usluge fizičkim i pravnim osobama.
Glavne djelatnosti su kreditiranje pravnih i fizičkih osoba, servisiranje računa korporativni klijenti, privlačenje sredstava stanovništva u depozite, poslovanje na deviznom i međubankarskom tržištu, ulaganja u obveznice i zapise.
Banka svoju financijsku djelatnost obavlja od 1. kolovoza 1990. godine na temelju Opće dozvole Banke Rusije za obavljanje bankarskih poslova br. 356.
Banka ima tri informacijska sustava osobnih podataka:
Informacijski sustav osobnih podataka zaposlenika Banke - omogućava identifikaciju 243 subjekta osobnih podataka;
Informacijski sustav osobnih podataka sustava kontrole i upravljanja pristupom - omogućuje identifikaciju 243 subjekta osobnih podataka;
Informacijski sustav osobnih podataka automatiziranog bankovnog sustava - omogućuje identifikaciju 9681 subjekta osobnih podataka.
1.5 Osobne baze podataka
Banka mora zaštititi nekoliko informativnih osobnih podataka odjednom, i to:
Informacijski sustav osobnih podataka zaposlenika Banke;
Informacijski sustav osobnih podataka sustava kontrole i upravljanja pristupom;
Informacijski sustav osobnih podataka automatiziranog bankovnog sustava.
1.5.1 Informacijski sustav osobnih podataka zaposlenika organizacije
ISPD zaposlenika Banke služi za isplatu plaća zaposlenicima Banke, automatizaciju rada djelatnika kadrovske službe, automatizaciju rada djelatnika računovodstva Banke te rješavanje drugih kadrovskih i računovodstvenih pitanja. Sastoji se od baze podataka 1C "Upravljanje plaćama i osobljem", nalazi se na zasebnoj radnoj stanici s mogućnošću povezivanja s radnim mjestom putem mreže. Radno mjesto se nalazi u uredu HR službe. Na radnoj stanici je instalirana operacijska sala Microsoft sustav Windows XP. Na radnoj stanici nema internetske veze.
Puno ime;
Datum rođenja;
serija i broj putovnice;
Broj telefona;
Pravo na rad sa softverom 1C "Upravljanje plaćama i osobljem" i bazom osobnih podataka imaju:
Glavni računovođa;
Pomoćnik glavnog računovođe;
Voditelj odjela za ljudske resurse;
Zaposlenik zadužen za obračun plaća zaposlenika Banke.
Ručna promjena podataka;
1.5.2 Informacijski sustav osobnih podataka sustava kontrole i upravljanja pristupom
Informacijski sustav osobnih podataka sustava kontrole i upravljanja pristupom služi za pohranu osobnih podataka zaposlenika i posjetitelja Banke koji imaju pristup različitim prostorijama Banke. ISDN sustava kontrole i upravljanja pristupom koristi služba sigurnosti Banke. Baza podataka ISPD instalirana je na radnoj stanici koja se nalazi u sigurnosnoj prostoriji odjela zaštite. Na radnoj stanici ISPDn instaliran je operativni sustav Microsoft Windows 7, DBMS se koristi kao sustav za upravljanje bazom podataka Microsoft SQL Server 2012. AWP ISPD nema pristup lokalnoj mreži, a također nema pristup internetu.
ISPD pohranjuje sljedeće osobne podatke:
Puno ime;
Fotografija zaposlenika.
Pravo rada s ISPDn sustavima kontrole i upravljanja pristupom imaju:
Voditelj Odjela sigurnosti Banke;
Zamjenik voditelja Odjela sigurnosti Banke;
Djelatnici sigurnosne službe Banke.
Pristup automatiziranom radnom mjestu sustava kontrole i upravljanja pristupom ima:
Administratori sustava, za administraciju automatiziranog radnog mjesta i softvera 1C "Upravljanje plaćama i osobljem" i baze osobnih podataka;
Zaposlenici Sektora zaduženi za informacijsku sigurnost Banke za administriranje AWP sustava zaštite informacija.
U ISPD-u za zaposlenike banke mogu se obavljati sljedeće funkcije:
Automatsko brisanje osobnih podataka;
Ručno brisanje osobnih podataka;
Ručna promjena podataka;
Ručno dodavanje osobni podaci;
Automatizirano pretraživanje osobnih podataka.
Informacijski sustav osobnih podataka pohranjuje podatke koji omogućuju identifikaciju 243 zaposlenika Banke.
Nakon ostvarenja ciljeva obrade osobnih podataka radnika, njegovi osobni podaci se brišu iz ISPD-a.
1.5.3 Informacijski sustav osobnih podataka automatiziranog bankovnog sustava
Informacijski sustav osobnih podataka automatiziranog bankovnog sustava osmišljen je tako da automatizira rad većine bankovnih zaposlenika. Poboljšava produktivnost zaposlenika. Kao automatizirani bankarski sustav koristi se kompleks softverskih proizvoda "CFT-Bank" koji proizvodi grupa tvrtki "Centar za financijske tehnologije". Softver Oracle koristi se kao sustav za upravljanje bazom podataka. ISPD je postavljen na poslužitelju Banke, operativni sustav instaliran na poslužitelju je Microsoft Windows poslužitelj 2008R2. ISPD automatiziranog bankarskog sustava povezan je s lokalnom računalnom mrežom banke, ali nema pristup internetu. Korisnici su povezani s ISPD bazom podataka pomoću softverskih proizvoda CFT-Bank s namjenskih virtualnih terminala. Svaki korisnik ima svoju prijavu i lozinku u ISPD-u.
Osobni podaci koji se obrađuju u ISPD:
Puno ime;
Datum rođenja;
serija i broj putovnice;
Broj telefona;
Pravo rada sa softverom i bazom osobnih podataka CFT-Bank imaju sljedeće osobe:
računovodstveno osoblje;
Kreditni službenici;
Zaposlenici odjela upravljanja rizicima;
Zaposlenici odjela kolaterala;
Osobni menadžeri;
Voditelji klijenata;
Sigurnosno osoblje.
Pristup radnoj stanici imaju:
Administratori sustava za administriranje poslužitelja, baze osobnih podataka i softvera CFT-Bank;
Zaposlenici odjela zaduženi za informacijsku sigurnost Banke za administriranje servera, baze osobnih podataka i softvera CFT-Bank.
U ISPD-u za zaposlenike banke mogu se obavljati sljedeće funkcije:
Automatsko brisanje osobnih podataka;
Ručno brisanje osobnih podataka;
Ručno dodavanje osobnih podataka;
Ručna promjena podataka;
Automatizirano pretraživanje osobnih podataka.
Informacijski sustav osobnih podataka pohranjuje podatke koji omogućuju identifikaciju 243 zaposlenika Banke i 9.438 klijenata Banke.
Nakon ostvarenja ciljeva obrade osobnih podataka radnika, njegovi osobni podaci se brišu iz ISPD-a.
1.6 Struktura i prijetnje lokalne mreže Banke
Banka ima klijent-poslužiteljsku mrežu. Naziv domene u kojoj se nalaze radne stanice korisnika je vitabank.ru. Banka ima ukupno 243 automatizirana radna mjesta korisnika, kao i 10 virtualni poslužitelji i 15 virtualnih radnih stanica. Odjel za administraciju sustava prati rad mreže. Mreža je izgrađena uglavnom na Cisco mrežnoj opremi. Komunikacija s dodatnim uredima održava se putem VPN kanala korištenjem Interneta putem aktivnog i pričuvnog kanala Internet providera. Razmjena informacija sa Centralnom bankom odvija se kroz namjenski kanal, kao i putem konvencionalnih komunikacijskih kanala.
Svi korisnici imaju pristup Internetu na lokalnim radnim stanicama, ali rad s dokumentima i informacijskim sustavima Banke odvija se samo putem virtualnih radnih stanica, na kojima je ograničen pristup Internetu i učitavaju se samo lokalni resursi Banke.
Pristup Internetu s lokalnih radnih stanica razgraničen je pristupnim grupama:
Minimalni pristup - pristup samo resursima saveznih službi, web stranici Banke Rusije;
Normalan pristup - svi resursi su dopušteni osim zabave, društvene mreže, zabranjeno je gledanje videa i preuzimanje datoteka.
Potpuni pristup - dopušteni su svi resursi i učitavanje datoteka;
Filtriranje resursa prema pristupnim grupama provodi proxy poslužitelj.
Ispod je dijagram mreže PJSC Citibank (slika 5).
1.7 Alati za informacijsku sigurnost
Alati informacijske sigurnosti skup su inženjerskih, električnih, elektroničkih, optičkih i drugih uređaja i uređaja, uređaja i tehničkih sustava, kao i drugih elemenata koji se koriste za rješavanje različitih problema informacijske sigurnosti, uključujući sprječavanje curenja i osiguravanje sigurnosti zaštićenih informacija.
Alati informacijske sigurnosti u smislu sprječavanja namjernih radnji, ovisno o načinu implementacije, mogu se podijeliti u skupine:
Tehnička (hardverska) sredstva. To su uređaji raznih vrsta (mehanički, elektromehanički, elektronički itd.), koji hardverski rješavaju probleme zaštite informacija. Onemogućuju pristup informacijama, uključujući njihovo maskiranje. Hardver uključuje: generatore buke, mrežne filtre, radio uređaje za skeniranje i mnoge druge uređaje koji "blokiraju" potencijalne kanale curenja informacija ili omogućuju njihovo otkrivanje. Prednosti tehničkih sredstava odnose se na njihovu pouzdanost, neovisnost o subjektivnim čimbenicima i visoku otpornost na promjene. Slabosti - nedostatak fleksibilnosti, relativno veliki volumen i težina, visoka cijena.
Slika 5 Dijagram mreže PJSC Citibank
Programski alati uključuju programe za identifikaciju korisnika, kontrolu pristupa, enkripciju informacija, brisanje rezidualnih (radnih) informacija kao što su privremene datoteke, probnu kontrolu sustava zaštite itd. Prednosti softverskih alata su svestranost, fleksibilnost, pouzdanost, jednostavnost instalacije , sposobnost modificiranja i razvoja. Nedostaci - ograničena funkcionalnost mreže, korištenje dijela resursa datotečnog poslužitelja i radnih stanica, velika osjetljivost na slučajne ili namjerne promjene, moguća ovisnost o vrstama računala (njihovom hardveru).
Mješoviti hardver i softver implementiraju iste funkcije kao odvojeno hardver i softver i imaju posredna svojstva.
Sve poslovne prostore Banke nadzire zaštitarska služba sustavom kontrole i upravljanja pristupom te sustavom videonadzora. Ulaz u poslovni prostor banke ostvaruje se uz odgovarajuće dozvole u sustavu kontrole i upravljanja pristupom. Zaposleniku, prilikom prijavljivanja na posao, odnosno posjetitelju Banke, ukoliko je potreban pristup poslovnim prostorijama Banke, izdaju se beskontaktne Proximity-kartice na kojima je evidentiran identifikator korisnika, a prilikom pokušaja pristupa poslovnici, ovaj identifikator se prenosi u sustav kontrole pristupa i upravljanja. Sustav uspoređuje popis soba u koje korisnik kartice smije ući sa sobom u koju želi ući te dopušta ili ograničava pristup sobi.
Na radnim stanicama Banke instaliran je antivirusni softver Kaspersky Endpoint Security 10, koji ima potvrdu o sukladnosti FSTEC-a Rusije br. 3025, važeću do 25. studenog 2019., baze virusnih definicija ažuriraju se centralno pomoću antivirusnog poslužiteljskog dijela instaliranog na poslužitelju koji se nalazi u Banci.
Za organizaciju elektronskog upravljanja dokumentima sa Centralnom bankom nadležni u Banci su imali namjensku komunikacijsku liniju.
Elektronički potpis koristi se za organiziranje elektroničkog upravljanja dokumentima sa saveznim službama (Savezna porezna služba, Mirovinski fond Rusije, Služba za financijski nadzor itd.). Za rad Elektronički potpis specijalizirani softver instaliran je na lokalnim radnim stanicama izvođača odgovornih za cirkulaciju dokumenata sa saveznim službama:
Crypto-Pro CSP;
Kripto-ARM;
CIPF Verba-OW;
CIPF Validat;
Signal-COM CSP.
Upotreba određenog softvera od strane izvođača ovisi o zahtjevima određene savezne agencije.
Na granici lokalna mreža Banka je instalirala vatrozid Cisco ASA 5512, proizvođača Cisco Corporation. Također, kritični bankovni sustavi (Workstation of the Bank of Russia Client, SWIFT, Bank's ISPD) su dodatno odvojeni od lokalne mreže Banke Cisco vatrozidima. VPN tuneli za komunikaciju s dodatnim uredom organizirani su pomoću Cisco vatrozida.
1.8 Organizacijske mjere zaštite
Prema studiji britanske revizorske i konzultantske tvrtke Ernst & Yong iz 2014. godine, 69 posto tvrtki koje su sudjelovale u studiji zaposlenike tvrtki smatra glavnim izvorom prijetnji informacijskoj sigurnosti.
Zaposlenici tvrtke mogu zbog neznanja ili svoje nekompetentnosti u području informacijske sigurnosti otkriti kritične informacije potrebne za izvođenje ciljanih napada na organizaciju. Napadači također šalju phishing poruke s ugrađenim zlonamjernim softverom koji napadačima omogućavaju preuzimanje kontrole nad radnim mjestom zaposlenika i napad na informacijske sustave Banke s tog radnog mjesta.
Stoga je u Banci odjel informacijske sigurnosti dužan educirati zaposlenike Banke temeljnim načelima informacijske sigurnosti, pratiti poštivanje sigurnosnih zahtjeva pri radu na radnom mjestu te informirati zaposlenike Banke o novim prijetnjama informacijskoj sigurnosti s kojima se mogu suočiti. .
U PJSC Citibank svi zaposlenici prolaze uvodni brifing pri zapošljavanju. Također, novi zaposlenici, zaposlenici premješteni iz drugih strukturnih odjela prolaze početni brifing u odjelu informacijske sigurnosti, tijekom kojeg se zaposlenicima objašnjavaju osnovna pravila informacijske sigurnosti pri radu s informacijskim sustavima Banke, sigurnosna pravila pri radu na Internetu, sigurnosna pravila prilikom rada s e-mailom Banke, politika lozinke Banke.
Zaposlenici odjela informacijske sigurnosti Banke uključeni su u razvoj i implementaciju novih informacijskih sustava Banke na svim razinama razvoja sustava.
U fazi projektiranja sustava i izrade projektnog zadatka za razvoj informacijskog sustava, odjel informacijske sigurnosti postavlja sigurnosne zahtjeve za sustav.
U fazi razvoja informacijskog sustava, zaposlenici odjela za informacijsku sigurnost proučavaju trenutnu dokumentaciju, testiraju softver na moguće ranjivosti u programskom kodu.
U fazi testiranja i puštanja u rad informacijskog sustava, odjel informacijske sigurnosti aktivno sudjeluje u testiranju informacijskog sustava, provodi testove prodora u informacijski sustav i testove uskraćivanja usluge, te vrši distribuciju prava pristupa informacijskom sustavu.
U fazi rada informacijskog sustava koji je već u funkciji, odjel informacijske sigurnosti prati i detektira sumnjive aktivnosti.
U fazi finalizacije informacijskog sustava, odjel informacijske sigurnosti, na temelju podataka dobivenih tijekom rada informacijskog sustava, gradi nove zahtjeve za informacijski sustav.
Odjel za informacijsku sigurnost PJSC Citibank odobrava sve zahtjeve za pristup resursima na Internetu, kao i internim resursima Banke.
1.9 Ciklus obrade osobnih podataka
Osobni podaci pohranjeni u Banci dobiveni su isključivo zakonito.
Zaprimljene osobne podatke zaposlenika Banke obrađujemo samo radi ispunjenja obveza Banke iz ugovora sklopljenog sa zaposlenikom. Osobni podaci zaposlenika Banke dobivaju se od samog zaposlenika. Svi zaposlenici Banke upoznati su na potpis s dokumentima Banke kojima se utvrđuje postupak obrade osobnih podataka zaposlenika Banke, kao i njihova prava i obveze u tom području.
Osobni podaci zaposlenika banke pohranjeni u ISPD sustava kontrole i upravljanja imaju za cilj omogućiti zaposleniku da radno mjesto.
Osobni podaci klijenata Banke pohranjeni u ISPD-u automatiziranog bankovnog sustava obrađuju se samo u svrhu ispunjenja obveza Banke iz ugovora sklopljenog s klijentom Banke. Također, u ISPD-u automatiziranog bankovnog sustava obrađuju se osobni podaci osoba koje nisu sklopile ugovor s Bankom, ali su dobiveni zakonito, na primjer, osobni podaci primljeni i obrađeni na zahtjev Saveznog zakona br. kriminalnim sredstvima i financiranjem terorizma”.
Nakon ostvarenja ciljeva obrade osobni podaci se uništavaju ili depersonaliziraju.
2. RAZVOJ MJERA ZA ZAŠTITU OSOBNIH PODATAKA U BANCI
U PJSC Citibank, sustav zaštite osobnih podataka reguliran je zakonima na državnoj razini i lokalnim propisima (na primjer, Pravila za daljinsko bankarstvo pravne osobe i pojedinačni poduzetnici u PJSC CITIBANK” u Dodatku 1).
Sustav zaštite osobnih podataka PJSC Citibank dovoljno je postavljen da izbjegne jednostavne napade poput krađe identiteta i infekcije radnih stanica ransomware virusima, ali nije sposoban oduprijeti se ciljanim napadima usmjerenim na krađu osobnih podataka.
Provodio sam radove na restrukturiranju i modernizaciji sustava zaštite osobnih podataka.
2.1 Mjere zaštite lokalne računalne mreže banke i informacijskog sustava osobnih podataka
U mreži Citibank postoje izražene slabosti pomoću kojih napadači mogu ostvariti potpuni pristup mreži banke i preuzeti kontrolu nad njom, nakon čega mogu slobodno krasti, mijenjati ili brisati osobne podatke klijenata ili zaposlenika Banke.
Budući da je mreža Banke jedan segment, kako bi se rizici od ulaska uljeza u mrežu Banke sveli na najmanju moguću mjeru, potrebno ju je tehnološki podijeliti na više segmenata virtualne mreže.
Koncept virtualne mrežne tehnologije (VLAN) je da mrežni administrator može u njoj kreirati logičke grupe korisnika, bez obzira na koji su dio mreže spojeni. Možete kombinirati korisnike u logične radne grupe, na primjer, na temelju sličnosti obavljenog posla ili zajednički riješenog zadatka. Istodobno, grupe korisnika mogu međusobno komunicirati ili biti potpuno nevidljive jedna drugoj. Članstvo u grupi je promjenjivo i korisnik može biti član više logičkih grupa. Virtualne mreže tvore logičke domene emitiranja, ograničavajući prolaz emitiranih paketa kroz mrežu, baš kao i usmjerivači, koji izoliraju emitirani promet između mrežnih segmenata. Na taj način virtualna mreža sprječava pojavu oluja emitiranja jer su emitirane poruke ograničene na članove virtualne mreže i ne mogu ih primati članovi drugih virtualnih mreža. Virtualne mreže mogu omogućiti pristup članovima druge virtualne mreže u slučajevima kada je potrebno pristupiti zajedničkim resursima, kao što su datotečni poslužitelji ili aplikacijski poslužitelji, ili kada zajednički zadatak zahtijeva interakciju različitih usluga, kao što su kreditni i namirni odjeli. Virtualne mreže mogu se kreirati na temelju portova preklopnika, fizičkih adresa uređaja uključenih u mrežu i logičkih adresa protokola treće razine OSI modela. Prednost virtualnih mreža je velika brzina rad preklopnika, budući da moderni preklopnici sadrže specijalizirani skup integriranih sklopova posebno dizajniranih za rješavanje problema preklopa na drugoj razini OSI modela. Virtualne mreže treće razine najlakše je instalirati ako nije potrebna rekonfiguracija mrežnih klijenata, najteže ih je administrirati, jer svaka radnja s mrežnim klijentom zahtijeva ili rekonfiguraciju samog klijenta ili usmjerivača, i najmanje je fleksibilna, budući da je usmjeravanje potrebno za komunikaciju virtualnih mreža, što povećava cijenu sustava i smanjuje njegovu izvedbu.
Stoga će stvaranje virtualnih mreža u Banci spriječiti ARP-spoofing napade. Zlonamjernici neće moći presresti informacije koje prolaze između poslužitelja i klijenta. Prilikom prodora u mrežu napadači neće moći skenirati cijelu mrežu Banke, već samo mrežni segment kojem su pristupili.
Prilikom infiltracije u mrežu Banke, napadači će prije svega skenirati mrežu kako bi pronašli kritične mrežne čvorove. Ovi čvorovi su:
kontroler domene;
proxy poslužitelj;
Mail poslužitelj;
Datotečni poslužitelj;
Poslužitelj aplikacija.
Budući da će lokalna mreža u Banci biti organizirana tehnologijom virtualne mreže, napadači neće moći detektirati te čvorove bez dodatnih koraka. Kako bi se napadačima otežalo pronalaženje kritičnih čvorova na lokalnoj mreži i zbunilo ih, te u budućnosti proučavala strategija napadača prilikom izvođenja napada na mrežu, potrebno je koristiti lažne objekte koji će privući napadače . Ti se predmeti nazivaju Honeypots.
Zadatak Honeypota je napad ili neovlašteno istraživanje, što će vam naknadno omogućiti da proučite strategiju napadača i odredite popis sredstava kojima se mogu pogoditi stvarni sigurnosni objekti. Implementacija honeypota može biti ili namjenski namjenski poslužitelj ili jedna mrežna usluga čiji je zadatak privući pozornost hakera.
Honeypot je resurs koji ne radi ništa bez ikakvog utjecaja na njega. Honeypot prikuplja malu količinu informacija, nakon analize statistike koja se temelji na metodama koje koriste krekeri, kao i prisutnost novih rješenja koja će se kasnije koristiti u borbi protiv njih.
Na primjer, web poslužitelju koji nema ime i koji je gotovo nikome nepoznat ne bi smjeli imati pristup gostima, tako da je svatko tko pokuša provaliti u njega potencijalni napadač. Honeypot prikuplja informacije o ponašanju ovih krekera i kako utječu na poslužitelj. Nakon toga, stručnjaci odjela za informacijsku sigurnost prikupljaju informacije o napadu uljeza na resurs i razvijaju strategije za odbijanje napada u budućnosti.
Za kontrolu informacija koje dolaze s interneta i otkrivanje prijetnji informacijskoj sigurnosti u fazi njihovog prijenosa mrežom, kao i za otkrivanje aktivnosti uljeza koji su prodrli u lokalnu mrežu Banke, potrebno je instalirati sustav za sprječavanje upada na rubu mreže.
Sustav za sprječavanje upada softverski je ili hardverski mrežni i računalni sigurnosni sustav koji otkriva upade ili proboje sigurnosti i automatski štiti od njih.
Sustavi za sprječavanje upada mogu se promatrati kao proširenje sustava za otkrivanje upada, jer zadatak praćenja napada ostaje isti. Međutim, razlikuju se po tome što sustav za sprječavanje upada prati aktivnost u stvarnom vremenu i brzo provodi radnje za sprječavanje napada.
Sustavi za detekciju i prevenciju upada dijele se na:
Sustavi za sprječavanje upada u mrežu - analiziraju promet usmjeren na mrežu organizacije, koji prolazi kroz samu mrežu ili usmjeren na određeno računalo. Sustavi za otkrivanje i sprječavanje upada mogu se implementirati softverskim ili hardversko-softverskim metodama, instaliranim na perimetru korporativna mreža a ponekad i unutar njega.
Sustavi za osobnu prevenciju upada su softver koji se instalira na radne stanice ili poslužitelje i omogućuje kontrolu aktivnosti aplikacija, kao i praćenje aktivnosti mreže radi mogućih napada.
Za implementaciju u mreži Banke odabran je sustav za sprječavanje upada u mrežu.
Razmotreno mrežni sustavi upada od strane IBM-a, Check Point-a, Fortineta, Palo Alta, budući da su deklarirane funkcionalnosti proizvođača ovih sustava zadovoljile zahtjeve odjela za informacijsku sigurnost Banke.
Nakon postavljanja testnih stolova i testiranja sustava za prevenciju upada odabran je sustav Check Point jer je pokazao najbolje performanse, najbolji podsustav za otkrivanje virusa koji se prenosi lokalnom mrežom, najbolje alate za logovanje i logiranje važnih događaja te cijenu nabave.
IBM-ov sustav za sprječavanje upada odbijen je jer je cijena uređaja premašila proračun odjela za informacijsku sigurnost za kupnju sustava za sprječavanje upada.
Fortinetov sustav za sprječavanje upada odbijen je zbog nepotpunog odgovora prilikom testiranja odjela informacijske sigurnosti za prijenos zaraženih datoteka i nedovoljno informativnih alata za evidentiranje važnih događaja.
Palo Altov sustav za prevenciju upada odbijen je zbog nedovoljno informativnih alata za bilježenje važnih događaja, pretjerane složenosti rada sa sustavom i ponašanja više poput routera.
Za implementaciju u lokalnoj mreži odabran je Check Point sustav za sprječavanje upada. Ovaj sustav pokazao je visoku razinu detekcije prijetnji informacijskoj sigurnosti, fleksibilne postavke, mogućnost proširenja funkcionalnosti kupnjom dodatnih softverskih modula, moćan sustav bilježenje važnih događaja i snažan alat za izvješćivanje o incidentima koji znatno olakšava istraživanje incidenata informacijske sigurnosti koji su se dogodili.
Dijagram mreže PJSC Citibank s promijenjenom arhitekturom prikazan je na slici 6.
2.2 Zaštite softvera i hardvera
Budući da se sigurnost osobnih podataka ne može osigurati samo mrežnom zaštitom, jer uljezi, unatoč svim poduzetim mjerama zaštite mreže, mogu doći do mreže Banke.
Slika 6 Dijagram mreže PJSC Citibank s dodatnim sigurnosnim sustavima
Za otporniju zaštitu od napada, uređajima za zaštitu mreže potrebno je dodati softverske i hardverske zaštitne uređaje za lokalne radne stanice, virtualne radne stanice, virtualne i obične poslužitelje.
Kao što je poznato antivirusni programi ne pružaju potpunu zaštitu od zlonamjernog softvera, jer rade na principu analize potpisa. Tvrtka koja se bavi antivirusnim softverom ima stručnjake u svom osoblju koji prate aktivnost virusa na Internetu, proučavaju ponašanje virusnog softvera na testnim stanicama i stvaraju potpise koji se zatim šalju na računala korisnika ažuriranjem baza podataka potpisa antivirusnog softvera. Nakon što primi ažuriranu bazu potpisa antivirusnog softvera, antivirus skenira datoteke na radnoj stanici korisnika i traži znakove zlonamjernog softvera; ako se takvi znakovi pronađu tijekom skeniranja, antivirus to signalizira i djeluje u skladu s postavke koje postavlja korisnik ili antivirusni administrator. Dakle, ako zlonamjerni softver nije otkriven i analiziran od strane stručnjaka tvrtke za antivirusni softver, tada antivirus neće moći otkriti zlonamjerni softver i neće poduzeti nikakve radnje, smatrajući skeniranu datoteku sigurnom. Stoga, kako bi se smanjila vjerojatnost pristupa mreži i lansiranja zlonamjernog softvera, Banka je instalirala drugu antivirusnu zaštitnu petlju. Budući da većina tvrtki za antivirusni softver radi odvojeno jedna od druge, zlonamjerni softver koji još nije otkriven od strane jedne tvrtke za antivirusni softver može biti otkriven od strane drugog programera i već se mogu stvoriti potpisi za otkrivenu prijetnju.
Za provedbu takve sheme, virtualni radna stanica, na kojem je instaliran Doctor WEB Enterprise security suit antivirus, koji posjeduje certifikat o sukladnosti FSTEC-a Rusije br. 2446, koji vrijedi do 20. rujna 2017. godine. Sve datoteke koje su zaposlenici banke preuzeli tijekom svog rada šalju se ovoj stanici i skeniraju antivirusnim programom. Ako se otkrije zlonamjerni softver, antivirus šalje e-poruku odjelu za informacijsku sigurnost s nazivom prijetnje i stazom na kojoj je pohranjena zaražena datoteka. Odjel za informacijsku sigurnost poduzima korake za uklanjanje zlonamjernog softvera. Ukoliko datoteke koje su učitali korisnici prođu antivirusnu provjeru, korisnik koji je učitao datoteku podnosi zahtjev odjelu informacijske sigurnosti, a djelatnici odjela preuzetu datoteku prosljeđuju korisniku.
Također, velika količina zlonamjernog softvera zaposlenicima Banke dolazi elektroničkom poštom. To mogu biti i obični virusi za šifriranje i zlonamjerni softver koji napadačima omogućuje prodor u zaraženo računalo zaposlenika Banke putem daljinske veze.
Kako bi se rizici od takvih prijetnji sveli na najmanju moguću mjeru, na poslužitelj e-pošte Banke instaliran je antivirusni softver ClamAW, dizajniran za zaštitu poslužitelji pošte.
Za zaštitu od neovlaštenog pristupa internih uljeza koji su na neki način saznali lozinku korisnika lokalne stanice koja ima pristup informacijskim sustavima osobnih podataka, potrebno je instalirati sustav zaštite informacija od neovlaštenog pristupa na lokalnim radnim stanicama korisnika koji rade s osobnim podatkovni informacijski sustavi.
.Edukaciju zaposlenika Banke provodi stručnjak odjela informacijske sigurnosti.
Zaposlenik odjela informacijske sigurnosti provodi edukaciju u dijelu Banke određenom planom. Nakon obuke djelatnici postrojbe polažu testove kojima potvrđuju znanja stečena tijekom obuke.
Temeljnom sigurnosnom politikom propisano je izvođenje obuke u svakoj postrojbi najmanje četiri puta godišnje.
Također, paralelno s edukacijom zaposlenika, djelatnici odjela informacijske sigurnosti dužni su najmanje jednom mjesečno svim zaposlenicima Banke slati informativna pisma koja opisuju osnovna sigurnosna pravila, nove prijetnje informacijskoj sigurnosti Banke, ako ih se otkrije.
2.3.2 Redoslijed pristupa zaposlenika internetskim resursima
Banka ima 3 grupe pristupa Internetu, ali takva podjela pristupa je neučinkovita, budući da će zaposlenik, kako bi obavljao svoje dužnosti, možda trebati dobiti informacije s mrežnog resursa koji je uključen u grupu punog pristupa, tada će imati omogućiti puni pristup Internetu, što nije sigurno.
Grupa 6: preuzimanje arhiva - grupa ne omogućuje pristup Internet resursima;Grupa 7: preuzimanje izvršnih datoteka - grupa ne omogućuje nikakav pristup Internet resursima;
Grupa 8: puni pristup internetu - puni pristup internetskim resursima, preuzimanje bilo koje datoteke.
Za pristup internetskim resursima zaposlenik kreira aplikaciju putem sustava ServiceDesk i nakon odobrenja od strane voditelja odjela ili uprave i djelatnika odjela informacijske sigurnosti, zaposleniku se odobrava pristup internetskim resursima prema traženoj grupi .
2.3.3 Procedura za pristup zaposlenika unutarbankarskim resursima
Glavni dokumenti o radu zaposlenika nalaze se na lokalnom radnom mjestu ili u automatiziranom sustavu u kojem radi. Također, svaki odjel Banke ima odjeljak na serveru datoteka Banke u kojem se pohranjuju informacije potrebne za više zaposlenika sektora i koji je velikih dimenzija za prijenos e-mailom Banke.
Kada novi zaposlenik dobije posao u Banci, njegov neposredni rukovoditelj putem ServiceDesk sustava šalje zahtjev odjelu administracije sustava za pristup unutarbankarskom resursu, a nakon odobrenja zahtjeva od strane djelatnika odjela informacijske sigurnosti, djelatnik odjela sistemske administracije omogućuje novom zaposleniku pristup traženom resursu.
Česte su situacije u kojima se presijecaju poslovi više odjela Banke te je za razmjenu informacija tim odjelima potreban poseban na poslužitelju datoteka Banke.
Za kreiranje ove sekcije voditelj projekta, voditelj jednog od odjela uključenih u proces rada na projektu, kreira aplikaciju kroz sustav ServiceDesk za kreiranje zajedničkog resursa i pristup tom resursu za određene njegove zaposlenike. odjel koji radi na zajedničkom projektu i voditelj odjela s kojim surađuje u okviru projekta . Nakon odobrenja službenika za informiranje, službenik za administraciju sustava kreira traženi resurs i odobrava pristup istom traženim zaposlenicima. Svaki voditelj odjela koji sudjeluje u projektu zahtijeva pristup samo za one zaposlenike koji su njemu podređeni.
2.3.4 Kako zaposlenici rade s e-poštom
Ranije, prije izrade osnovne sigurnosne politike, svaki je zaposlenik sam odredio stupanj opasnosti od pisama i datoteka primljenih e-poštom s vanjskih poslužitelja pošte.
Nakon izrade osnovne sigurnosne politike, svaki korisnik je dužan svaku datoteku primljenu e-poštom s vanjskih poslužitelja pošte poslati odjelu za informacijsku sigurnost radi provjere zlonamjernog softvera, stupanj opasnosti pisama određuje djelatnik samostalno. Ako zaposlenik Banke posumnja u to dolazna poruka sadrži spam ili phishing, dužan je pismo poslati u cijelosti, odnosno sa svim službenim podacima o pošiljatelju, njegovom poštanski sandučić i IP adresu, odjelu za informacijsku sigurnost. Nakon analize sumnjivog pisma i potvrde prijetnje ovog pisma, odjel informacijske sigurnosti šalje adresu pošiljatelja pisma odjelu za administraciju sustava, a djelatnik odjela za administraciju sustava stavlja adresu pošiljatelja pisma na crnu listu.
Uvijek blokirajte radno mjesto kada odviknete od njega.
2.3.6 Pravila za pristup zaposlenika osobnim podacima
Prema članku 89. Poglavlja 14. Zakona o radu Ruske Federacije, zaposlenik Banke ima pravo pristupa svojim osobnim podacima, ali smije obrađivati osobne podatke drugih zaposlenika Banke ili klijenata Banke samo za obavljanje svojih službenih dužnosti .
Kako bi osigurala kontrolu pristupa informacijskim sustavima osobnih podataka, banka je uspostavila sljedeća pravila za pristup informacijskim sustavima osobnih podataka:
Pristup ISPD-u imaju samo zaposlenici čije radne obveze uključuju obradu osobnih podataka;
Pristup ISPD-u dopušten je samo s lokalnog radnog mjesta zaposlenika koji radi s osobnim podacima;
Banka je izradila dokument koji prezimenom definira djelatnike kojima je dopušten pristup osobnim podacima zaposlenika i klijenata Banke, s naznakom Informacijskog sustava osobnih podataka i popisom osobnih podataka dopuštenih za obradu od strane zaposlenika.
3. EKONOMSKA OPRAVDANOST PROJEKTA
Za implementaciju sustava zaštite osobnih podataka potrebno je kupiti:
Oprema za zaštitu mreže Banke;
Hardver za informacijsku sigurnost;
Softver za informacijsku sigurnost.
Da biste ponovno izgradili mrežu organizacije, morate kupiti preklopnike Cisco katalizator 2960 u količini od 3 primjerka. Jedan preklopnik potreban je za rad na razini jezgre mreže Banke, a druga 2 za rad na razini distribucije. Također će se koristiti mrežna oprema koja je radila u banci prije restrukturiranja mreže.
Ukupni trošak (RUB) 9389159 613
Sigurnosno odijelo Doctor WEB Enterprise155005500
Ukupni trošak1 371 615
ZAKLJUČAK
U svom diplomskom radu bavila sam se pravnim okvirom zaštite osobnih podataka. Razmotrio sam glavne izvore prijetnji sigurnosti osobnih podataka.
Na temelju razmatranih osobnih prijetnji, analizirao sam postojeći sustav zaštite osobnih podataka u PJSC Citibank i došao do zaključka da ga je potrebno ozbiljno unaprijediti.
Tijekom diplomskog projekta uočene su slabosti u lokalnoj mreži Banke. Uzimajući u obzir otkrivene slabosti u lokalnoj mreži Banke, određene su mjere za minimiziranje rizika informacijske sigurnosti mreže Banke.
Također su razmatrani i odabrani uređaji i softver za zaštitu lokalnih radnih mjesta zaposlenika koji obrađuju osobne podatke zaposlenika i klijenata Banke.
Uz moje sudjelovanje kreiran je sustav podizanja svijesti zaposlenika o pitanjima informacijske sigurnosti.
Procedura pristupa Internetu zaposlenika Banke temeljito je redizajnirana te su redizajnirane grupe za pristup Internetu. Nove grupe pristupa Internetu omogućuju značajno minimiziranje rizika informacijske sigurnosti zbog ograničene mogućnosti korisnika da preuzimaju datoteke i pristupaju nepouzdanim resursima.
Dani su izračuni troškova ponovne izgradnje mreže i stvaranja održivog sustava zaštite osobnih podataka koji može odražavati većinu prijetnji informacijskoj sigurnosti.
POPIS KORIŠTENE LITERATURE
1. "Ustav Ruske Federacije" (usvojen narodnim glasovanjem 12. prosinca 1993.) (podložno izmjenama unesenim Zakonima Ruske Federacije o izmjenama i dopunama Ustava Ruske Federacije od 30. prosinca 2008. N 6- FKZ, od 30. prosinca 2008. N 7-FKZ, od 5. veljače 2014. N 2-FKZ, od 21. srpnja 2014. N 11-FKZ) // Službeni tekst Ustava Ruske Federacije, s izmjenama i dopunama 21. srpnja , 2014., objavljeno je na službenom internetskom portalu pravnih informacija http://www.pravo.gov.ru, 01.08.2014.
2. "Osnovni model prijetnji sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka" (Izvadak) (odobrio FSTEC Ruske Federacije 15. veljače 2008.)
3. Savezni zakon od 27. srpnja 2006. N 149-FZ (s izmjenama i dopunama 6. srpnja 2016.) „O informacijama, informacijskim tehnologijama i zaštiti informacija” // Dokument nije objavljen u ovom obliku. Izvorni tekst dokumenta objavljen je u Rossiyskaya Gazeta, br. 165, 29.07.2006.
4. "Zakon o radu Ruske Federacije" od 30. prosinca 2001. N 197-FZ (s izmjenama i dopunama 3. srpnja 2016.) (s izmjenama i dopunama, stupio na snagu 3. listopada 2016.) // Dokument nije objavljen u ovom obliku, izvorni tekst dokumenta objavljen je u Rossiyskaya Gazeta, N 256, 31.12.2001.
5. Uredba Vlade Ruske Federacije od 01.11.2012 N 1119 "O odobrenju zahtjeva za zaštitu osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka" // "Rossiyskaya Gazeta", N 256, 07.11.2012.
6. Naredba FSTEC-a Rusije od 18. veljače 2013. N 21 „O odobrenju sastava i sadržaja organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka” (registrirano u Ministarstvu Pravda Rusije 14. svibnja 2013. N 28375) // “Ruske novine”, N 107, 22.5.2013.
7. „Standard Banke Rusije „Osiguranje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Opće odredbe "STO BR IBBS-1.0-2014" (usvojene i stavljene na snagu Nalogom Banke Rusije od 17. svibnja 2014. N R-399) // Bilten Banke Rusije, br. 48-49, 30. svibnja 2014
8. „Pravilnik o zahtjevima za osiguravanje zaštite podataka prilikom prijenosa novca io postupku Banke Rusije za provođenje kontrole usklađenosti sa zahtjevima za osiguranje zaštite podataka prilikom prijenosa novca” (odobren od strane Banke Rusije 09.06.2012 N 382-P) (s izmjenama i dopunama od 14. kolovoza 2014.) (Registrirano u Ministarstvu pravosuđa Rusije 14. lipnja 2012. N 24575) // Dokument nije objavljen u ovom obliku, izvornik tekst dokumenta objavljen je u Biltenu Banke Rusije, N 32, 22.06.2012.
9. „Pravilnik o postupku podnošenja kreditnih institucija ovlaštenom tijelu podataka predviđenih Saveznim zakonom „O suzbijanju legalizacije (pranja) prihoda od kriminala i financiranja terorizma” (odobren od strane Banke Rusije 29. kolovoza 2008. N 321-P) (s izmjenama i dopunama od 15.10.2015.) (zajedno s „Postupkom za osiguranje sigurnosti informacija tijekom prijenosa i prijema ECO-a”, „Pravila za formiranje ECO-a i popunjavanje pojedinih polja ECO zapisa”) (Registrirano u Ministarstvu pravosuđa Rusije 16.09.2008 N 12296) // U ovom obliku dokument nije objavljen, Izvorni tekst dokumenta objavljen je u Biltenu Banke Rusije, N 54, 26.09.2008
10. Naredba FSTEC-a Rusije od 18. veljače 2013. N 21 „O odobrenju sastava i sadržaja organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka” (registriran u Ministarstvu Pravda Rusije 14. svibnja 2013. N 28375) // “Ruske novine”, N 107, 22.5.2013.
11. Averchenkov V.I., Rytov M.Yu., Gainulin T.R. Zaštita osobnih podataka u organizacijama. M.: Flinta, 2018
12. Agapov A. B. Osnove javne uprave u području informatizacije u Ruskoj Federaciji. M.: Pravnik, 2012
13. Kostin A. A., Kostina A. A., Latyshev D. M., Moldovyan A. A. Programski kompleksi serije AURA za zaštitu informacijskih sustava osobnih podataka Izv. sveučilišta. instrumentacija. 2012. V. 55, br. 11
14. Moldovyan A. A. Kriptografija za zaštitu računalnih informacija (1. dio) // Integral. 2014. br. 4 (18)
15. Romanov O.A., Babin S.A., Zhdanov S.G. Organizacijska podrška informacijskoj sigurnosti. - M.: Akademija, 2016
16. Shults V.L., Rudchenko A.D., Yurchenko A.V. Poslovna sigurnost. M.: Izdavačka kuća Yurayt, 2017
Prijave (dostupne u arhivi uz rad).
Slični dokumenti
Zakonska osnova za zaštitu osobnih podataka. Klasifikacija prijetnji informacijskoj sigurnosti. Baza osobnih podataka. Uređaj i prijetnje LAN-a poduzeća. Glavna programska i hardverska sredstva zaštite osobnog računala. Osnovna sigurnosna politika.
diplomski rad, dodan 10.6.2011
Preduvjeti za stvaranje sustava sigurnosti osobnih podataka. Prijetnje informacijskoj sigurnosti. Izvori neovlaštenog pristupa ISPD-u. Uređaj informacijskih sustava osobnih podataka. Sredstva zaštite informacija. Sigurnosna politika.
seminarski rad, dodan 07.10.2016
Analiza strukture distribuiranog informacijskog sustava i osobnih podataka koji se u njemu obrađuju. Odabir osnovnih mjera i sredstava za osiguranje sigurnosti osobnih podataka od trenutnih prijetnji. Određivanje troškova izrade i održavanja projekta.
diplomski rad, dodan 01.07.2011
Sustav kontrole i upravljanja pristupom u poduzeću. Analiza obrađenih informacija i klasifikacija ISPD-a. Razvoj modela prijetnji sigurnosti osobnih podataka tijekom njihove obrade u informacijskom sustavu osobnih podataka ACS JSC "MMZ".
diplomski rad, dodan 04.11.2012
Opis glavnih tehničkih rješenja za opremanje informacijskog sustava osobnih podataka koji se nalazi u informatičkoj učionici. Podsustav antivirusne zaštite. Mjere pripreme za uvođenje alata informacijske sigurnosti.
seminarski rad, dodan 30.09.2013
Tajnost i sigurnost dokumentiranih podataka. Vrste osobnih podataka koji se koriste u aktivnostima organizacije. Razvoj zakonodavstva u području osiguranja njihove zaštite. Metode osiguranja informacijske sigurnosti Ruske Federacije.
prezentacija, dodano 15.11.2016
Analiza rizika informacijske sigurnosti. Ocjena postojećih i planiranih sredstava zaštite. Skup organizacijskih mjera za osiguranje informacijske sigurnosti i zaštite podataka poduzeća. Kontrolni primjer provedbe projekta i njegov opis.
diplomski rad, dodan 19.12.2012
Regulatorni dokumenti u području informacijske sigurnosti u Rusiji. Analiza prijetnji informacijskih sustava. Obilježja organizacije sustava zaštite osobnih podataka poliklinike. Implementacija sustava autentifikacije pomoću elektroničkih ključeva.
diplomski rad, dodan 31.10.2016
Opće informacije o aktivnostima poduzeća. Objekti informacijske sigurnosti u poduzeću. Mjere i sredstva zaštite informacija. Kopiranje podataka na prijenosni medij. Instaliranje internog rezervnog poslužitelja. Učinkovitost unapređenja sustava IS.
test, dodan 29.08.2013
Glavne prijetnje u odnosu na informacije. Pojmovi, metode i načini osiguranja zaštite podataka. Zahtjevi za sigurnosni sustav. Mehanizam autorizacije u infobazi za određivanje tipa korisnika. Administratorski rad sa sigurnosnim sustavom.
