EntradaProductos modernos para la protección de datos personales del banco. Mejora del sistema de protección de datos personales de JSC Alfa Bank
POSICIÓN
sobre la protección de datos personales
Clientes (suscriptores)
en Ortes-Finance LLC
Términos y definiciones
1.1. Informacion personal— cualquier información relacionada con una persona identificada o determinada sobre la base de dicha información (el sujeto de los datos personales), incluidos su apellido, nombre, patronímico, año, mes, fecha y lugar de nacimiento, dirección, dirección de correo electrónico , número de teléfono, familia, estado social, propiedad, educación, profesión, ingresos, otra información.
1.2. Tratamiento de datos personales- acciones (operaciones) con datos personales, incluida la recopilación, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), uso, distribución (incluida la transferencia), despersonalización, bloqueo.
1.3. Confidencialidad de los datos personales— un requisito obligatorio para la persona responsable designada que ha obtenido acceso a los datos personales para evitar su distribución sin el consentimiento del sujeto u otros motivos legales.
1.4. Difusión de datos personales- acciones destinadas a la transferencia de datos personales a un determinado círculo de personas (transferencia de datos personales) o a la familiarización con datos personales de un número ilimitado de personas, incluida la divulgación de datos personales en los medios, la colocación en redes de información y telecomunicaciones o proporcionar acceso a datos personales a cualquier o de cualquier otra manera.
1.5. Uso de datos personales- acciones (operaciones) con datos personales realizadas con el propósito de tomar decisiones o realizar otras acciones que den lugar a consecuencias legales en relación con los sujetos de los datos personales o que afecten de otro modo sus derechos y libertades o los derechos y libertades de otras personas.
1.6. Bloqueo de datos personales- suspensión temporal de la recolección, sistematización, acumulación, uso, distribución de datos personales, incluyendo su transferencia.
1.7. Destrucción de datos personales— acciones como resultado de las cuales es imposible restaurar el contenido de los datos personales en el sistema de información de datos personales o como resultado de las cuales se destruyen los soportes materiales de los datos personales.
1.8. Despersonalización de datos personales- acciones, como resultado de lo cual es imposible sin el uso de información adicional determinar la titularidad de los datos personales por parte de un sujeto específico.
1.9. Datos personales públicos- datos personales, acceso de un número ilimitado de personas a los que se concede con el consentimiento del sujeto o que, de conformidad con las leyes federales, no están sujetos al requisito de confidencialidad.
1.10. Información- información (mensajes, datos) independientemente de la forma de su presentación.
1.11. Cliente (sujeto de datos personales)- un consumidor individual de los servicios de Ortes-Finance LLC, en lo sucesivo denominado la "Organización".
1.12. Operador- un organismo estatal, un organismo municipal, una persona jurídica o un individuo, de forma independiente o en conjunto con otras personas que organizan y (o) llevan a cabo el procesamiento de datos personales, así como la determinación de los propósitos del procesamiento de datos personales, la composición de los datos personales datos a tratar, acciones (operaciones) realizadas con datos personales. En el marco de este Reglamento, el Operador es la Sociedad de Responsabilidad Limitada “Ortes-Finance”;
2.1. El presente Reglamento sobre el tratamiento de datos personales (en adelante, el Reglamento) ha sido desarrollado de conformidad con la Constitución Federación Rusa, el Código Civil de la Federación Rusa, la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", Ley Federal 152-FZ "Sobre Datos Personales", otras leyes federales.
2.2. El desarrollo del Reglamento tiene por objeto determinar el procedimiento de tratamiento y protección de los datos personales de todos los Clientes de la Organización, cuyos datos sean objeto de tratamiento, con base en la facultad del operador; garantizar la protección de los derechos y libertades de una persona y ciudadano en el tratamiento de sus datos personales, incluyendo la protección de los derechos a la intimidad, a los secretos personales y familiares, así como establecer la responsabilidad de los funcionarios que tengan acceso a datos personales para incumplimiento de las exigencias de las normas reguladoras del tratamiento y protección de datos personales.
2.3. El procedimiento para la puesta en vigor y modificación del Reglamento.
2.3.1. El presente Reglamento entrará en vigor desde el momento de su aprobación por el Director General de la Organización y tendrá una vigencia indefinida, hasta que sea sustituido por un nuevo Reglamento.
2.3.2. Los cambios al Reglamento se realizan sobre la base de las Órdenes del Director General de la Organización.
3. Composición de los datos personales.
3.1. La composición de los datos personales de los Clientes incluye:
3.1.1. Nombre completo.
3.1.2. Año de nacimiento.
3.1.3. Mes de nacimiento.
3.1.4. Fecha de nacimiento.
3.1.5. Lugar de nacimiento.
3.1.6. Datos del pasaporte
3.1.7. Dirección de correo electrónico.
3.1.8. Número de teléfono (casa, celular).
3.2. La Organización puede crear (crear, recopilar) y almacenar los siguientes documentos e información, incluso en formato electrónico, que contengan datos sobre los Clientes:
3.2.1. Solicitud de una encuesta sobre la posibilidad de conectar a un individuo.
3.2.2. Acuerdo (oferta pública).
3.2.3. Confirmación de adhesión al contrato.
3.2.5. Copias de documentos de identidad, así como otros documentos proporcionados por el Cliente y que contengan datos personales.
3.2.6. Datos sobre pagos de pedidos (bienes/servicios), que contienen el pago y otros detalles del Cliente.
4. Finalidad del tratamiento de los datos personales.
4.1. La finalidad del tratamiento de datos personales es la ejecución de un conjunto de acciones encaminadas a la consecución del fin, entre las que se encuentran:
4.1.1. Prestación de servicios de consultoría e información.
4.1.2. Otras transacciones no prohibidas por la ley, así como un conjunto de acciones con datos personales necesarios para la ejecución de las transacciones anteriores.
4.1.3. Para cumplir con los requisitos de la legislación de la Federación Rusa.
4.2. La condición para dar por terminado el tratamiento de los datos personales es la liquidación de la Organización, así como el correspondiente requerimiento del Cliente.
5. Recogida, tratamiento y protección de datos de carácter personal.
5.1. El procedimiento para la obtención (recopilación) de datos personales:
5.1.1. Todos los datos personales del Cliente deben obtenerse de él personalmente con su consentimiento por escrito, excepto en los casos especificados en los párrafos 5.1.4 y 5.1.6 de este Reglamento y otros casos previstos por las leyes de la Federación Rusa.
5.1.2. El consentimiento del Cliente para el uso de sus datos personales se almacena en la Organización en formato papel y/o electrónico.
5.1.3. El consentimiento del sujeto al tratamiento de datos personales es válido durante toda la duración del contrato, así como dentro de 5 años desde la fecha de terminación de la relación contractual entre el Cliente y la Organización. Después de la expiración del período especificado, el consentimiento se considera prorrogado por cada cinco años subsiguientes en ausencia de información sobre su retiro.
5.1.4. Si los datos personales del Cliente solo pueden obtenerse de un tercero, el Cliente debe ser notificado de ello previamente y debe obtenerse su consentimiento por escrito. Un tercero que proporcione los datos personales del Cliente deberá contar con el consentimiento del sujeto para la transferencia de datos personales a la Organización. La Organización está obligada a obtener confirmación de un tercero que transfiere los datos personales del Cliente de que los datos personales se transfieren con su consentimiento. La Organización está obligada, al interactuar con terceros, a celebrar un acuerdo con ellos sobre la confidencialidad de la información relativa a los datos personales de los Clientes.
5.1.5. La Organización está obligada a informar al Cliente sobre los fines, las supuestas fuentes y los métodos de obtención de datos personales, así como la naturaleza de los datos personales que se obtendrán y las consecuencias de la negativa del Cliente a proporcionar datos personales para dar consentimiento por escrito para recibir a ellos.
5.1.6. El tratamiento de datos personales de Clientes sin su consentimiento se realiza en los siguientes casos:
5.1.6.1. Los datos personales son públicos.
5.1.6.2. A solicitud de los órganos estatales autorizados en los casos previstos por la ley federal.
5.1.6.3. El procesamiento de datos personales se lleva a cabo sobre la base de una ley federal que establece su finalidad, las condiciones para la obtención de datos personales y el círculo de sujetos cuyos datos personales son objeto de procesamiento, así como la determinación de la autoridad del operador.
5.1.6.4. El procesamiento de datos personales se lleva a cabo con el fin de celebrar y ejecutar un acuerdo, una de las partes de las cuales es el sujeto de los datos personales: el Cliente.
5.1.6.5. El procesamiento de datos personales se lleva a cabo con fines estadísticos, sujeto a la despersonalización obligatoria de los datos personales.
5.1.6.6. En los demás casos previstos por la ley.
5.1.7. La Organización no tiene derecho a recibir y tratar datos personales del Cliente sobre su raza, nacionalidad, opiniones políticas, creencias religiosas o filosóficas, estado de salud, vida íntima.
5.2. El procedimiento para el tratamiento de datos personales:
5.2.1. El titular de los datos personales proporciona a la Organización información fidedigna sobre sí mismo.
5.2.2. Solo los empleados de la Organización que tienen permitido trabajar con los datos personales del Cliente y han firmado el Acuerdo de Confidencialidad de los datos personales del Cliente pueden tener acceso al procesamiento de los datos personales de los Clientes.
5.2.3. Tienen derecho a acceder a los datos personales del Cliente en la Organización las siguientes personas:
Director General de la Organización;
Empleados responsables de liquidaciones financieras (gerente, contador).
Empleados del Departamento de Relaciones con Clientes (jefe de departamento de ventas, gerente).
Empleados de TI (director técnico, administrador del sistema).
El cliente como sujeto de datos personales.
5.2.3.1. La lista de nombres de los empleados de la Organización que tienen acceso a los datos personales de los Clientes se determina por orden del Director General de la Organización.
5.2.4. El procesamiento de los datos personales del Cliente puede llevarse a cabo únicamente para los fines establecidos por el Reglamento y el cumplimiento de las leyes y otros actos legales reglamentarios de la Federación Rusa.
5.2.5. Al determinar el alcance y el contenido de los datos personales procesados, la Organización se guía por la Constitución de la Federación Rusa, la ley sobre datos personales y otras leyes federales.
5.3. Protección de datos personales:
5.3.1. La protección de los datos personales del Cliente se entiende como un conjunto de medidas (organizativas, administrativas, técnicas, legales) encaminadas a impedir el acceso no autorizado o accidental a los mismos, la destrucción, modificación, bloqueo, copia, distribución de los datos personales de los sujetos, así como como otras acciones ilegales.
5.3.2. La protección de los datos personales del Cliente se lleva a cabo a expensas de la Organización de la manera prescrita por la ley federal de la Federación Rusa.
5.3.3. Al proteger los datos personales de los Clientes, la Organización toma todas las medidas organizativas, administrativas, legales y técnicas necesarias, que incluyen:
Protección antivirus.
Análisis de seguridad.
Detección y prevención de intrusos.
Control de acceso.
Registro y contabilidad.
Garantizar la integridad.
Organización de actos normativos y metodológicos locales que regulen la protección de datos personales.
5.3.4. La organización general de la protección de los datos personales de los Clientes la lleva a cabo el Director General de la Organización.
5.3.5. Los empleados de la Organización que necesitan datos personales en relación con el desempeño de sus funciones laborales tienen acceso a los datos personales del Cliente.
5.3.6. Todos los empleados involucrados en la recepción, el procesamiento y la protección de los datos personales de los Clientes deben firmar un acuerdo de no divulgación de los datos personales de los Clientes.
5.3.7. El procedimiento para obtener acceso a los datos personales del Cliente incluye:
Familiarización del empleado con este Reglamento contra firma. Si existen otros actos reglamentarios (órdenes, instrucciones, instrucciones, etc.) que regulan el tratamiento y la protección de los datos personales del Cliente, estos actos también se revisan contra la firma.
Exigir a un empleado (excepto al Director General) una obligación por escrito de mantener la confidencialidad de los datos personales de los Clientes y cumplir con las reglas para su procesamiento de acuerdo con las leyes locales internas de la Organización que regulan los temas de asegurar la seguridad de la información confidencial.
5.3.8. Un empleado de la Organización que tiene acceso a los datos personales de los Clientes en relación con el desempeño de sus funciones laborales:
Asegura el almacenamiento de la información que contenga los datos personales del Cliente, excluyendo el acceso a los mismos por parte de terceros.
En ausencia de un empleado, no debe haber documentos que contengan datos personales de los Clientes en su lugar de trabajo.
Cuando se va de vacaciones, durante un viaje de negocios y en otros casos de ausencia prolongada de un empleado en su lugar de trabajo, está obligado a transferir documentos y otros medios que contengan datos personales de los Clientes a una persona que, por un acto local del Empresa (orden, orden), tendrá encomendada la ejecución de sus deberes laborales.
Si no se designa a dicha persona, los documentos y otros medios que contengan los datos personales de los Clientes se transfieren a otro empleado que tenga acceso a los datos personales de los Clientes bajo la dirección del Director General de la Organización.
Tras el despido de un empleado que tiene acceso a los datos personales de los Clientes, los documentos y otros medios que contienen los datos personales de los Clientes se transfieren a otro empleado que tiene acceso a los datos personales de los Clientes bajo la dirección del Director General .
Para el cumplimiento de la tarea encomendada y en base a un memorando con resolución positiva del Director General, se podrá facilitar el acceso a los datos personales del Cliente a otro empleado. Queda prohibido el acceso a los datos personales del Cliente por parte de otros empleados de la Organización que no tengan un acceso debidamente formalizado.
5.3.9. El Gerente de Recursos Humanos proporciona:
Familiarización de los empleados con este Reglamento contra firma.
Exigir a los empleados la obligación por escrito de mantener la confidencialidad de los datos personales del Cliente (Contrato de Confidencialidad) y cumplir con las normas para su tratamiento.
Control general sobre el cumplimiento por parte de los empleados de las medidas de protección de los datos personales del Cliente.
5.3.10. La protección de los datos personales de los Clientes almacenados en las bases de datos electrónicas de la Organización contra el acceso no autorizado, la distorsión y la destrucción de la información, así como de otras acciones ilegales, está a cargo del Administrador del Sistema.
5.4. Almacenamiento de datos personales:
5.4.1. Los datos personales de los Clientes en papel se almacenan en cajas fuertes.
5.4.2. Los datos personales de los Clientes se almacenan electrónicamente en la red informática local de la Organización, en carpetas y archivos electrónicos en Computadoras personales Director General y empleados autorizados para tratar datos personales de Clientes.
5.4.3. Los documentos que contienen datos personales de los Clientes se almacenan en gabinetes con cerradura (cajas fuertes) que brindan protección contra el acceso no autorizado. Al final de la jornada laboral, todos los documentos que contienen datos personales de los Clientes se colocan en gabinetes (cajas fuertes) que brindan protección contra el acceso no autorizado.
5.4.4. La protección del acceso a las bases de datos electrónicas que contienen datos personales de los Clientes está garantizada por:
El uso de programas antivirus y anti-hacker licenciados que no permitan el acceso no autorizado a la red local de la Organización.
Diferenciación de derechos de acceso utilizando cuenta.
Un sistema de contraseñas en dos etapas: a nivel de la red informática local ya nivel de las bases de datos. Las contraseñas son establecidas por el Administrador del Sistema de la Organización y comunicadas individualmente a los empleados que tienen acceso a los datos personales de los Clientes.
5.4.4.1. El acceso no autorizado a la PC, que contiene los datos personales de los Clientes, está bloqueado por una contraseña establecida por el Administrador del Sistema y no está sujeta a divulgación.
5.4.4.2. Todas las carpetas y archivos electrónicos que contienen datos personales de los Clientes están protegidos por una contraseña, que es establecida por el empleado de la Organización responsable de la PC y reportada al Administrador del Sistema.
5.4.4.3. El administrador del sistema cambia las contraseñas al menos una vez cada 3 meses.
5.4.5. La copia y extracción de los datos personales del Cliente está permitida únicamente para fines oficiales con el permiso por escrito del Director General de la Organización.
5.4.6. Las respuestas a las solicitudes por escrito de otras organizaciones e instituciones sobre los datos personales de los Clientes se dan solo con el consentimiento por escrito del propio Cliente, a menos que la ley disponga lo contrario. Las respuestas se realizan por escrito, en papel membretado de la Organización, y en la medida que permita no divulgar la cantidad excesiva de datos personales del Cliente.
6. Bloqueo, despersonalización, destrucción de datos personales
6.1. El procedimiento de bloqueo y desbloqueo de datos personales:
6.1.1. El bloqueo de los datos personales de los Clientes se realiza con una solicitud por escrito del Cliente.
6.1.2. El bloqueo de datos personales implica:
6.1.2.2. Prohibición de difusión de datos personales por cualquier medio (correo electrónico, celular, portadores de material).
6.1.2.4. Retirada de los documentos en papel relativos al Cliente y que contengan sus datos personales del flujo de trabajo interno de la Organización y prohibición de su uso.
6.1.3. El bloqueo de los datos personales del Cliente puede eliminarse temporalmente si es necesario para cumplir con la legislación de la Federación Rusa.
6.1.4. El desbloqueo de los datos personales del Cliente se realiza con su consentimiento por escrito (si es necesario obtener el consentimiento) o la solicitud del Cliente.
6.1.5. El consentimiento reiterado del Cliente al tratamiento de sus datos personales (en su caso, obtención del mismo) conlleva el desbloqueo de sus datos personales.
6.2. El procedimiento de despersonalización y destrucción de datos personales:
6.2.1. La despersonalización de los datos personales del Cliente se produce a petición escrita del Cliente, siempre que se completen todas las relaciones contractuales y hayan transcurrido al menos 5 años desde la fecha de vencimiento del último contrato.
6.2.2. Al despersonalizar datos personales en sistemas de información ah se reemplazan por un conjunto de caracteres por los cuales es imposible determinar si los datos personales pertenecen a un Cliente en particular.
6.2.3. Los soportes de papel de los documentos se destruyen al despersonalizar los datos personales.
6.2.4. La organización está obligada a garantizar la confidencialidad en relación con los datos personales si es necesario probar los sistemas de información en el territorio del desarrollador y despersonalizar los datos personales en los sistemas de información transferidos al desarrollador.
6.2.5. La destrucción de los datos personales del Cliente implica la terminación de cualquier acceso a los datos personales del Cliente.
6.2.6. Cuando se destruyen los datos personales del Cliente, los empleados de la Organización no pueden acceder a los datos personales del sujeto en los sistemas de información.
6.2.7. Al destruir datos personales, se destruyen los soportes de papel de los documentos, se despersonalizan los datos personales en los sistemas de información. Los datos personales no se pueden recuperar.
6.2.8. La operación de destrucción de datos personales es irreversible.
6.2.9. El período después del cual es posible la operación de destrucción de los datos personales del Cliente está determinado por el final del período especificado en el párrafo 7.3 de este Reglamento.
7. Transferencia y almacenamiento de datos personales
7.1. Transferencia de datos personales:
7.1.1. Se entiende por transferencia de datos personales del titular la difusión de información a través de canales de comunicación y en soportes materiales.
7.1.2. Al momento de transferir datos personales, los empleados de la Organización deberán cumplir con los siguientes requisitos:
7.1.2.1. No divulgar los datos personales del Cliente con fines comerciales.
7.1.2.2. No revele los datos personales del Cliente a un tercero sin el consentimiento por escrito del Cliente, excepto que la ley federal de la Federación Rusa disponga lo contrario.
7.1.2.3. Advertir a las personas que reciben datos personales del Cliente que estos datos solo pueden ser utilizados para los fines para los que se informan, y exigirles que confirmen que se ha observado esta regla;
7.1.2.4. Permitir el acceso a los datos personales de los Clientes solo a personas especialmente autorizadas, mientras que estas personas deben tener derecho a recibir solo aquellos datos personales de los Clientes que sean necesarios para realizar funciones específicas.
7.1.2.5. Transferir los datos personales del Cliente dentro de la Organización de conformidad con este Reglamento, documentación reglamentaria y tecnológica y descripción de puestos.
7.1.2.6. Proporcionar al Cliente acceso a sus datos personales al contactar o al recibir una solicitud del Cliente. La Organización está obligada a proporcionar al Cliente información sobre la disponibilidad de datos personales sobre él, así como a brindarle la oportunidad de familiarizarse con ellos dentro de los diez días hábiles a partir de la fecha de la solicitud.
7.1.2.7. Transfiera los datos personales del Cliente a los representantes del Cliente en la forma prescrita por la ley y la documentación reglamentaria y tecnológica y limite esta información solo a aquellos datos personales del sujeto que sean necesarios para que los representantes especificados realicen sus funciones.
7.2. Almacenamiento y uso de datos personales:
7.2.1. El almacenamiento de datos personales se refiere a la existencia de registros en sistemas de información y en soportes físicos.
7.2.2. Los datos personales de los Clientes son procesados y almacenados en los sistemas de información, así como en papel en la Organización. Los datos personales de los Clientes también se almacenan en forma electrónica: en la red informática local de la Organización, en carpetas y archivos electrónicos en la PC del Director General y empleados autorizados para procesar datos personales de los Clientes.
7.2.3. El almacenamiento de los datos personales del Cliente puede llevarse a cabo por no más tiempo del requerido por los fines del procesamiento, a menos que las leyes federales de la Federación Rusa dispongan lo contrario.
7.3. Términos de almacenamiento de datos personales:
7.3.1. Los términos de almacenamiento de los contratos de derecho civil que contienen datos personales de los Clientes, así como los documentos que acompañan su celebración, ejecución: 5 años a partir de la fecha de vencimiento de los contratos.
7.3.2. Durante el período de almacenamiento, los datos personales no pueden ser despersonalizados ni destruidos.
7.3.3. Después de la expiración del período de almacenamiento, los datos personales pueden despersonalizarse en los sistemas de información y destruirse en papel de la manera prescrita por los Reglamentos y la legislación vigente de la Federación Rusa. (Anexo Ley sobre destrucción de datos personales)
8. Derechos del operador de datos personales
La organización tiene derecho:
8.1. Defiende tus intereses en los tribunales.
8.2. Proporcionar datos personales de los Clientes a terceros, si así lo prevé la legislación aplicable (tributaria, fuerzas del orden, etc.).
8.3. Negarse a proporcionar datos personales en los casos previstos por la ley.
8.4. Utilizar los datos personales del Cliente sin su consentimiento, en los casos previstos por la legislación de la Federación Rusa.
9. Derechos del Cliente
El cliente tiene derecho:
9.1. Solicitar la aclaración de sus datos personales, su bloqueo o destrucción si los datos personales están incompletos, desactualizados, no confiables, obtenidos ilegalmente o no son necesarios para el propósito declarado del procesamiento, así como tomar medidas legales para proteger sus derechos;
9.2. Requerir una relación de los datos personales tratados disponibles en la Organización y la fuente de su recepción.
9.3. Recibir información sobre los términos de procesamiento de datos personales, incluidos los términos de su almacenamiento.
9.4. Requerir la notificación a todas las personas que hayan sido previamente informadas de datos personales incorrectos o incompletos de todas las excepciones, correcciones o adiciones hechas a los mismos.
9.5. Recurrir ante el organismo autorizado para la protección de los derechos de los interesados o ante los tribunales contra actuaciones ilícitas u omisiones en el tratamiento de sus datos personales.
10. Responsabilidad por infracción de las normas reguladoras del tratamiento y protección de datos de carácter personal
10.1. Los empleados de la Organización culpables de violar las normas que rigen la recepción, el procesamiento y la protección de datos personales tienen responsabilidad disciplinaria, administrativa, civil o penal de acuerdo con la legislación vigente de la Federación Rusa y las leyes locales internas de la Organización.
1. FUNDAMENTOS TEÓRICOS DE LA SEGURIDAD DE LOS DATOS PERSONALES
1.1 Marco legislativo para la protección de datos personales en la Federación Rusa
1.3.1 características generales fuentes de amenazas de acceso no autorizado en el sistema de información de datos personales.
1.3.2 Características generales de las amenazas de acceso directo al entorno operativo del sistema de información de datos personales
1.3.3 Características generales de las amenazas a la seguridad de datos personales implementadas mediante protocolos de interconexión de redes
1.4 Características del Banco y sus actividades
1.5 Bases de datos personales
1.5.1 Sistema de información de datos personales de los empleados de la organización
1.5.2 Sistema de información de datos personales del sistema de control y gestión de acceso
1.5.3 Sistema de información de datos personales del sistema bancario automatizado
1.6 Dispositivo y amenazas a locales Red de computadoras Frasco
1.7 Herramientas de seguridad de la información
2.2 Protecciones de software y hardware
2.3 Política de seguridad básica
2.3.1 Sistema de concientización de seguridad de la información para empleados
2.3.4 Cómo trabajan los empleados con el correo electrónico
2.3.5 Política de contraseñas del Banco
3. JUSTIFICACIÓN ECONÓMICA DEL PROYECTO
CONCLUSIÓN
Aplicaciones.
INTRODUCCIÓN
La informatización generalizada que comenzó a finales del siglo XX continúa hasta nuestros días. La automatización de procesos en las empresas aumenta la productividad de los trabajadores. Los usuarios de los sistemas de información pueden obtener rápidamente los datos necesarios para el desempeño de sus funciones. Al mismo tiempo, además de facilitar el acceso a los datos, existen problemas con la seguridad de estos datos. Al tener acceso a varios sistemas de información, los atacantes pueden usarlos para beneficio personal: recopilar datos para venderlos en el mercado negro, robar Dinero de los clientes de la organización, robando los secretos comerciales de la organización.
Por lo tanto, el problema de la protección es crítico. información importante para las organizaciones es muy agudo. Cada vez más, los medios de comunicación dan a conocer diversas técnicas o métodos para robar dinero mediante la piratería de los sistemas de información de las organizaciones financieras. Habiendo obtenido acceso a los sistemas de información de datos personales, un atacante puede robar los datos de los clientes de las organizaciones financieras, difundir información sobre sus transacciones financieras, causando daños financieros y de reputación a un cliente bancario. Además, al conocer los datos sobre el cliente, los estafadores pueden llamar directamente al cliente, haciéndose pasar por empleados del banco y de manera fraudulenta, utilizando técnicas de ingeniería social, descubrir contraseñas de sistemas bancarios remotos y retirar dinero de la cuenta del cliente.
En nuestro país, el problema del robo y distribución ilegal de datos personales es muy agudo. Hay una gran cantidad de recursos en Internet que contienen bases de datos personales robadas, con la ayuda de los cuales, por ejemplo, por número teléfono móvil, se puede encontrar muy información detallada por persona, incluidos los datos de su pasaporte, direcciones residenciales, fotografías y mucho más.
En este proyecto de graduación, exploro el proceso de creación de un sistema de protección de datos personales en PJSC Citibank.
1. FUNDAMENTOS DE LA SEGURIDAD DE LOS DATOS PERSONALES
1.1 Base legal para la protección de datos personales
Hoy en Rusia, la regulación estatal se lleva a cabo en el campo de garantizar la seguridad de los datos personales. Los principales actos legales que regulan el sistema de protección de datos personales en la Federación Rusa son la Constitución de la Federación Rusa y la Ley Federal "Sobre Datos Personales" del 27 de julio de 2006 No. 152-FZ. Estos dos actos legales principales establecen las tesis principales sobre los datos personales en la Federación Rusa:
Todo ciudadano tiene derecho a la intimidad, a los secretos personales y familiares, a la protección de su honor y buen nombre;
Toda persona tiene derecho a la privacidad de la correspondencia, conversaciones telefónicas, postales, telegráficas y otras comunicaciones. La restricción de este derecho sólo se permite sobre la base de una decisión judicial;
No se permite la recopilación, almacenamiento, uso y difusión de información sobre la vida privada de una persona sin su consentimiento;
El procesamiento de datos personales debe llevarse a cabo sobre una base legal y justa;
El tratamiento de datos personales debe limitarse a la consecución de fines determinados, predeterminados y legítimos. No está permitido tratar datos personales que sean incompatibles con los fines de la recogida de datos personales.
No está permitida la combinación de bases de datos que contengan datos personales, cuyo tratamiento se realice con finalidades incompatibles entre sí.
Solo los datos personales que cumplan con los fines de su tratamiento son objeto de tratamiento.
Al procesar datos personales, se debe garantizar la exactitud de los datos personales, su suficiencia y, si es necesario, su pertinencia en relación con los fines del procesamiento de datos personales. El operador debe tomar las medidas necesarias o asegurarse de que se tomen para eliminar o aclarar los datos incompletos o inexactos.
El almacenamiento de datos personales debe llevarse a cabo en una forma que permita determinar el sujeto de los datos personales, no más de lo requerido por los fines del procesamiento de datos personales, a menos que el período de almacenamiento de datos personales esté establecido por ley federal, un acuerdo por el cual el sujeto de los datos personales es parte, beneficiario o garante. Los datos personales procesados están sujetos a destrucción o despersonalización al alcanzar los objetivos del procesamiento o en caso de pérdida de la necesidad de lograr estos objetivos, a menos que la ley federal disponga lo contrario.
Otras normas con incidencia jurídica en materia de protección de datos personales en las organizaciones bancario Federación Rusa son:
Ley Federal de la Federación Rusa del 27 de julio de 2006 No. 149 FZ "Sobre información, tecnologías de la información y protección de la información";
Código Laboral de la Federación Rusa (Capítulo 14);
Decreto del Gobierno de la Federación Rusa de fecha 1 de noviembre de 2012 No. 1119 "Sobre la aprobación de requisitos para la protección de datos personales durante su procesamiento en sistemas de información de datos personales";
Orden FSTEC de Rusia de fecha 18 de febrero de 2013 N° 21 “Sobre la aprobación de la Composición y contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su tratamiento en los sistemas de información de datos personales”.
Considere las principales definiciones utilizadas en la legislación.
Datos personales: cualquier información relacionada con una persona física identificada o identificable directa o indirectamente (sujeto de datos personales).
Operador de datos personales: un organismo estatal, municipal, persona jurídica o persona física, de forma independiente o en conjunto con otras personas que organizan y (o) llevan a cabo el procesamiento de datos personales, así como la determinación de los propósitos del procesamiento de datos personales, la composición de los datos personales datos a tratar, acciones (operaciones) realizadas con datos personales;
Procesamiento de datos personales: cualquier acción (operación) o un conjunto de acciones (operaciones) realizadas con o sin el uso de herramientas de automatización con datos personales, incluida la recopilación, registro, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), extracción , uso, transferencia (distribución, provisión, acceso), despersonalización, bloqueo, eliminación, destrucción de datos personales;
Procesamiento automatizado de datos personales: procesamiento de datos personales utilizando tecnología informática;
Difusión de datos personales - acciones destinadas a divulgar datos personales a un círculo indefinido de personas;
Proporcionar datos personales: acciones destinadas a divulgar datos personales a una determinada persona o un determinado círculo de personas;
Bloqueo de datos personales: suspensión temporal del procesamiento de datos personales (a menos que el procesamiento sea necesario para aclarar datos personales);
Destrucción de datos personales - acciones, como resultado de las cuales resulta imposible restaurar el contenido de los datos personales en el sistema de información de datos personales y (o) como resultado de las cuales se destruyen los soportes materiales de datos personales;
Despersonalización de datos personales: acciones, como resultado de las cuales se vuelve imposible, sin el uso de información adicional, determinar la propiedad de los datos personales por parte de un sujeto específico de datos personales;
Sistema de información de datos personales - un conjunto de datos personales contenidos en bases de datos y tecnologías de la información que aseguran su procesamiento y medios tecnicos;
Transferencia transfronteriza de datos personales: transferencia de datos personales al territorio de un estado extranjero a una autoridad de un estado extranjero, un individuo extranjero o un entidad legal.
Datos personales biométricos: información que caracteriza las características fisiológicas y biológicas de una persona, a partir de la cual es posible establecer su identidad (datos personales biométricos) y que el operador utiliza para identificar al sujeto de los datos personales.
Seguridad de los datos personales: el estado de protección de los datos personales, caracterizado por la capacidad de los usuarios, los medios técnicos y las tecnologías de la información para garantizar la confidencialidad, integridad y disponibilidad de los datos personales durante su procesamiento en los sistemas de información de datos personales.
1.2 Clasificación de amenazas a la seguridad de la información de datos personales.
Una amenaza a la seguridad de la información se entiende como una amenaza de violación de las propiedades de seguridad de la información: la disponibilidad, integridad o confidencialidad de los activos de información de una organización.
La lista de amenazas, la evaluación de la probabilidad de su implementación, así como el modelo de intrusos, sirven como base para analizar el riesgo de amenazas y formular requisitos para el sistema de protección del sistema automatizado. Además de identificar posibles amenazas, es necesario analizar las amenazas identificadas en función de su clasificación según una serie de características. Las amenazas correspondientes a cada función de clasificación le permiten refinar el requisito reflejado por esta función.
Dado que la información almacenada y procesada en los AS modernos está expuesta a una gran cantidad de factores, se vuelve imposible formalizar la tarea de describir el conjunto completo de amenazas. Por lo tanto, para un sistema protegido, normalmente no se determina una lista de amenazas, sino una lista de clases de amenazas.
La clasificación de las posibles amenazas a la seguridad de la información de los SA se puede realizar de acuerdo con las siguientes características básicas:
Por la naturaleza de la ocurrencia:
Amenazas naturales causadas por el impacto en la central nuclear de procesos físicos objetivos o desastres naturales;
Amenazas artificiales a la seguridad de las centrales nucleares causadas por la actividad humana.
Según el grado de intencionalidad de la manifestación:
Amenazas causadas por error humano o negligencia, como mal uso de equipos de protección, negligencia en el manejo de datos;
Amenazas de acción deliberada, como piratear un sistema automatizado por parte de intrusos, destrucción de datos por parte de empleados de la organización para tomar represalias contra el empleador.
Según la fuente inmediata de las amenazas:
Peligros naturales, como desastres naturales, desastres provocados por el hombre;
Amenazas humanas, por ejemplo: destrucción de información, divulgación de datos confidenciales;
Firmware permitido, como fallas de hardware físico, errores de software, conflictos de software;
Software y hardware no autorizados, por ejemplo, la introducción de errores de hardware, errores de software.
Por la posición de la fuente de la amenaza:
Fuera del área controlada, por ejemplo, interceptación de datos transmitidos a través de canales de comunicación;
O dentro del área controlada, por ejemplo, copia no autorizada de información, acceso no autorizado al área protegida;
Directamente en un sistema automatizado, por ejemplo, uso incorrecto de recursos AS.
Según el grado de dependencia de la actividad AS:
Independientemente de la actividad de la UA, por ejemplo, el robo físico de medios de almacenamiento;
Solo durante el procesamiento de datos, como una infección de malware.
Por el grado de impacto en la AC:
Amenazas peligrosas que, cuando se implementan, no cambian nada en la estructura y el contenido del AS, por ejemplo, la amenaza de copiar datos secretos;
Amenazas activas que, al ser expuestas, realizan cambios en la estructura y contenido del AS, por ejemplo, eliminación de datos, su modificación.
Por etapas de acceso de usuarios o programas a los recursos:
Amenazas que se manifiestan en la etapa de acceso a los recursos de AS, por ejemplo: amenazas de acceso no autorizado a AS;
Amenazas que aparecen tras permitir el acceso a los recursos del AS, por ejemplo, uso incorrecto de los recursos del AS.
A modo de acceso a los recursos del AS:
Amenazas realizadas utilizando la ruta de acceso estándar a los recursos del AS
Amenazas llevadas a cabo utilizando una ruta oculta no estándar para acceder a recursos de AS, por ejemplo: acceso no autorizado a recursos de AS utilizando características no documentadas software instalado.
Según la ubicación actual de la información almacenada y procesada en el AS:
Amenazas de acceso a información ubicada en dispositivos de almacenamiento externo, por ejemplo: copia de información confidencial de medios de almacenamiento;
Amenazas de acceso a información ubicada en memoria de acceso aleatorio, por ejemplo: lectura de información residual de RAM, acceso al área de sistema de RAM por programas de aplicación;
Amenazas de acceso a la información que circula en las líneas de comunicación, por ejemplo: conexión ilegal a las líneas de comunicación para remover información, envío de datos modificados;
Los impactos peligrosos en un sistema automatizado se dividen en accidentales e intencionales.
Las causas de los impactos accidentales durante el funcionamiento de la central nuclear pueden ser:
Emergencias por desastres naturales y cortes de energía;
denegaciones de servicio;
errores de software;
Errores en el trabajo del personal de servicio y usuarios;
Interferencia en las líneas de comunicación debido a influencias ambientales.
El uso de errores en el software es la forma más común de violar la seguridad de la información de los sistemas de información. Dependiendo de la complejidad del software, el número de errores aumenta. Los atacantes pueden encontrar estas vulnerabilidades y, a través de ellas, obtener acceso al sistema de información de la organización. Para minimizar estas amenazas, es necesario mantener las versiones de software actualizadas en todo momento.
Las amenazas deliberadas están asociadas con acciones dirigidas de intrusos. Los atacantes se dividen en dos tipos: atacante interno y atacante externo. Un intruso interno comete acciones ilegales mientras se encuentra dentro de la zona controlada del sistema automatizado y puede utilizar la autoridad oficial para obtener acceso autorizado al sistema automatizado. Un atacante externo no tiene acceso a la zona controlada, pero puede actuar simultáneamente con un atacante interno para lograr sus objetivos.
Existen tres principales amenazas a la seguridad de la información dirigidas directamente a la información protegida:
Violación de la confidencialidad: la información confidencial no se modifica, pero pasa a estar disponible para terceros que no pueden acceder a esta información. Cuando se materializa esta amenaza, existe una alta probabilidad de que el atacante revele la información robada, lo que puede provocar daños financieros o de reputación. Violación de la integridad de la información protegida: distorsión, cambio o destrucción de la información. La integridad de la información puede violarse no intencionalmente, sino como resultado de la incompetencia o negligencia de un empleado de la empresa. La integridad también puede ser violada por un atacante para lograr sus propios objetivos. Por ejemplo, cambiar los detalles de la cuenta en un sistema bancario automatizado para transferir fondos a la cuenta de un atacante o reemplazar los datos personales del cliente de una organización para obtener información sobre la cooperación del cliente con la organización.
Violación de la disponibilidad de información protegida o denegación de servicio: acciones en las que un usuario autorizado no puede acceder a información protegida debido a razones tales como: falla de hardware, software, falla de la red de área local.
Después de considerar las amenazas de los sistemas automatizados, puede proceder al análisis de las amenazas al sistema de información de datos personales.
Sistema de información de datos personales - conjunto de datos personales contenidos en bases de datos y tecnologías de la información y medios técnicos que aseguran su tratamiento.
Los sistemas de información de datos personales son un conjunto de elementos de información y software y hardware, así como tecnologías de la información utilizados en el tratamiento de datos personales.
Los elementos principales de ISPD son:
Datos personales contenidos en bases de datos;
Tecnologías de la información utilizadas en el tratamiento de DP;
Medios técnicos que tratan datos personales (equipos informáticos, sistemas y redes informáticas y de información, medios y sistemas de transmisión, recepción y tratamiento de datos personales, medios y sistemas de grabación de sonido, amplificación de sonido, reproducción de sonido, medios de fabricación, reproducción de documentos y otros medios técnicos de procesamiento de información verbal, gráfica, de video y alfanumérica);
Software(sistemas operativos, sistemas de gestión de bases de datos, etc.);
Medios de protección de la información ISPDn;
Medios y sistemas técnicos auxiliares - Medios y sistemas técnicos, sus comunicaciones, no destinados al tratamiento de datos personales, pero ubicados en los locales en los que se encuentra el ISPD.
Amenazas a la seguridad de los datos personales: un conjunto de condiciones y factores que crean el peligro de acceso no autorizado, incluso accidental, a los datos personales, que puede resultar en la destrucción, modificación, bloqueo, copia, distribución de datos personales, así como otras acciones no autorizadas durante su tratamiento en el sistema de información de datos personales.
Las características del sistema de información de datos personales que causan el surgimiento de la UBPD incluyen la categoría y el volumen de datos personales procesados en el sistema de información de datos personales, la estructura del sistema de información de datos personales, la presencia de conexiones ISPD a redes públicas de comunicación y (o) las redes internacionales de intercambio de información, las características del subsistema de seguridad de los datos personales tratados en ISPD, los modos de tratamiento de los datos personales, los modos de diferenciación de los derechos de acceso de los usuarios de ISPD, la ubicación y las condiciones de colocación de los medios técnicos de ISPD.
Las propiedades del entorno de propagación de señales informativas que contienen información protegida se caracterizan por el tipo de entorno físico en el que se distribuyen los PD y se determinan al evaluar la posibilidad de implementar UBPD. Las capacidades de las fuentes UBPD están determinadas por una combinación de métodos de acceso no autorizado y (o) accidental a PD, como resultado de lo cual la confidencialidad (copia, distribución ilegal), integridad (destrucción, modificación) y disponibilidad (bloqueo) de PD pueden ser violado.
La amenaza a la seguridad de los datos personales se realiza como resultado de la formación de un canal para la implementación de la UBPD entre la fuente de la amenaza y el portador (fuente) de la PD, lo que crea condiciones para violar la seguridad de la PD.
Los principales elementos del canal de implementación de la UBPD (Figura 1) son:
Fuente de UBPD - un sujeto, objeto material o fenómeno físico que crea UBPD;
Entorno de distribución de PD o influencias en las que un campo físico, señal, datos o programas pueden propagarse y afectar las propiedades protegidas de los datos personales;
Portador de datos personales: un individuo o un objeto material, incluido un campo físico en el que los PD se reflejan en forma de símbolos, imágenes, señales, soluciones técnicas y procesos, características cuantitativas de cantidades físicas.
Figura 1. Esquema generalizado del canal para la implementación de amenazas a la seguridad de los datos personales
Los portadores de PD pueden contener información presentada en las siguientes formas:
Información acústica (voz) contenida directamente en el habla hablada del usuario ISPD cuando realiza la función la entrada de voz PD en el sistema de información de datos personales, o reproducidos por medios acústicos ISPD (si tales funciones son proporcionadas por la tecnología de procesamiento de PD), así como contenidos en campos electromagnéticos y señales eléctricas que surgen debido a la transformación de información acústica;
Ver información (VI), presentada en forma de texto e imágenes varios dispositivos visualización de información de equipos informáticos, sistemas informáticos y de información, medios técnicos de tratamiento de información gráfica, de vídeo y alfanumérica que forman parte de la ISPD;
Información procesada (circulante) en ISPD, en forma de señales eléctricas, electromagnéticas, ópticas;
Información procesada en ISPD, presentada en forma de bits, bytes, archivos y otras estructuras lógicas.
Para formar una lista sistemática de UBPD durante su procesamiento en ISPD y el desarrollo de modelos privados sobre su base en relación con un tipo específico de ISPD, las amenazas se clasifican de acuerdo con las siguientes características (Figura 2):
Por el tipo de información protegida de UBPD, que contiene PD;
Por tipos de posibles fuentes de UBPD;
Por tipo de ISPD, al que se dirige la implementación de UBPD;
Según el método de implementación de UBPD;
Por el tipo de propiedad de la información que se viola (tipo de acciones no autorizadas realizadas con PD);
Por vulnerabilidad explotada;
Según el objeto de influencia.
Según los tipos de posibles fuentes de UBPD, se distinguen las siguientes
Clases de amenazas:
Amenazas asociadas con acciones intencionales o no intencionales de personas que tienen acceso a la ISPD, incluidos los usuarios del sistema de información de datos personales, implementando amenazas directamente en la ISPD (infractor interno);
Amenazas asociadas con acciones intencionales o no intencionales de personas que no tienen acceso a ISPD, implementando amenazas de redes externas comunicaciones públicas y (o) redes de intercambio de información internacional (intruso externo).
Además, las amenazas pueden surgir de la introducción de errores de hardware y malware.
Según el tipo de ISPD al que se dirige la implementación de la UBPD, se distinguen las siguientes clases de amenazas:
UBPD procesado en ISPD sobre la base de una estación de trabajo autónoma (AWP);
UBPD procesado en ISPD sobre la base de un lugar de trabajo automatizado conectado a la red pública (a la red de intercambio de información internacional);
UBPD procesado en ISPD sobre la base de sistemas de información locales sin conexión a la red pública (a la red de intercambio de información internacional);
UBPD procesado en ISPD basado en sistemas de información locales con conexión a la red pública (a la red de intercambio de información internacional);
UBPD procesado en ISPD sobre la base de sistemas de información distribuidos sin conexión a la red pública (a la red de intercambio de información internacional);
UBPD procesado en ISPD basado en sistemas de información distribuidos conectados a una red pública (a una red de intercambio de información internacional).
Las siguientes clases de amenazas se distinguen según los métodos de implementación de UBPD:
Amenazas asociadas con UA a PD (incluidas amenazas de introducción de malware);
Amenazas de fuga de datos personales a través de canales técnicos de fuga de información;
Amenazas de impactos especiales en ISPD.
Según el tipo de acciones no autorizadas realizadas con PD, se distinguen las siguientes clases de amenazas:
Amenazas que conducen a una violación de la confidencialidad de PD (copia o distribución no autorizada), cuya implementación no afecta directamente el contenido de la información;
Amenazas que conducen a un impacto no autorizado, incluso accidental, en el contenido de la información, como resultado de lo cual se modifican o destruyen los datos personales;
Amenazas que conducen a un impacto no autorizado, incluso accidental, en elementos de software o hardware-software de ISPD, como resultado de lo cual se bloquea PD.
Las siguientes clases de amenazas se distinguen por la vulnerabilidad explotada:
Amenazas implementadas utilizando vulnerabilidades de software del sistema;
Amenazas implementadas utilizando vulnerabilidades de software de aplicación;
Amenazas resultantes del uso de una vulnerabilidad causada por la presencia de una pestaña de hardware en el AS;
Amenazas implementadas utilizando vulnerabilidades en protocolos de comunicación de red y canales de transmisión de datos;
Amenazas resultantes de la explotación de una vulnerabilidad causada por deficiencias en la organización de VBI de NSD;
Amenazas implementadas utilizando vulnerabilidades que provocan la presencia de canales técnicos para la fuga de información;
Amenazas implementadas utilizando vulnerabilidades de seguridad de la información.
Según el objeto de influencia, se distinguen las siguientes clases de amenazas:
Amenazas a la seguridad de los DP procesados en la estación de trabajo;
Amenazas a la seguridad de los DP procesados en herramientas de procesamiento dedicadas (impresoras, plotters, plotters, monitores remotos, proyectores de video, herramientas de reproducción de sonido, etc.);
Amenazas a la seguridad de DP transmitidas a través de redes de comunicación;
Amenazas a los programas de aplicación que procesan PD;
Amenazas al software del sistema que asegura el funcionamiento de ISPD.
La implementación de uno de los UBPD de las clases enumeradas o su combinación puede dar lugar a los siguientes tipos de consecuencias para los sujetos de PD:
Consecuencias negativas significativas para los sujetos con EP;
Consecuencias negativas para los sujetos con EP;
Consecuencias negativas insignificantes para los sujetos con EP.
Las amenazas de fuga de datos personales a través de canales técnicos se describen inequívocamente por las características de la fuente de información, el medio de distribución y el receptor de la señal informativa, es decir, están determinadas por las características canal técnico fugas de DP.
Las amenazas de acceso no autorizado (UAH) se presentan como un conjunto de clases generalizadas de posibles fuentes de amenazas de UA, software y vulnerabilidades de software. hardware ISPD, formas de implementar amenazas, objetos de influencia (portadores de información protegida, directorios, directorios, archivos con PD o PD en sí mismos) y posibles acciones destructivas. Tal representación se describe mediante la siguiente notación formalizada (Fig. 2).
1.3 Características generales de las fuentes de amenazas en los sistemas de información de datos personales
Las amenazas a la AU en ISPD con el uso de software y software y hardware se implementan cuando se lleva a cabo un acceso no autorizado, incluso accidental, como resultado del cual se viola la confidencialidad, integridad y disponibilidad de DP, e incluyen:
Amenazas de acceso no autorizado al entorno operativo de una computadora que utiliza software estándar (herramientas Sistema operativo o programas de aplicación general);
Amenazas de crear modos anormales de operación de los medios de software (software y hardware) debido a cambios deliberados en los datos del servicio, ignorando las restricciones sobre la composición y las características de la información procesada previstas en condiciones regulares, distorsión (modificación) de los datos en sí, etc.;
Figura 2 Clasificación de las UBPD tratadas en los sistemas de información de datos personales
Amenazas de introducción de programas maliciosos (impacto software-matemático).
La composición de los elementos de la descripción de las amenazas de AU a la información en la ISPD se muestra en la Figura 3.
Además, son posibles las amenazas combinadas, que son una combinación de estas amenazas. Por ejemplo, debido a la introducción de programas maliciosos, se pueden crear condiciones para AU en el entorno operativo de una computadora, incluso mediante la formación no tradicional canales de información acceso.
Las amenazas de acceso no autorizado al entorno operativo ISPD utilizando software estándar se dividen en amenazas de acceso directo y acceso remoto. Las amenazas de acceso directo se llevan a cabo mediante software y firmware I/O de la computadora. Las amenazas de acceso remoto se implementan mediante protocolos de comunicación de red.
Dichas amenazas se implementan en relación con ISPD tanto sobre la base de un lugar de trabajo automatizado que no está incluido en la red de comunicación pública, como en relación con todos los ISPD que están conectados a redes públicas de comunicación y redes internacionales de intercambio de información.
Figura 3 Clasificación de las UBPD tratadas en los sistemas de información de datos personales
1.3.1 Descripción general de las fuentes de amenazas de acceso no autorizado en el sistema de información de datos personales.
Las fuentes de amenazas en el sistema de información de datos personales pueden ser:
Intruso;
Portador de un programa malicioso;
Marcador de hardware.
Las amenazas de seguridad de PD asociadas con la introducción de errores de hardware se determinan de acuerdo con los documentos reglamentarios del Servicio Federal de Seguridad de la Federación Rusa de la manera establecida por él.
Según la presencia del derecho de acceso permanente o único a la zona controlada de la ISPD, los infractores se dividen en dos tipos:
Los infractores que no tienen acceso a ISPD, al darse cuenta de las amenazas de las redes externas de comunicación pública y (o) las redes internacionales de intercambio de información, son infractores externos;
Los infractores que tienen acceso a ISPD, incluidos los usuarios de ISPD que implementan amenazas directamente en ISPD, son infractores internos.
Los intrusos externos pueden ser:
organizaciones competidoras;
socios sin escrúpulos;
Sujetos externos (personas físicas).
Un intruso externo tiene las siguientes capacidades:
Realizar accesos no autorizados a canales de comunicación que vayan más allá de las instalaciones de la oficina;
Realizar accesos no autorizados a través de estaciones de trabajo conectadas a redes públicas de comunicación y (o) redes internacionales de intercambio de información;
Realizar acceso no autorizado a la información utilizando acciones especiales de software a través de virus de software, malware, marcadores algorítmicos o de software;
Realizar accesos no autorizados a través de elementos infraestructura de la información sistema de información de datos personales, que en el curso de su ciclo de vida (modernización, mantenimiento, reparación, disposición) se encuentran fuera del área controlada;
Realizar accesos no autorizados a través de los sistemas de información de los departamentos, organismos e instituciones interactuantes cuando estén conectados a ISPD.
Los infractores potenciales internos se dividen en ocho categorías según el método de acceso y la autoridad para acceder a PD.
La primera categoría incluye personas que tienen acceso autorizado a ISPD, pero no tienen acceso a PD. Este tipo de perpetradores incluye a los funcionarios que brindan funcionamiento normal ISPD n.
Tener acceso a fragmentos de información que contengan DP y que se distribuyan a través de los canales de comunicación internos de ISPD;
Disponer de fragmentos de información sobre la topología de la ISPD y sobre los protocolos de comunicación utilizados y sus servicios;
Disponer de los nombres y realizar la identificación de contraseñas de los usuarios registrados;
Cambie la configuración del hardware ISPD, ingrese marcadores de software y hardware en él y proporcione la recuperación de información mediante una conexión directa al hardware ISPD.
Posee todas las capacidades de las personas de la primera categoría;
Conoce al menos un nombre de acceso legal;
Tiene todos los atributos necesarios que brindan acceso a un determinado subconjunto de PD;
Tiene datos confidenciales a los que tiene acceso.
Sus derechos de acceso, autenticación y acceso a un determinado subconjunto de PD deben estar regulados por las reglas de control de acceso pertinentes.
Tiene todas las capacidades de las personas de la primera y segunda categorías;
Tiene información sobre la topología ISPD basada en un sistema de información local y (o) distribuido a través del cual se proporciona el acceso, y sobre la composición de los medios técnicos ISPD;
Tiene la posibilidad de acceso directo (físico) a fragmentos de medios técnicos ISPD.
posee información completa sobre el software de sistema y aplicación utilizado en el segmento (fragmento) de ISPD;
Posee información completa sobre los medios técnicos y configuración del segmento ISPD (fragmento);
Tiene acceso a herramientas de registro y seguridad de la información, así como a elementos individuales utilizado en el segmento (fragmento) de ISPD;
Tiene acceso a todos los medios técnicos del segmento ISPD (fragmento);
Tiene los derechos para configurar y administrar algún subconjunto de los medios técnicos del segmento ISPD (fragmento).
Las facultades del administrador del sistema ISPD.
Tiene todas las capacidades de las personas de las categorías anteriores;
Posee información completa sobre el sistema y software de aplicación de ISPD;
Posee información completa sobre medios técnicos y configuración de ISPD;
Tiene acceso a todos los medios técnicos de procesamiento de información y datos ISPD;
Posee los derechos de configuración y establecimiento administrativo de los medios técnicos ISPD.
El administrador del sistema configura y gestiona el software y el hardware, incluido el hardware responsable de la seguridad del objeto protegido: herramientas protección criptográfica información, seguimiento, registro, archivo, protección contra el acceso no autorizado.
Tiene todas las capacidades de las personas de las categorías anteriores;
Posee información completa sobre ISPD;
Tiene acceso a herramientas de registro y seguridad de la información y a algunos de los elementos clave de ISPD;
No tiene derechos de acceso para configurar el hardware de la red, excepto los de control (inspección).
Posee información sobre algoritmos y programas para procesar información en ISPD;
Tiene la capacidad de introducir errores, características no declaradas, marcadores de software, malware en software ISPD en la etapa de su desarrollo, implementación y mantenimiento;
Puede tener cualquier fragmento de información sobre la topología de ISPD y los medios técnicos de procesamiento y protección de los PD procesados en ISPD.
Tiene la capacidad de hacer marcadores en los medios técnicos de ISPD en la etapa de su desarrollo, implementación y mantenimiento;
Puede tener cualquier fragmento de información sobre la topología de la ISPD y los medios técnicos de procesamiento y protección de la información en la ISPD.
El portador de un programa malicioso puede ser un elemento de hardware de una computadora o un contenedor de software. Si el malware no está asociado con ninguna programa de aplicación, entonces como su portador se consideran:
Medios enajenables, es decir, un disquete, disco óptico, memoria flash;
Medios de almacenamiento integrados ( discos duros, chips RAM, procesador, chips placa del sistema, microchips de dispositivos integrados en unidad del sistema, - adaptador de video, tarjeta de red, tarjeta de sonido, módem, dispositivos de entrada / salida magnético duro Y discos ópticos, fuente de alimentación, etc., chips de acceso directo a la memoria, buses de datos, puertos de entrada/salida);
Chips de dispositivos externos (monitor, teclado, impresora, módem, escáner, etc.).
Si el malware está asociado con algún programa de aplicación, los archivos que tienen ciertas extensiones u otros atributos, con mensajes transmitidos por la red, entonces sus portadores son:
Paquetes de mensajes transmitidos a través de una red informática;
Archivos (de texto, gráficos, ejecutables, etc.).
1.3.2 Características generales de las amenazas de acceso directo al entorno operativo del sistema de información de datos personales
Las amenazas de acceso no autorizado al entorno operativo de la computadora y el acceso no autorizado a PD están asociadas con el acceso a:
A la información y los comandos almacenados en el sistema básico de E/S de ISPD, con la posibilidad de interceptar el control de carga del sistema operativo y obtener los derechos de un usuario de confianza;
En el entorno operativo, es decir, en el entorno del funcionamiento del sistema operativo local de un medio técnico separado de ISPD con la posibilidad de realizar un acceso no autorizado llamando a programas regulares del sistema operativo o iniciando programas especialmente diseñados que implementan tales acciones. ;
Al entorno para el funcionamiento de los programas de aplicación (por ejemplo, a un sistema de gestión de base de datos local);
Directamente a la información del usuario (a archivos, texto, audio y informacion grafica, campos y registros en bases de datos electrónicas) y se deben a la posibilidad de violación de su confidencialidad, integridad y disponibilidad.
Estas amenazas pueden implementarse en el caso de obtener acceso físico a la ISPD o, al menos, a los medios para ingresar información a la ISPD. Se pueden agrupar según los términos de implementación en tres grupos.
El primer grupo incluye amenazas implementadas durante la carga del sistema operativo. Estas amenazas a la seguridad de la información tienen como objetivo interceptar contraseñas o identificadores, modificar el software del sistema básico de entrada/salida, interceptar el control de descarga con cambiar la información tecnológica necesaria para recibir UA en el entorno operativo ISPD. La mayoría de las veces, tales amenazas se implementan utilizando medios enajenados.
El segundo grupo son las amenazas que se implementan después de cargar el entorno operativo, independientemente del programa de aplicación que inicie el usuario. Estas amenazas suelen estar dirigidas a realizar directamente accesos no autorizados a la información. Al obtener acceso al entorno operativo, un intruso puede utilizar tanto las funciones estándar del sistema operativo o algún programa de aplicación pública (por ejemplo, sistemas de gestión de bases de datos), como programas especialmente creados para realizar accesos no autorizados, por ejemplo:
Visualizadores y modificaciones del Registro;
Buscar programas para textos en archivos de texto palabras clave y copia;
Programas especiales para ver y copiar registros en bases de datos;
Programas para visualizar rápidamente archivos gráficos, editarlos o copiarlos;
Programas de apoyo a la capacidad de reconfiguración entorno de software(Configuración ISPD en interés del infractor).
Finalmente, el tercer grupo incluye amenazas, cuya implementación está determinada por cuál de los programas de aplicación inicia el usuario, o por el hecho de que cualquiera de los programas de aplicación se inicia. La mayoría de estas amenazas son amenazas de inyección de malware.
1.3.3 Características generales de las amenazas a la seguridad de datos personales implementadas mediante protocolos de interconexión de redes
Si ISPD se implementa sobre la base de un sistema de información local o distribuido, las amenazas a la seguridad de la información se pueden implementar en él mediante el uso de protocolos de interconexión de redes. Al mismo tiempo, se puede proporcionar NSD a PD o se puede realizar la amenaza de denegación de servicio. Las amenazas son especialmente peligrosas cuando ISPD es un sistema de información distribuida conectado a redes públicas y (o) redes de intercambio de información internacional. El esquema de clasificación de amenazas implementado a través de la red se muestra en la Figura 4. Se basa en las siguientes siete características principales de clasificación.
Figura 4 Esquema de clasificación de amenazas utilizando protocolos de interconexión de redes
1. La naturaleza de la amenaza. Sobre esta base, las amenazas pueden ser pasivas y activas. Una amenaza pasiva es una amenaza, cuya implementación no afecta directamente el funcionamiento de ISPD, pero se pueden violar las reglas establecidas para restringir el acceso a PD o recursos de red. Un ejemplo de tales amenazas es la amenaza "Análisis de tráfico de red", que tiene como objetivo escuchar los canales de comunicación e interceptar la información transmitida. Una amenaza activa es una amenaza asociada con un impacto en los recursos ISPD, cuya implementación afecta directamente la operación del sistema (cambio de configuración, interrupción del rendimiento, etc.), y en violación de las reglas establecidas para restringir el acceso a PD o recursos de red. Un ejemplo de este tipo de amenazas es la amenaza de denegación de servicio, comercializada como una "tormenta de solicitudes de TCP".
2. El objeto de la ejecución de la amenaza. Sobre esta base, las amenazas pueden estar dirigidas a violar la confidencialidad, integridad y disponibilidad de la información (incluyendo violar la operatividad de la ISPD o sus elementos).
3. La condición para el inicio del proceso de implementación de la amenaza. Sobre esta base, se puede realizar una amenaza:
A petición del objeto contra el que se ejecuta la amenaza. En este caso, el intruso está esperando la transmisión de una solicitud de cierto tipo, que será la condición para el inicio del acceso no autorizado;
Ante la ocurrencia de un evento esperado en la instalación contra la cual se implementa la amenaza. En este caso, el intruso monitorea constantemente el estado del sistema operativo ISPD y, si ocurre un determinado evento en este sistema, comienza el acceso no autorizado;
Impacto incondicional. En este caso, el comienzo de la implementación del acceso no autorizado es incondicional en relación con el propósito del acceso, es decir, la amenaza se realiza de inmediato e independientemente del estado del sistema.
4. Disponibilidad comentario con ISPD. Sobre esta base, el proceso de implementación de una amenaza puede ser con o sin retroalimentación. La amenaza, realizada en presencia de retroalimentación del sistema de información de datos personales, se caracteriza por el hecho de que algunas solicitudes transmitidas al ISPD requieren que el infractor reciba una respuesta. En consecuencia, existe una retroalimentación entre el infractor y el sistema de información de datos personales, que permite al infractor responder adecuadamente a todos los cambios que se produzcan en la ISPD. A diferencia de las amenazas implementadas en presencia de comentarios del sistema de información de datos personales, cuando se implementan amenazas sin comentarios, no es necesario responder a ningún cambio que ocurra en la ISPD.
5. La ubicación del intruso en relación con ISPD. De acuerdo con este signo, la amenaza se realiza tanto dentro del segmento como entre segmentos.
Segmento de red: una asociación física de hosts (hardware ISPD o elementos de comunicación que tienen una dirección de red). Por ejemplo, un segmento del sistema de información de datos personales forma un conjunto de hosts conectados al servidor según el esquema de "bus común". En el caso de que exista una amenaza intra-segmento, el intruso tiene acceso físico a los elementos de hardware ISPD. Si hay una amenaza entre segmentos, entonces el infractor se encuentra fuera del ISPD y se da cuenta de la amenaza desde otra red o desde otro segmento del sistema de información de datos personales.
6. Nivel modelo de referencia Interconexión de sistemas abiertos (ISO/OSI) en la que se implementa la amenaza. Sobre esta base, se puede implementar una amenaza en los niveles físico, de canal, de red, de transporte, de sesión, de presentación y de aplicación del modelo ISO/OSI.
7. La proporción del número de infractores y elementos ISPD contra los que se está implementando la amenaza. Sobre esta base, una amenaza puede clasificarse como una amenaza implementada por un intruso contra una herramienta técnica ISPD (amenaza "uno a uno"), contra varios medios técnicos ISPD a la vez (amenaza "uno a muchos") o por varios intrusos desde diferentes ordenadores relativos a uno o varios medios técnicos de ISPD (amenazas distribuidas o combinadas).
Teniendo en cuenta la clasificación realizada, destacamos los principales tipos de ataques al sistema de información de datos personales:
1. Análisis del tráfico de red.
Esta amenaza se implementa utilizando un software especial de rastreo de paquetes que intercepta todos los paquetes transmitidos a través de un segmento de red y selecciona entre ellos aquellos en los que se transmiten la identificación de usuario y la contraseña. Durante la implementación de la amenaza, el intruso estudia la lógica de la red, es decir, busca obtener una correspondencia uno a uno entre los eventos que ocurren en el sistema y los comandos enviados por los hosts en el momento de la ocurrencia de la amenaza. estos eventos. En el futuro, esto permite al atacante, en base a la asignación de comandos apropiados, obtener derechos privilegiados para actuar en el sistema o ampliar sus poderes en él, interceptar el flujo de datos transmitidos intercambiados entre los componentes del sistema operativo de la red para para extraer información confidencial o de identificación, su sustitución y modificación.
2. Escaneo de la red.
La esencia del proceso de implementación de amenazas es enviar solicitudes a los servicios de red de los hosts ISPD y analizar las respuestas de ellos. El objetivo es identificar los protocolos utilizados, los puertos disponibles servicios de red, las leyes de formación de identificadores de conexión, la definición de servicios de red activos, la selección de identificadores de usuario y contraseñas.
3. La amenaza de exposición de contraseñas.
El propósito de la implementación de la amenaza es obtener UA superando la protección con contraseña. Un atacante puede implementar una amenaza usando una variedad de métodos, como fuerza bruta simple, fuerza bruta usando diccionarios especiales, instalando malware para interceptar la contraseña, falsificando un objeto de red confiable y rastreando paquetes. Principalmente para la implementación de la amenaza se utilizan programas especiales que intentan obtener acceso al host mediante contraseñas de fuerza bruta. Si tiene éxito, el atacante puede crear un punto de entrada para acceder en el futuro, que permanecerá vigente incluso si se cambia la contraseña de acceso en el host.
4.Sustitución de un objeto de red de confianza y transmisión de mensajes a través de canales de comunicación en su nombre con la cesión de sus derechos de acceso.
Tal amenaza se implementa efectivamente en sistemas donde se utilizan algoritmos débiles para identificar y autenticar hosts y usuarios. Un objeto de confianza es un objeto de red (computadora, firewall, enrutador, etc.) conectado legalmente al servidor. Se pueden distinguir dos variedades del proceso de implementación de esta amenaza: con y sin establecer una conexión virtual. El proceso de implementación con el establecimiento de una conexión virtual consiste en asignar los derechos de un sujeto de confianza de interacción, lo que permite a un intruso realizar una sesión con un objeto de red en nombre de un sujeto de confianza. La implementación de este tipo de amenazas requiere superar el sistema de identificación y autenticación de mensajes. El proceso de implementar una amenaza sin establecer una conexión virtual puede tener lugar en redes que identifican los mensajes transmitidos solo por dirección de red remitente. La esencia radica en la transmisión de mensajes de servicio en nombre de los dispositivos de control de la red (por ejemplo, en nombre de los enrutadores) sobre el cambio de enrutamiento y datos de dirección.
Como resultado de la implementación de la amenaza, el infractor recibe derechos de acceso, instalado por el usuario para un suscriptor de confianza, a la herramienta técnica ISPD.
5. Imponer una ruta de red falsa.
Esta amenaza se materializa en una de dos formas: por imposición dentro del segmento o entre segmentos. La posibilidad de imponer una ruta falsa se debe a las deficiencias inherentes a los algoritmos de enrutamiento (en particular, debido al problema de identificar los dispositivos de control de la red), como resultado de lo cual puede llegar, por ejemplo, a un host o a la red de un atacante. , donde puede ingresar al entorno operativo de una herramienta técnica como parte de un ISPD. La implementación de la amenaza se basa en el uso no autorizado de protocolos de enrutamiento y control de red para realizar cambios en las tablas de enrutamiento. En este caso, el intruso debe enviar un mensaje de control en nombre del dispositivo de control de la red (por ejemplo, un enrutador).
6. Introducción de un objeto de red falso.
Esta amenaza se basa en explotar las debilidades de los algoritmos de búsqueda remota. Si los objetos de la red inicialmente no tienen información de direcciones entre sí, se utilizan varios protocolos de búsqueda remota, que consisten en transmitir solicitudes especiales a través de la red y recibir respuestas con la información requerida. En este caso, existe la posibilidad de interceptación por parte del intruso. consulta de busqueda y emitir una respuesta falsa, cuyo uso conducirá al cambio requerido en los datos de enrutamiento y dirección. En el futuro, todo el flujo de información asociado con el objeto víctima pasará a través del objeto de red falso.
7. Denegación de servicio.
Estas amenazas se basan en fallas en el software de red, sus vulnerabilidades que permiten al intruso crear condiciones en las que el sistema operativo no puede procesar los paquetes entrantes. Se pueden distinguir varios tipos de tales amenazas:
Una denegación de servicio latente causada por la participación de parte de los recursos ISPD para procesar paquetes transmitidos por un atacante con una disminución en el ancho de banda de los canales de comunicación, rendimiento dispositivos de red, violación de los requisitos para el tiempo de procesamiento de las solicitudes. Ejemplos de implementación de amenazas de este tipo son: una tormenta dirigida de solicitudes de eco a través del protocolo ICMP, una tormenta de solicitudes para establecer conexiones TCP, una tormenta de solicitudes a un servidor FTP;
Una denegación de servicio explícita provocada por el agotamiento de los recursos ISPD al procesar los paquetes transmitidos por un atacante (ocupación de todo el ancho de banda de los canales de comunicación, desbordamiento de las colas de solicitud de servicio), en el que las solicitudes legales no pueden transmitirse a través de la red debido a la indisponibilidad del medio de transmisión o se niegan en mantenimiento debido a colas de solicitudes desbordadas, espacio en disco de memoria, etc. Ejemplos de amenazas de este tipo son la tormenta de solicitudes de eco de difusión ICMP, la tormenta dirigida, la tormenta de mensajes del servidor de correo;
Denegación de servicio explícita causada por una violación de la conectividad lógica entre los medios técnicos de ISPD cuando el infractor envía mensajes de control en nombre de los dispositivos de la red, lo que lleva a un cambio en los datos de enrutamiento y dirección o información de identificación y autenticación;
Una denegación de servicio explícita provocada por un atacante que transmite paquetes con atributos no estándar o con una longitud superior al tamaño máximo permitido, lo que puede provocar fallas en los dispositivos de red involucrados en el procesamiento de solicitudes, siempre que existan errores en los programas que implementan protocolos de intercambio de red. . El resultado de la implementación de esta amenaza puede ser una interrupción en el rendimiento del servicio correspondiente para proporcionar acceso remoto a PD en ISPD, la transferencia desde una dirección de tantas solicitudes de conexión a la instalación técnica como parte de ISPD, que pueda procesar el tráfico tanto como sea posible, lo que conlleva un desbordamiento de la cola de solicitudes y la falla de uno de los servicios de red o un apagado completo de la computadora debido a la incapacidad del sistema para hacer algo más que procesar solicitudes.
8.Lanzamiento remoto de aplicaciones.
La amenaza radica en el deseo de ejecutar varios software maliciosos previamente incrustados en el host ISPD: marcadores, virus, "espías de red", cuyo objetivo principal es violar la confidencialidad, integridad, disponibilidad de la información y control total sobre el funcionamiento de el anfitrión. Además, es posible el lanzamiento no autorizado de programas de aplicación de usuario para la obtención no autorizada de los datos necesarios para el infractor, para iniciar procesos controlados por el programa de aplicación, etc. Hay tres subclases de estas amenazas:
Distribución de archivos que contienen código ejecutable no autorizado;
Lanzamiento remoto de la aplicación al desbordar el búfer de los servidores de aplicaciones;
Lanzamiento remoto de la aplicación usando las capacidades de administración remota del sistema proporcionadas por pestañas de software y hardware ocultas o usadas medios regulares.
Las amenazas típicas de la primera de estas subclases se basan en la activación de archivos distribuidos cuando se accede a ellos accidentalmente. Ejemplos de tales archivos son: archivos que contienen código ejecutable en forma de macros (documentos Microsoft Word, Excel), documentos html que contienen código ejecutable en el formulario Controles ActiveX, applets de Java, scripts interpretados (por ejemplo, malware de JavaScript); archivos que contienen códigos de programas ejecutables.
Para la distribución de archivos, se pueden utilizar el correo electrónico, la transferencia de archivos y los servicios del sistema de archivos de red.
Las amenazas de la segunda subclase utilizan las deficiencias de los programas que implementan servicios de red (en particular, la falta de control de desbordamiento de búfer). Al ajustar los registros del sistema, a veces es posible cambiar el procesador, después de una interrupción por desbordamiento del búfer, a la ejecución de código contenido fuera del límite del búfer.
Con las amenazas de la tercera subclase, el intruso utiliza las capacidades de gestión remota del sistema proporcionadas por componentes ocultos o herramientas de gestión y administración estándar. Red de computadoras. Como resultado de su uso, es posible lograr el control remoto de la estación en la red. Esquemáticamente, las etapas principales del trabajo de estos programas son las siguientes: instalación en la memoria; esperar una solicitud de un host remoto que ejecuta un programa cliente e intercambiar mensajes de preparación con él; transferencia de información interceptada al cliente o darle el control sobre la computadora atacada. Las posibles consecuencias de la implementación de amenazas de varias clases se muestran en la Tabla 1
Tabla 1. Posibles consecuencias de la implementación de amenazas de varias clases
|
№
n/p |
tipo de ataque | Posibles consecuencias | |
| 1 | Análisis de tráfico de red | Estudio de las características del tráfico de la red, interceptación de los datos transmitidos, incluidos los ID de usuario y las contraseñas | |
| 2 | Escaneo de red | Definición de protocolos, puertos disponibles de servicios de red, reglas para generar identificadores de conexión, servicios de red activos, ID de usuario y contraseñas | |
| 3 | Ataque de "contraseña" | Realizar cualquier acción destructiva relacionada con la obtención de acceso no autorizado | |
| 4 | Falsificación de un objeto de red de confianza | Cambio de ruta de mensajes, cambio no autorizado de enrutamiento y datos de dirección. Acceso no autorizado a los recursos de la red, imposición de información falsa | |
| 5 | Imponer una ruta falsa | Cambio no autorizado de datos de enrutamiento y dirección, análisis y modificación de datos transmitidos, imposición mensajes falsos̆ | |
| 6 | Inyección de un objeto de red simulado | Interceptación y visualización del tráfico. Acceso no autorizado a los recursos de la red, imposición de información falsa | |
| 7 | Negación de servicio | Agotamiento parcial de recursos | Disminución del ancho de banda de los canales de comunicación, rendimiento de los dispositivos de red. Disminución del rendimiento de las aplicaciones del servidor. |
| Agotamiento total de los recursos. | La imposibilidad de transmitir mensajes por falta de acceso al medio de transmisión, negativa a establecer una conexión. Negación de servicio. | ||
| Violación de la conectividad lógica entre atributos, datos, objetos | Incapacidad para enviar mensajes debido a la falta de enrutamiento correcto y datos de dirección. Imposibilidad de recibir servicios por modificación no autorizada de identificadores, contraseñas, etc. | ||
| Uso de errores en los programas | Fallo de los dispositivos de red. | ||
| 8 | Lanzamiento remoto de aplicaciones | Al enviar archivos que contienen código ejecutable destructivo, infección de virus. | Violación de la confidencialidad, integridad, disponibilidad de la información. |
| Por desbordamiento de búfer de la aplicación del servidor | |||
| Al aprovechar las oportunidades control remoto sistema, proporcionado por pestañas ocultas de software y hardware o herramientas estándar usadas | Gestión de sistemas ocultos. | ||
El proceso de materialización de amenazas generalmente consta de cuatro etapas:
Colección de información;
Intrusiones (penetración en el entorno operativo);
Implementación de acceso no autorizado;
Eliminación de rastros de accesos no autorizados.
En la etapa de recopilación de información, el infractor puede estar interesado en información diversa sobre ISPD, que incluye:
Sobre la topología de la red en la que opera el sistema. Esto puede explorar el área alrededor de la red (por ejemplo, el intruso puede estar interesado en las direcciones de hosts confiables pero menos seguros). Existen herramientas de disponibilidad de host paralelas que pueden escanear una gran área del espacio de direcciones en busca de disponibilidad de host en un corto período de tiempo.;
Sobre el tipo de sistema operativo (SO) en ISPD. Puede observar el método para determinar el tipo de sistema operativo, como consulta sencilla para establecer una conexión a través del protocolo de acceso remoto Telnet, como resultado de lo cual, por la "apariencia" de la respuesta, puede determinar el tipo de sistema operativo del host. La presencia de ciertos servicios también puede servir como una indicación adicional del tipo de sistema operativo del host;
Acerca de los servicios que funcionan en los hosts. La definición de servicios que se ejecutan en un host se basa en el método de "puertos abiertos" para recopilar información sobre la disponibilidad de un host.
En la etapa de invasión se investiga la presencia de vulnerabilidades típicas en los servicios del sistema o errores en la administración del sistema. La explotación exitosa de las vulnerabilidades generalmente da como resultado que el proceso de un atacante obtenga un modo de ejecución privilegiado (acceso al modo de ejecución privilegiado del procesador), inyectando una cuenta de usuario ilegal en el sistema, obteniendo un archivo de contraseña o interrumpiendo el host atacado.
Esta etapa de desarrollo de la amenaza, por regla general, es de varias fases. Las fases del proceso de implementación de amenazas pueden incluir, por ejemplo: establecer una conexión con el host contra el cual se implementa la amenaza; identificación de vulnerabilidades; la introducción de un programa malicioso en aras del empoderamiento, etc.
Las amenazas implementadas en la etapa de intrusión se dividen en capas de la pila de protocolos TCP/IP, ya que se forman a nivel de red, transporte o aplicación, dependiendo del mecanismo de intrusión utilizado. Las amenazas típicas implementadas a nivel de red y transporte incluyen las siguientes:
Una amenaza destinada a reemplazar un objeto de confianza;
Una amenaza dirigida a crear una ruta falsa en la red;
Amenazas dirigidas a crear un objeto falso utilizando las deficiencias de los algoritmos de búsqueda remota;
Amenazas de denegación de servicio.
Las amenazas típicas implementadas a nivel de aplicación incluyen amenazas dirigidas al lanzamiento no autorizado de aplicaciones, amenazas cuya implementación está asociada con la introducción de errores de software, con la detección de contraseñas de acceso a una red o a un host específico, etc. Si la implementación de la amenaza no le otorgó al infractor los derechos de acceso más altos en el sistema, es posible intentar extender estos derechos al máximo nivel posible. Para ello, se pueden utilizar las vulnerabilidades no solo de los servicios de red, sino también las vulnerabilidades del software del sistema de los hosts de ISPDN.
En la etapa de implementación del acceso no autorizado, se logra el objetivo de implementar la amenaza:
Violación de la confidencialidad (copia, distribución ilegal);
Violación de la integridad (destrucción, cambio);
Violación de disponibilidad (bloqueo).
En la misma etapa, después de estas acciones, por regla general, se forma la llamada "puerta trasera" en forma de uno de los servicios que atiende a un determinado puerto y ejecuta las órdenes del intruso. La "puerta trasera" se deja en el sistema con el fin de garantizar: la capacidad de obtener acceso al host, incluso si el administrador elimina la vulnerabilidad utilizada para implementar con éxito la amenaza; la capacidad de acceder al host de la forma más discreta posible; la capacidad de obtener acceso al host rápidamente (sin repetir el proceso de implementación de la amenaza). La "puerta trasera" permite a un atacante inyectar un programa malicioso en una red o en un host específico, por ejemplo, un "analizador de contraseñas", un programa que extrae ID de usuario y contraseñas del tráfico de la red cuando se ejecutan protocolos de alto nivel. Los objetos de la inyección de malware pueden ser programas de autenticación e identificación, servicios de red, el kernel del sistema operativo, sistema de archivos, bibliotecas, etc
Finalmente, en la etapa de eliminación de rastros de la implementación de la amenaza, se intenta destruir los rastros de las acciones del intruso. Esto elimina las entradas correspondientes de todos los registros de auditoría posibles, incluidos los registros sobre el hecho de que se recopiló información.
1.4 Características del Banco y sus actividades
PJSC Citibank es una organización financiera y crediticia del Sistema Bancario de la Federación Rusa que realiza transacciones financieras con dinero y valores. El Banco brinda servicios financieros a personas físicas y jurídicas.
Las principales actividades son préstamos a personas jurídicas y personas naturales, servicio de cuentas de clientes corporativos, captación de fondos de la población en depósitos, operaciones en el mercado de divisas e interbancario, inversiones en bonos y letras.
El Banco lleva a cabo sus actividades financieras desde el 1 de agosto de 1990, sobre la base de la Licencia General del Banco de Rusia para actividades bancarias No. 356.
El Banco cuenta con tres sistemas de información de datos personales:
Sistema de información de datos personales de los empleados del Banco - permite identificar 243 sujetos de datos personales;
Sistema de información de datos personales del sistema de control y gestión de acceso: le permite identificar 243 sujetos de datos personales;
Sistema de información de datos personales del sistema bancario automatizado - le permite identificar 9681 sujetos de datos personales.
1.5 Bases de datos personales
El Banco necesita proteger varios datos personales informativos a la vez, a saber:
Sistema de información de datos personales de los empleados del Banco;
Sistema de información de datos personales del sistema de gestión y control de acceso;
Sistema de información de datos personales del sistema bancario automatizado.
1.5.1 Sistema de información de datos personales de los empleados de la organización
ISPD para los empleados del Banco se utiliza para devengar a los empleados del Banco salarios, automatizando el trabajo de los empleados del departamento de recursos humanos, automatizando el trabajo de los empleados del departamento de contabilidad del Banco y resolviendo otros problemas de personal y contabilidad. Consiste en una base de datos 1C "Gestión de salarios y personal", está ubicada en una estación de trabajo separada con la capacidad de conectarse al lugar de trabajo a través de la red. La estación de trabajo está ubicada en la oficina del departamento de recursos humanos. Se instala un quirófano en la estación de trabajo. sistema microsoft Windows XP. No hay conexión a Internet en la estación de trabajo.
Nombre completo;
Fecha de nacimiento;
Serie y número del pasaporte;
Número de teléfono;
El derecho a trabajar con el software 1C "Gestión de salarios y personal" y la base de datos de datos personales tienen:
Contador Jefe;
asistente del jefe de contabilidad;
Jefe del Departamento de Recursos Humanos;
Un empleado responsable de la nómina de los empleados del Banco.
Cambio de datos manual;
1.5.2 Sistema de información de datos personales del sistema de control y gestión de acceso
El sistema de información de datos personales del sistema de gestión y control de acceso se utiliza para almacenar datos personales de los empleados y visitantes del Banco que tienen acceso a varios locales del Banco. La RDSI del sistema de control y gestión de accesos es utilizada por el departamento de seguridad del Banco. La base de datos ISPD está instalada en la estación de trabajo ubicada en la sala de seguridad del departamento de seguridad. El sistema operativo Microsoft Windows 7 está instalado en la estación de trabajo ISPD, Microsoft DBMS se utiliza como sistema de gestión de base de datos servidor SQL 2012. AWP ISPD no tiene acceso a la red local, y tampoco tiene acceso a Internet.
El ISPD almacena los siguientes datos personales:
Nombre completo;
Foto de un empleado.
Tienen derecho a trabajar con los sistemas de control y gestión de acceso ISPDn:
Jefe del Departamento de Seguridad del Banco;
Subjefe del Departamento de Seguridad del Banco;
Empleados del departamento de seguridad del Banco.
El acceso al puesto de trabajo automatizado del sistema de gestión y control de acceso dispone de:
Administradores de sistemas, para administrar la estación de trabajo y el software 1C "Gestión de salarios y personal" y la base de datos de datos personales;
Empleados de la división responsable de la seguridad de la información del Banco para administrar el sistema de protección de la información AWP.
Las siguientes funciones se pueden realizar en el ISPD para empleados bancarios:
Eliminación automatizada de datos personales;
Eliminación manual información personal;
Cambio de datos manual;
Adición manual información personal;
Búsqueda automatizada de datos personales.
El sistema de información de datos personales almacena datos que permiten identificar a 243 empleados del Banco.
Después de lograr los objetivos de procesar los datos personales del empleado, sus datos personales se eliminan del ISPD.
1.5.3 Sistema de información de datos personales del sistema bancario automatizado
El sistema de información de datos personales del sistema bancario automatizado está diseñado para automatizar el trabajo de la mayoría de los empleados bancarios. Mejora la productividad de los empleados. El complejo se utiliza como un sistema bancario automatizado. productos de software"CFT-Bank", producido por el grupo de empresas "Centro de Tecnologías Financieras". El software de Oracle se utiliza como un sistema de gestión de base de datos. ISPD está desplegado en el servidor del Banco, el sistema operativo instalado en el servidor es Microsoft Servidor de windows 2008R2. El ISPD del sistema bancario automatizado está conectado a la red informática local del banco, pero no tiene acceso a Internet. Los usuarios están conectados a la base de datos ISPD utilizando productos de software CFT-Bank desde terminales virtuales dedicados. Cada usuario tiene su propio nombre de usuario y contraseña en el ISPD.
Datos personales tratados en ISPD:
Nombre completo;
Fecha de nacimiento;
Serie y número del pasaporte;
Número de teléfono;
Las siguientes personas tienen derecho a trabajar con el software CFT-Bank y la base de datos de datos personales:
personal de contabilidad;
oficiales de préstamo;
Empleados del departamento de gestión de riesgos;
Empleados del departamento de garantías;
Gerentes personales;
gestores de clientes;
Personal de seguridad.
El acceso a la estación de trabajo está disponible para:
Administradores de sistemas para administrar el servidor, la base de datos personales y el software CFT-Bank;
Empleados de la división responsable de la seguridad de la información del Banco para administrar el servidor, la base de datos personales y el software CFT-Bank.
Las siguientes funciones se pueden realizar en el ISPD para empleados bancarios:
Eliminación automatizada de datos personales;
Eliminación manual de datos personales;
Adición manual de datos personales;
Cambio de datos manual;
Búsqueda automatizada de datos personales.
El sistema de información de datos personales almacena datos que permiten identificar a 243 empleados del Banco ya 9.438 clientes del Banco.
Después de lograr los objetivos de procesar los datos personales del empleado, sus datos personales se eliminan del ISPD.
1.6 Estructura y amenazas de la red de área local del Banco
El banco tiene una red cliente-servidor. El nombre del dominio en el que se encuentran las estaciones de trabajo de los usuarios es vitabank.ru. En total, el banco cuenta con 243 puestos automatizados de usuarios, así como 10 Servidores virtuales y 15 estaciones de trabajo virtuales. El departamento de administración del sistema supervisa el rendimiento de la red. La red se basa principalmente en equipos de red de Cisco. La comunicación con oficinas adicionales se mantiene mediante canales VPN utilizando Internet a través de los canales activos y de respaldo del proveedor de Internet. El intercambio de información con el Banco Central se realiza a través de un canal dedicado, así como a través de los canales de comunicación convencionales.
Todos los usuarios tienen acceso a Internet en estaciones de trabajo locales, pero el trabajo con documentos y sistemas de información del Banco se realiza únicamente utilizando estaciones de trabajo virtuales, en las que el acceso a Internet es limitado y solo se cargan recursos locales del Banco.
El acceso a Internet desde estaciones de trabajo locales está delimitado por grupos de acceso:
Acceso mínimo: acceso solo a los recursos de los servicios federales, al sitio web del Banco de Rusia;
Acceso normal: todos los recursos están permitidos, excepto el entretenimiento, las redes sociales, la visualización de videos y la descarga de archivos están prohibidos.
Acceso completo: se permiten todos los recursos y cargas de archivos;
El servidor proxy implementa el filtrado de recursos por grupos de acceso.
A continuación se muestra un diagrama de la red de PJSC Citibank (Fig. 5).
1.7 Herramientas de seguridad de la información
Los medios de seguridad de la información son un conjunto de dispositivos y dispositivos de ingeniería, técnicos, eléctricos, electrónicos, ópticos y otros, instrumentos y sistemas tecnicos, así como otros elementos utilizados para resolver diversos problemas de protección de la información, incluida la prevención de fugas y la garantía de la seguridad de la información protegida.
Las herramientas de seguridad de la información en términos de prevención de acciones intencionales, según el método de implementación, se pueden dividir en grupos:
Medios técnicos (hardware). Son dispositivos de diversa índole (mecánicos, electromecánicos, electrónicos, etc.), que resuelven los problemas de protección de la información con hardware. Impiden el acceso a la información, incluso enmascarándola. El hardware incluye: generadores de ruido, filtros de red, radios de exploración y muchos otros dispositivos que "bloquean" los posibles canales de fuga de información o permiten detectarlos. Las ventajas de los medios técnicos están relacionadas con su confiabilidad, independencia de factores subjetivos y alta resistencia a la modificación. Debilidades: falta de flexibilidad, volumen y peso relativamente grandes, alto costo.
Figura 5 Diagrama de red de PJSC Citibank
Las herramientas de software incluyen programas para la identificación de usuarios, control de acceso, cifrado de información, eliminación de información residual (de trabajo) como archivos temporales, control de prueba del sistema de protección, etc. Las ventajas de las herramientas de software son versatilidad, flexibilidad, confiabilidad, facilidad de instalación , capacidad de modificar y desarrollar. Desventajas: funcionalidad limitada de la red, uso de parte de los recursos del servidor de archivos y estaciones de trabajo, alta sensibilidad a cambios accidentales o deliberados, posible dependencia de los tipos de computadoras (su hardware).
El hardware y el software combinados implementan las mismas funciones que el hardware y el software por separado y tienen propiedades intermedias.
Todas las oficinas del Banco están vigiladas por el servicio de seguridad mediante un sistema de control y gestión de accesos, así como un sistema de videovigilancia. El ingreso a las instalaciones de la oficina del banco se realiza con los permisos correspondientes en el sistema de control y gestión de acceso. Un empleado, al solicitar un trabajo, o un visitante del Banco, si es necesario para acceder a las instalaciones de la oficina del Banco, se emiten tarjetas de proximidad sin contacto en las que se registra el identificador del usuario y al intentar acceder a la oficina, este identificador se transmite al sistema de gestión y control de acceso. El sistema compara la lista de habitaciones a las que el usuario de la tarjeta puede ingresar con la habitación a la que desea ingresar y permite o restringe el acceso a la habitación.
Se instala software antivirus en las estaciones de trabajo del Banco Extremo de Kaspersky Security 10, que cuenta con un certificado de cumplimiento de la FSTEC de Rusia No. 3025, válido hasta el 25 de noviembre de 2019, las bases de datos de firmas de virus se actualizan de forma centralizada parte del servidor antivirus instalado en el servidor ubicado en el Banco.
Para organizar la gestión de documentos electrónicos con el Banco Central, las autoridades del Banco mantuvieron una línea de comunicación dedicada.
Organizar la gestión de documentos electrónicos con los servicios federales (Servicio Federal de Impuestos, Fondo de pensiones Rusia, Servicio de Supervisión Financiera, etc.) se utiliza una firma electrónica. Trabajar con firma electronica se instala un software especializado en las estaciones de trabajo locales de los artistas responsables de la circulación de documentos con los servicios federales:
Crypto-Pro CSP;
cripto-ARM;
CIPF Verba-OW;
Validación CIPF;
Signal-COM CSP.
El uso de cierto software por parte del contratista depende de los requisitos de una agencia federal en particular.
Se instala un firewall Cisco ASA 5512 fabricado por Cisco Corporation en el borde de la red local del Banco. Además, los sistemas bancarios críticos (estación de trabajo del cliente del Banco de Rusia, SWIFT, ISPD del banco) están separados adicionalmente de la red local del banco por cortafuegos de Cisco. Los túneles VPN para la comunicación con una oficina adicional se organizan mediante cortafuegos de Cisco.
1.8 Salvaguardas organizacionales
Según un estudio realizado por la empresa británica de auditoría y consultoría Ernst & Yong en 2014, el 69 por ciento de las empresas que participan en el estudio consideran que los empleados de la empresa son la principal fuente de amenazas a la seguridad de la información.
Los empleados de la empresa pueden, por desconocimiento o por su incompetencia en el campo de la seguridad de la información, divulgar información crítica necesaria para llevar a cabo ataques dirigidos a la organización. Los atacantes también envían mensajes de phishing con software malicioso incorporado que les permite controlar el lugar de trabajo del empleado y atacar los sistemas de información del Banco desde ese lugar de trabajo.
Por lo tanto, en el Banco, el departamento de seguridad de la información tiene la obligación de capacitar a los empleados del Banco en los principios fundamentales de la seguridad de la información, monitorear el cumplimiento de los requisitos de seguridad cuando trabajan en el lugar de trabajo e informar a los empleados del Banco sobre las nuevas amenazas a la seguridad de la información que puedan enfrentar. .
En PJSC Citibank, todos los empleados se someten a una sesión informativa introductoria sobre el empleo. Asimismo, los nuevos empleados, los empleados transferidos de otras divisiones estructurales reciben un briefing inicial en el departamento de seguridad de la información, durante el cual se explican a los empleados las reglas básicas de seguridad de la información cuando se trabaja con los sistemas de información del Banco, reglas de seguridad cuando se trabaja en Internet, reglas de seguridad cuando se trabaja con correo electrónico del Banco, política de contraseñas del Banco.
Los empleados del departamento de seguridad de la información del Banco están involucrados en el desarrollo e implementación de nuevos sistemas de información del Banco en todos los niveles de desarrollo del sistema.
En la etapa de diseño del sistema y preparación de los términos de referencia para el desarrollo de un sistema de información, el departamento de seguridad de la información impone requisitos de seguridad al sistema.
En la etapa de desarrollo de un sistema de información, los empleados del departamento de seguridad de la información estudian la documentación actual, prueban el software en busca de posibles vulnerabilidades en el código del programa.
En la etapa de prueba y puesta en marcha del sistema de información, el departamento de seguridad de la información participa activamente en la prueba del sistema de información, realiza pruebas de penetración en el sistema de información y pruebas de denegación de servicio, y también distribuye los derechos de acceso al sistema de información.
En la etapa de operación del sistema de información ya puesto en funcionamiento, el departamento de seguridad de la información monitorea y detecta actividades sospechosas.
En la etapa de finalización del sistema de información, el departamento de seguridad de la información, basándose en los datos obtenidos durante la operación del sistema de información, crea nuevos requisitos para el sistema de información.
El Departamento de Seguridad de la Información de PJSC Citibank aprueba todas las solicitudes de acceso a los recursos en Internet, así como a los recursos internos del Banco.
1.9 Ciclo de tratamiento de datos personales
Los datos personales almacenados en el Banco se obtuvieron sólo legalmente.
Los datos personales recibidos de un empleado del Banco se procesan únicamente para que el Banco cumpla con sus obligaciones en virtud del contrato celebrado con el empleado. Los datos personales del empleado del Banco se obtienen del propio empleado. Todos los empleados del Banco se familiarizan contra firma con los documentos del Banco que establecen el procedimiento para el tratamiento de datos personales de los empleados del Banco, así como sus derechos y obligaciones en esta materia.
Los datos personales de los empleados del banco almacenados en el ISPD del sistema de control y gestión de accesos tienen como finalidad permitir el ingreso del empleado al lugar de trabajo.
Los datos personales de los clientes del Banco almacenados en el ISPD del sistema bancario automatizado se procesan allí solo para que el Banco cumpla con sus obligaciones en virtud del acuerdo celebrado con el cliente del Banco. Además, en el ISPD del sistema bancario automatizado, se procesan datos personales de personas que no celebraron un acuerdo con el Banco, pero que se obtuvieron legalmente, por ejemplo, datos personales recibidos y procesados a pedido de la Ley Federal No. obtenidos por medios delictivos y financiación del terrorismo”.
Una vez logrados los fines del tratamiento de los datos personales, estos son destruidos o despersonalizados.
2. DESARROLLO DE MEDIDAS DE PROTECCIÓN DE DATOS PERSONALES EN EL BANCO
En PJSC Citibank, el sistema de protección de datos personales está regulado tanto por leyes estatales como por regulaciones locales (por ejemplo, las Reglas para Servicios de Banca a Distancia para Personas Jurídicas y empresarios individuales en PJSC CITIBANK” en el Anexo 1).
El sistema de protección de datos personales de PJSC Citibank ha sido suficiente, para evitar ataques simples como el phishing y la infección de estaciones de trabajo con virus ransomware, pero no es capaz de soportar ataques dirigidos destinados a robar datos personales.
Realicé trabajos de reestructuración y modernización del sistema de protección de datos personales.
2.1 Medidas para proteger la red informática local del banco y el sistema de información de datos personales
Hay debilidades pronunciadas en la red de Citibank, mediante las cuales los atacantes pueden obtener acceso completo a la red del banco y tomar el control de ella, después de lo cual pueden robar, cambiar o eliminar libremente los datos personales de los clientes o empleados del banco.
Dado que la red del Banco es un solo segmento, para minimizar los riesgos de ingreso de intrusos a la red del Banco, debe dividirse en varios segmentos utilizando tecnología redes virtuales.
El concepto de tecnología de red virtual (VLAN) es que el administrador de la red puede crear grupos lógicos de usuarios en ella, independientemente de a qué parte de la red estén conectados. Puede combinar usuarios en grupos de trabajo lógicos, por ejemplo, en función de la similitud del trabajo realizado o la tarea resuelta conjuntamente. Al mismo tiempo, los grupos de usuarios pueden interactuar entre sí o ser completamente invisibles entre sí. La pertenencia a grupos se puede cambiar y un usuario puede ser miembro de varios grupos lógicos. Las redes virtuales forman dominios de transmisión lógicos, lo que limita el paso de los paquetes de transmisión a través de la red, al igual que los enrutadores, que aíslan el tráfico de transmisión entre los segmentos de la red. De esta forma, la red virtual evita que se produzcan tormentas de difusión porque los mensajes de difusión están restringidos a los miembros de la red virtual y los miembros de otras redes virtuales no pueden recibirlos. Las redes virtuales pueden permitir el acceso a miembros de otra red virtual en los casos en que sea necesario acceder a recursos compartidos, como servidores de archivos o servidores de aplicaciones, o cuando una tarea común requiera la interacción de varios servicios, como departamentos de crédito y liquidación. Las redes virtuales se pueden crear sobre la base de puertos de conmutación, direcciones físicas de dispositivos incluidos en la red y direcciones lógicas de protocolos del tercer nivel del modelo OSI. La ventaja de las redes virtuales radica en la alta velocidad de los conmutadores, ya que los conmutadores modernos contienen un conjunto especializado de circuitos integrados especialmente diseñados para resolver problemas de conmutación en el segundo nivel del modelo OSI. Las redes virtuales de tercer nivel son las más fáciles de instalar si no se requiere reconfigurar los clientes de la red, las más difíciles de administrar, porque cualquier acción con un cliente de red requiere una reconfiguración del propio cliente o del enrutador, y es la menos flexible, ya que se requiere enrutamiento para comunicar redes virtuales, lo que aumenta el costo del sistema y reduce su rendimiento.
Así, la creación de redes virtuales en el Banco evitará ataques de ARP-spoofing. Los malhechores no podrán interceptar la información que pasa entre el servidor y el cliente. Al penetrar en la red, los atacantes no podrán escanear toda la red del Banco, sino solo el segmento de red al que obtuvieron acceso.
Al infiltrarse en la red del Banco, los atacantes primero escanearán la red para encontrar nodos de red críticos. Estos nodos son:
controlador de dominio;
Servidor de correo;
Servidor de archivos;
servidor de aplicaciones.
Dado que la red local del Banco se organizará utilizando tecnología de red virtual, los atacantes no podrán detectar estos nodos sin pasos adicionales. Para que sea más difícil para los atacantes encontrar nodos críticos en la red local y confundirlos, y en el futuro para estudiar la estrategia de los atacantes al realizar un ataque en la red, es necesario utilizar objetos falsos que atraigan a los atacantes. . Estos objetos se llaman Honeypots.
La tarea del Honeypot es ser atacado o realizar una investigación no autorizada, lo que posteriormente le permitirá estudiar la estrategia de los atacantes y determinar la lista de medios por los cuales se pueden atacar los objetos de seguridad de la vida real. Una implementación de honeypot puede ser un servidor dedicado dedicado o un único servicio de red cuya tarea es atraer la atención de los piratas informáticos.
Un honeypot es un recurso que no hace nada sin ningún impacto sobre él. Honeypot recopila una pequeña cantidad de información, después de analizar qué estadísticas se basan en los métodos utilizados por los crackers, así como la presencia de nuevas soluciones que se utilizarán posteriormente en la lucha contra ellos.
Por ejemplo, un servidor web que no tiene nombre y es prácticamente desconocido para todos, por lo tanto, no debe tener invitados que accedan a él, por lo que cualquiera que intente ingresar es un atacante potencial. Honeypot recopila información sobre el comportamiento de estos crackers y cómo afectan al servidor. Luego de eso, los especialistas del departamento de seguridad de la información recopilan información sobre el ataque de intrusos al recurso y desarrollan estrategias para repeler ataques en el futuro.
Para controlar la información proveniente de Internet y detectar amenazas a la seguridad de la información en la etapa de su transmisión por la red, así como para detectar la actividad de intrusos que han penetrado en la red local del Banco, es necesario instalar un sistema de prevención de intrusos en el borde de la red.
Un sistema de prevención de intrusiones es un software o hardware conectado en red y la seguridad informática, que detecta intrusiones o brechas de seguridad y protege automáticamente contra ellas.
Los sistemas de prevención de intrusiones pueden verse como una extensión de los sistemas de detección de intrusiones, ya que la tarea de rastrear los ataques sigue siendo la misma. Sin embargo, se diferencian en que el sistema de prevención de intrusiones monitorea la actividad en tiempo real e implementa rápidamente acciones de prevención de ataques.
Los sistemas de detección y prevención de intrusos se dividen en:
Sistemas de prevención de intrusiones en la red: analiza el tráfico dirigido a la red de la organización, pasando por la propia red o dirigido a una computadora específica. Los sistemas de detección y prevención de intrusos pueden implementarse mediante métodos de software o hardware-software, instalados en el perímetro red corporativa y a veces dentro de ella.
Los sistemas de prevención de intrusos personales son un software que se instala en estaciones de trabajo o servidores y le permite controlar la actividad de las aplicaciones, así como monitorear la actividad de la red para posibles ataques.
Se eligió un sistema de prevención de intrusiones en la red para su implementación en la red del Banco.
Consideró sistemas de red intrusiones de IBM, Check Point, Fortinet, Palo Alto, ya que la funcionalidad declarada de los fabricantes de estos sistemas cumplía con los requerimientos del departamento de seguridad de la información del Banco.
Luego de implementar bancos de pruebas y probar sistemas de prevención de intrusos, se eligió el sistema Check Point por presentar el mejor desempeño, el mejor subsistema de detección de virus transmitidos sobre una red local, las mejores herramientas para registro y registro de eventos importantes y el precio de adquisición.
El sistema de prevención de intrusiones de IBM fue rechazado porque el costo de los dispositivos excedía el presupuesto del departamento de seguridad de la información para la compra de un sistema de prevención de intrusiones.
El sistema de prevención de intrusiones de Fortinet fue rechazado debido a una respuesta incompleta cuando el departamento de seguridad de la información realizó pruebas para transferir archivos infectados y herramientas insuficientemente informativas para registrar eventos importantes.
El sistema de prevención de intrusiones de Palo Alto fue rechazado debido a herramientas insuficientemente informativas para registrar eventos importantes, la complejidad excesiva de trabajar con el sistema y actuar más como un enrutador.
Se eligió el sistema de prevención de intrusos Check Point para su implementación en la red local. Este sistema mostró un alto nivel de detección de amenazas a la seguridad de la información, configuraciones flexibles, la capacidad de expandir la funcionalidad mediante la compra de módulos de software adicionales, tiene un poderoso sistema para registrar eventos importantes y un poderoso conjunto de herramientas para proporcionar informes de incidentes, que se pueden utilizar para investigar incidentes de seguridad de la información mucho más fácil.
El diagrama de red de PJSC Citibank con una arquitectura modificada se muestra en la Figura 6.
2.2 Protecciones de software y hardware
Dado que la seguridad de los datos personales no puede garantizarse únicamente mediante la protección de la red, ya que los intrusos, a pesar de todas las medidas adoptadas para proteger la red, pueden acceder a la red del Banco.
Figura 6 Diagrama de red de PJSC Citibank con sistemas de seguridad adicionales
Para una protección más resiliente contra ataques, es necesario agregar dispositivos de protección de software y hardware para estaciones de trabajo locales, estaciones de trabajo virtuales, servidores virtuales y regulares a los dispositivos diseñados para proteger la red.
Como sabe, los programas antivirus no brindan una protección completa contra el software malicioso, ya que funcionan según el principio del análisis de firmas. Una empresa de software antivirus cuenta con expertos en su personal que supervisan la actividad de los virus en Internet, estudian el comportamiento del software antivirus en las estaciones de prueba y crean firmas que luego se envían a las computadoras de los usuarios mediante la actualización de las bases de datos de firmas del software antivirus. Habiendo recibido una base de datos actualizada de firmas de software antivirus, el antivirus analiza los archivos en la estación de trabajo del usuario y busca señales de software malicioso; si se encuentran dichas señales durante el análisis, el antivirus lo señala y actúa de acuerdo con la configuración establecida por el usuario o el administrador antivirus. Por lo tanto, si el malware no es detectado y analizado por los expertos de la compañía de software antivirus, entonces el antivirus no podrá detectar el malware y no tomará ninguna acción, considerando que el archivo escaneado es seguro. Por lo tanto, con el fin de reducir la probabilidad de acceso a la red y el lanzamiento de software malicioso, se instaló un segundo circuito en el Banco protección antivirus. Dado que la mayoría de las empresas de software antivirus funcionan por separado, el malware que aún no ha sido detectado por una empresa de software antivirus puede ser detectado por otro desarrollador y ya se pueden crear firmas para la amenaza detectada.
Para implementar dicho esquema, se creó una estación de trabajo virtual, en la que se instaló el antivirus de la suite de seguridad Doctor WEB Enterprise, que cuenta con un certificado de cumplimiento de la FSTEC de Rusia No. 2446, con vigencia hasta el 20 de septiembre de 2017. Todos los archivos descargados por los empleados del banco durante su trabajo se envían a esta estación y son escaneados por un antivirus. Si se detecta un software malicioso, el antivirus envía un correo electrónico al departamento de seguridad de la información con el nombre de la amenaza y la ruta donde se almacena el archivo infectado. El departamento de seguridad de la información toma medidas para eliminar el software malicioso. Si los archivos cargados por los usuarios pasan la verificación del software antivirus, el usuario que cargó el archivo realiza una solicitud al departamento de seguridad de la información y los empleados del departamento transfieren el archivo descargado al usuario.
Asimismo, una gran cantidad de software malicioso llega a los empleados del Banco a través de correo electrónico. Estos pueden ser tanto virus de encriptación comunes como software malicioso que permite a los atacantes penetrar en la computadora infectada de un empleado del Banco mediante una conexión remota.
Para minimizar los riesgos de tales amenazas, se instaló el software antivirus ClamAW en el servidor de correo del Banco, diseñado para proteger servidores de correo.
Para proteger contra el acceso no autorizado por parte de intrusos internos que de alguna manera aprendieron la contraseña de un usuario de una estación local que tiene acceso a los sistemas de información de datos personales, es necesario instalar un sistema de protección de la información contra el acceso no autorizado en las estaciones de trabajo locales de los usuarios que trabajan con personal. sistemas de información de datos.
.La capacitación de los empleados del Banco es realizada por un especialista del departamento de seguridad de la información.
Un empleado del departamento de seguridad de la información realiza capacitaciones en una división del Banco determinada por el plan. Después de la capacitación, los empleados de la unidad pasan pruebas en las que confirman los conocimientos adquiridos durante la capacitación.
La política básica de seguridad regula la realización de capacitaciones en cada unidad al menos cuatro veces al año.
Asimismo, en paralelo con la capacitación de los empleados, los empleados del departamento de seguridad de la información están obligados a enviar al menos una vez al mes a todos los empleados del Banco cartas informativas que describan las reglas básicas de seguridad, nuevas amenazas a la seguridad de la información del Banco, si se detecta alguno.
2.3.2 El orden de acceso de los empleados a los recursos de Internet
El Banco cuenta con 3 grupos de acceso a Internet, pero dicha división de acceso es ineficiente, ya que un empleado para el desempeño de sus funciones puede necesitar obtener información de un recurso de red incluido en el grupo de acceso completo, entonces tendrá para dar acceso completo a Internet, lo cual no es seguro.
Grupo 6: descarga de archivos: el grupo no proporciona ningún acceso a los recursos de Internet;Grupo 7: descargar archivos ejecutables- el grupo no proporciona ningún acceso a los recursos de Internet;
Grupo 8: acceso completo a Internet: acceso completo a los recursos de Internet, descarga de cualquier archivo.
Para obtener acceso a los recursos de Internet, un empleado crea una aplicación a través del sistema ServiceDesk y, luego de la aprobación del jefe del departamento o la gerencia y un empleado del departamento de seguridad de la información, se le otorga acceso a los recursos de Internet de acuerdo con el grupo solicitado. .
2.3.3 Procedimiento para el acceso de los empleados a los recursos intrabancarios
Los principales documentos sobre el trabajo de un empleado se encuentran en el lugar de trabajo local o en el sistema automatizado en el que trabaja. Asimismo, cada división del Banco cuenta con una sección en el servidor de archivos del Banco, que almacena información necesaria para varios empleados de la división y que es de gran tamaño para su transmisión por correo electrónico del Banco.
Cuando un nuevo empleado ingresa al Banco, su jefe directo envía una solicitud a través del sistema ServiceDesk al departamento de administración del sistema para acceder al recurso intrabancario, y luego de que la solicitud es aprobada por un empleado del departamento de seguridad de la información, el empleado del departamento de administración de sistemas proporciona acceso al recurso solicitado al nuevo empleado.
A menudo hay situaciones en las que se cruza el trabajo de varias divisiones del Banco y para el intercambio de información estas divisiones necesitan una separada en el servidor de archivos del Banco.
Para crear esta sección, el gerente del proyecto, el jefe de uno de los departamentos involucrados en el proceso de trabajo en el proyecto, crea una aplicación a través del sistema ServiceDesk para crear recurso compartido y acceso a este recurso por parte de determinados empleados de su departamento que trabajan en un proyecto conjunto y el responsable del departamento con el que colabora en el proyecto. Una vez aprobado por el oficial de información, el oficial de administración del sistema crea el recurso solicitado y otorga acceso a él a los empleados solicitados. Cada jefe de departamento que participa en el proyecto solicita acceso solo para aquellos empleados que están subordinados a él.
2.3.4 Cómo trabajan los empleados con el correo electrónico
Anteriormente, antes de crear una política de seguridad básica, cada empleado determinaba el grado de peligrosidad de las cartas y archivos recibidos por correo electrónico desde servidores de correo externos.
Después de crear una política de seguridad básica, cada usuario debe enviar cada archivo recibido por correo electrónico desde servidores de correo externos al departamento de seguridad de la información para verificar si hay software malicioso, el grado de peligro de las cartas lo determina el empleado de forma independiente. Si un empleado del Banco sospecha que un mensaje entrante contiene spam o phishing, está obligado a enviar la carta completa, es decir, con toda la información oficial sobre el remitente, su Buzón y dirección IP, al departamento de seguridad de la información. Después de analizar una carta sospechosa y confirmar la amenaza de esta carta, el departamento de seguridad de la información envía la dirección del remitente de la carta al departamento de administración del sistema y un empleado del departamento de administración del sistema incluye la dirección del remitente de la carta en la lista negra.
Bloquee siempre el lugar de trabajo cuando abandone el mismo.
2.3.6 Reglas para el acceso de los empleados a los datos personales
De acuerdo con el Artículo 89 del Capítulo 14 del Código Laboral de la Federación Rusa, un empleado del Banco tiene derecho a acceder a sus datos personales, pero puede procesar datos personales de otros empleados del Banco o clientes del Banco solo para el desempeño de sus funciones oficiales. .
Para asegurar el control sobre el acceso a los sistemas de información de datos personales, el banco ha establecido las siguientes reglas para el acceso a los sistemas de información de datos personales:
Solo los empleados cuyas responsabilidades laborales incluyen el procesamiento de datos personales tienen acceso a ISPD;
El acceso a ISPD solo está permitido desde el lugar de trabajo local de un empleado que trabaja con datos personales;
El Banco ha creado un documento que define por apellido a los empleados que tienen permitido el acceso a los datos personales de los empleados y clientes del Banco, indicando el Sistema de Información de Datos Personales y la lista de datos personales permitidos para el tratamiento por parte del empleado.
3. JUSTIFICACIÓN ECONÓMICA DEL PROYECTO
Para implementar un sistema de protección de datos personales, es necesario adquirir:
Equipos para proteger la red del Banco;
hardware de seguridad de la información;
Software de seguridad de la información.
Para reconstruir la red de la organización, es necesario comprar switches Cisco Catalyst 2960 en la cantidad de 3 copias. Se requiere un interruptor para operar en el nivel central de la red del Banco, otros 2 para operar en el nivel de distribución. equipo de red también estarán involucrados quienes trabajaban en el banco antes de la reestructuración de la red.
Costo total (RUB) 9389159 613
Traje de seguridad Doctor WEB Enterprise155005500
Costo total1 371 615
CONCLUSIÓN
En mi proyecto de grado, revisé el marco legal para la protección de datos personales. He considerado las principales fuentes de amenazas a la seguridad de los datos personales.
Con base en las amenazas personales consideradas, analicé sistema existente Protección de datos personales en PJSC Citibank y llegó a la conclusión de que debe mejorarse seriamente.
Durante el proyecto de graduación se encontraron debilidades en la red local del Banco. Teniendo en cuenta las debilidades reveladas en la red local del Banco, se determinaron medidas para minimizar los riesgos de seguridad de la información de la red del Banco.
También se consideraron y seleccionaron dispositivos y software para proteger los lugares de trabajo locales de los empleados que procesan datos personales de empleados y clientes del Banco.
Con mi participación se creó un sistema para concientizar a los empleados en materia de seguridad de la información.
Se ha rediseñado profundamente el procedimiento de acceso a Internet de los empleados del Banco y se han rediseñado los grupos de acceso a Internet. Los nuevos grupos de acceso a Internet permiten minimizar significativamente los riesgos de seguridad de la información debido a la capacidad limitada de los usuarios para descargar archivos y acceder a recursos que no son de confianza.
Se proporcionan cálculos del costo de reconstruir la red y crear un sistema viable de protección de datos personales que pueda reflejar la mayoría de las amenazas a la seguridad de la información.
LISTA DE LITERATURA UTILIZADA
1. "La Constitución de la Federación Rusa" (adoptada por voto popular el 12 de diciembre de 1993) (sujeta a las enmiendas hechas por las Leyes de la Federación Rusa sobre enmiendas a la Constitución de la Federación Rusa del 30 de diciembre de 2008 N 6- FKZ, del 30 de diciembre de 2008 N 7-FKZ, del 5 de febrero de 2014 N 2-FKZ, del 21 de julio de 2014 N 11-FKZ) // El texto oficial de la Constitución de la Federación Rusa, enmendado el 21 de julio , 2014, se publicó en el Portal Oficial de Internet de Información Legal http://www.pravo.gov.ru, 01/08/2014
2. "Modelo básico de amenazas a la seguridad de datos personales durante su procesamiento en sistemas de información de datos personales" (Extracto) (aprobado por el FSTEC de la Federación Rusa el 15 de febrero de 2008)
3. Ley Federal del 27 de julio de 2006 N 149-FZ (modificada el 6 de julio de 2016) "Sobre información, tecnologías de la información y protección de la información" // El documento no se publicó en este formulario. El texto original del documento se publica en " periódico ruso", N 165, 29.07.2006
4. "Código Laboral de la Federación de Rusia" del 30 de diciembre de 2001 N 197-FZ (modificado el 3 de julio de 2016) (modificado y complementado, entró en vigor el 3 de octubre de 2016) // El documento no se publicó de esta forma, el texto original del documento fue publicado en Rossiyskaya Gazeta, N 256, 31/12/2001
5. Decreto del Gobierno de la Federación Rusa de 01.11.2012 N 1119 "Sobre la aprobación de los requisitos para la protección de datos personales durante su procesamiento en sistemas de información de datos personales" // "Rossiyskaya Gazeta", N 256, 07.11.2012
6. Orden del FSTEC de Rusia del 18 de febrero de 2013 N 21 "Sobre la aprobación de la Composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales" (Registrado en el Ministerio de Justicia de Rusia el 14 de mayo de 2013 N 28375) // “Periódico ruso”, N 107, 22/05/2013
7. “Estándar del Banco de Rusia “Garantizar la seguridad de la información de las organizaciones del sistema bancario de la Federación Rusa. Disposiciones generales "STO BR IBBS-1.0-2014" (adoptadas y puestas en vigor por la Orden del Banco de Rusia del 17 de mayo de 2014 N R-399) // Boletín del Banco de Rusia, No. 48-49, 30 de mayo de 2014
8. “Reglamento sobre los requisitos para garantizar la protección de la información al realizar transferencias de dinero y sobre el procedimiento para que el Banco de Rusia ejerza control sobre el cumplimiento de los requisitos para garantizar la protección de la información al realizar transferencias de dinero” (aprobado por el Banco de Rusia el 09.06.2012 N 382-P) (modificado el 14 de agosto de 2014) (Registrado en el Ministerio de Justicia de Rusia el 14 de junio de 2012 N 24575) // El documento no se publicó de esta forma, el original el texto del documento fue publicado en el Boletín del Banco de Rusia, N 32, 22/06/2012
9. "Reglamento sobre el procedimiento para la presentación por parte de las instituciones de crédito al organismo autorizado de información previsto por la Ley Federal "Sobre la lucha contra la legalización (blanqueo) de los productos del delito y la financiación del terrorismo" (aprobado por el Banco de Rusia el 29 de agosto de 2008 N 321-P) (modificado de fecha 15/10/2015) (junto con el “Procedimiento para garantizar la seguridad de la información durante la transmisión y recepción de la ECO”, “Reglas para la formación de la ECO y completando los campos individuales de los registros ECO”) (Registrado en el Ministerio de Justicia de Rusia el 16.09.2008 N 12296) // De esta forma, el documento no fue publicado, El texto original del documento fue publicado en el Boletín del Banco de Rusia, N 54, 26/09/2008
10. Orden del FSTEC de Rusia del 18 de febrero de 2013 N 21 "Sobre la aprobación de la Composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales" (Registrado en el Ministerio de Justicia de Rusia el 14 de mayo de 2013 N 28375) // “Periódico ruso”, N 107, 22/05/2013
11. Averchenkov V.I., Rytov M.Yu., Gainulin T.R. Protección de datos personales en las organizaciones. M.: Flinta, 2018
12. Agapov A. B. Fundamentos de la administración pública en el campo de la informatización en la Federación Rusa. M.: Jurista, 2012
13. Kostin A. A., Kostina A. A., Latyshev D. M., Moldovyan A. A. Complejos de software serie "AURA" para la protección de sistemas de información de datos personales // Izv. universidades instrumentación. 2012. V. 55, núm. 11
14. Moldovyan A. A. Criptografía para la protección de la información informática (parte 1) // Integral. 2014. Nº 4 (18)
15. Romanov O.A., Babin S.A., Zhdanov S.G. Soporte organizacional de la seguridad de la información. - M.: Academia, 2016
16. Shults V.L., Rudchenko A.D., Yurchenko A.V. seguridad empresarial. M.: Editorial Yurayt, 2017
Aplicaciones (disponibles en el archivo con la obra).
Se ha vuelto especialmente demandado por las divisiones rusas de empresas extranjeras en relación con la adición de la Parte 5 del Artículo 18 a 152-FZ "Sobre datos personales": "... el operador está obligado a garantizar el registro, sistematización, acumulación, almacenamiento , aclaración (actualización, cambio), información personal ciudadanos de la Federación Rusa que utilizan bases de datos ubicadas en el territorio de la Federación Rusa" . Hay una serie de excepciones en la ley, pero debe admitir que en caso de un control por parte del regulador, desea tener cartas de triunfo más confiables que "pero esto no nos concierne".
Las penas para los infractores son muy severas. las compras en línea, medios de comunicación social, sitios de información, otros negocios relacionados con Internet en el caso de reclamaciones de las autoridades de control, pueden ser efectivamente cerradas. Quizás, en la primera verificación, el regulador dará tiempo para eliminar las deficiencias, pero el período suele ser limitado. Si el problema no se resuelve muy rápidamente (lo que es difícil de hacer sin una preparación previa), las pérdidas ya no se pueden compensar. El bloqueo de sitios web no solo conduce a una pausa en las ventas, sino que también significa una pérdida de participación de mercado.
La aparición en la "lista negra" de infractores de la ley de datos personales para empresas offline es menos dramática. Pero esto conlleva riesgos para la reputación, que es un factor importante para las empresas extranjeras. Además, ahora casi no hay actividades que no tengan nada que ver con la protección de datos personales. Los bancos, el comercio, incluso la fabricación: todos mantienen bases de clientes, lo que significa que están sujetos a las leyes pertinentes.
Aquí es importante entender que dentro de las empresas tampoco se puede considerar el tema de manera aislada. La protección de datos personales no puede limitarse mediante la instalación de herramientas de seguridad certificadas en servidores y el bloqueo de tarjetas de papel en cajas fuertes. Los datos personales tienen muchos puntos de entrada a la empresa: departamentos de ventas, recursos humanos, atención al cliente, a veces también centros de formación, comisiones de compra y otras divisiones. La gestión de la protección de datos personales es un proceso complejo que afecta ÉL, flujo documental, normativa, registro legal.
Echemos un vistazo a lo que se necesita para ejecutar y mantener dicho proceso.
Qué datos se consideran personales
En sentido estricto, cualquier información que se relacione directa o indirectamente con un individuo específico es su información personal. Tenga en cuenta que estamos hablando de personas, no de personas jurídicas. Resulta que basta con indicar el nombre completo y la dirección de residencia para iniciar la protección de estos datos (así como los relacionados). Sin embargo, conseguir correo electrónico con los datos personales de alguien en forma de firma y número de teléfono ninguna razón para defenderlos. Término clave: "El concepto de recopilación de datos personales". Para aclarar el contexto, quiero destacar varios artículos de la Ley "Sobre Datos Personales" en particular.
Artículo 5. Principios del tratamiento de datos personales. Debe haber objetivos claros que aclaren por qué se recopila esta información. De lo contrario, incluso con el pleno cumplimiento de todas las demás normas y reglas, es probable que se apliquen sanciones.
Artículo 10. Categorías especiales de datos personales. Por ejemplo, el departamento de personal puede fijar restricciones a los viajes de negocios, incluido el embarazo de los empleados. Por supuesto, dicha información adicional también está sujeta a protección. Esto amplía enormemente la comprensión de DP, así como la lista de departamentos y repositorios de información de la empresa en los que se debe prestar atención a la protección.
Artículo 12. Transferencia transfronteriza de datos personales. Si un sistema de información con datos sobre ciudadanos de la Federación Rusa está ubicado en el territorio de un país que no ha ratificado la Convención sobre la Protección de Datos Personales (por ejemplo, en Israel), se deben seguir las disposiciones de la legislación rusa.
Artículo 22. Aviso sobre el tratamiento de datos personales. condición requerida para no atraer la atención indebida del regulador. Dirigir actividad empresarial relacionado con DP: repórtelo usted mismo, sin esperar controles.
Dónde se pueden ubicar los datos personales
Técnicamente, el PD se puede ubicar en cualquier lugar, desde medios impresos (archivadores de papel) hasta medios de máquinas (discos duros, unidades flash, CD, etc.). Es decir, la atención se centra en cualquier almacenamiento de datos que se ajuste a la definición de ISPD (sistemas de información de datos personales).
La geografía de la ubicación es una gran pregunta separada. Por un lado, los datos personales de los rusos (personas físicas que son ciudadanos de la Federación Rusa) deben almacenarse en el territorio de la Federación Rusa. Por otro lado, por el momento es más un vector del desarrollo de la situación que un hecho consumado. Históricamente, muchas empresas internacionales y de exportación, varias participaciones y empresas conjuntas han tenido una infraestructura distribuida, y esto no cambiará de la noche a la mañana. A diferencia de los métodos de almacenamiento y protección de datos personales, que deberían ajustarse casi ahora, de inmediato.
La lista mínima de departamentos involucrados en el registro, organización, acumulación, almacenamiento, aclaración (actualización, cambio), extracción de DP:
- Servicio de personal.
- Departamento de ventas.
- Departamento legal.
Dado que el orden perfecto rara vez reina, en realidad, las unidades más impredecibles a menudo se pueden agregar a esta lista "esperada". Por ejemplo, un almacén puede tener información personalizada sobre proveedores, o un servicio de seguridad puede mantener su propio registro detallado de todas las personas que ingresan al territorio. Así, por cierto, la composición de PD para empleados puede complementarse con datos de clientes, socios, contratistas, así como visitantes aleatorios e incluso de otras personas, cuyos PD se convierten en un "delito" cuando se fotografían para obtener un pase, escanear una identificación. tarjeta y en algunos otros casos. Los ACS (sistemas de gestión y control de acceso) pueden convertirse fácilmente en una fuente de problemas en el contexto de la protección de datos personales. Por lo tanto, la respuesta a la pregunta "¿Dónde?" desde el punto de vista de la observancia de la Ley, suena así: en todas partes en el territorio responsable. Solo se puede dar una respuesta más precisa mediante la realización de una auditoría adecuada. Esta es la primera etapa proyecto para la protección de datos personales. Lista llena sus fases clave:
1) Auditoría de la situación actual de la empresa.
2) Diseñar una solución técnica.
3) Elaboración de un proceso de protección de datos personales.
4) Verificación de la solución técnica y el proceso para la protección de datos personales para el cumplimiento de la legislación de la Federación Rusa y los reglamentos de la empresa.
5) Implementación de una solución técnica.
6) Puesta en marcha del proceso de protección de datos personales.
1. Auditoría de la situación actual de la empresa
En primer lugar, consulta con el servicio de personal y otros departamentos que utilicen soportes en papel con datos personales:
- ¿Existen formas de consentimiento para el tratamiento de datos personales? ¿Están completos y firmados?
- ¿Se está observando el “Reglamento sobre las particularidades del tratamiento de datos personales realizado sin el uso de herramientas de automatización” del 15 de septiembre de 2008 N° 687?
Determinar la ubicación geográfica del ISPD:
- ¿En qué países están?
- ¿En base a qué?
- ¿Existen contratos para su uso?
- ¿Qué protección tecnológica se utiliza para evitar la fuga de DP?
- ¿Qué medidas organizativas se toman para proteger la DP?
Idealmente, un sistema de información con PD de rusos debe cumplir con todos los requisitos de la Ley 152-FZ "Sobre datos personales", incluso si se encuentra en el extranjero.
Finalmente, preste atención a la impresionante lista de documentos que se requieren en caso de verificación (esto no es todo, solo la lista principal):
- Notificación de tramitación de PD.
- Documento identificativo del responsable de la organización de la tramitación de DP.
- Relación de empleados autorizados para tramitar DP.
- Un documento que determina la ubicación del almacenamiento de PD.
- Información sobre el tratamiento de categorías especiales y biométricas de datos personales.
- Certificado de transferencia transfronteriza de DP.
- Formularios estándar de documentos con PD.
- Formulario estándar de consentimiento para el tratamiento de datos personales.
- El procedimiento de cesión de DP a terceros.
- El procedimiento de contabilización de las solicitudes de los sujetos de DP.
- Relación de sistemas de información de datos personales (ISPD).
- Documentos que regulan la copia de seguridad de datos en ISPD.
- Lista de herramientas de seguridad de la información utilizadas.
- El procedimiento para la destrucción de PD.
- Matriz de acceso.
- modelo de amenaza
- Bitácora de medios de máquina PD.
- Documento que define los niveles de seguridad de cada ISPD de acuerdo con la PP-1119 de 1 de noviembre de 2012 "Sobre la aprobación de requisitos para la protección de datos personales durante su tratamiento en sistemas de información de datos personales".
2. Diseñar una solución técnica
En el Capítulo 4. "Obligaciones del operador" de la Ley 152-FZ "Sobre Datos Personales" se proporciona una descripción de las medidas organizativas y técnicas que deben tomarse para proteger los PD. La solución técnica deberá basarse en lo dispuesto en el artículo 2 de la Ley 242-FZ de 21 de julio de 2014.
Pero, ¿cómo cumplir con la ley y procesar el PD de los ciudadanos de la Federación Rusa en el territorio de Rusia en el caso de que el ISPD todavía se encuentre en el extranjero? Hay varias opciones aquí:
- Transferencia física del sistema de información y la base de datos al territorio de la Federación Rusa. Si es técnicamente factible, será lo más fácil.
- Dejamos ISPD en el extranjero, pero en Rusia creamos una copia y establecemos la replicación unidireccional de PD de ciudadanos de la Federación Rusa de una copia rusa a una extranjera. Al mismo tiempo, en un sistema extranjero, es necesario excluir la posibilidad de modificar los datos personales de los ciudadanos de la Federación Rusa, todas las ediciones solo a través del ISPD ruso.
- Hay varios ISPD y todos están en el extranjero. La transferencia puede ser costosa o incluso técnicamente inviable (por ejemplo, es imposible separar una parte de la base de datos con datos personales de ciudadanos de la Federación Rusa y trasladarla a Rusia). En este caso, la solución puede ser crear un nuevo ISPD en cualquier plataforma disponible en un servidor en Rusia, desde donde se realizará la replicación unidireccional a cada ISPD extranjero. Observo que la elección de la plataforma depende de la empresa.
Si el PDIS no se ha transferido completa y exclusivamente a Rusia, no olvide indicar en el certificado de transferencia transfronteriza de datos a quién y qué conjunto particular de PD se envía. El propósito de la transferencia de datos personales debe indicarse en el aviso de procesamiento. Nuevamente, este objetivo debe ser legítimo y claramente justificado.
3. Elaboración del proceso de protección de datos personales
El proceso de protección de datos personales debe definir al menos los siguientes puntos:
- Relación de responsables del tratamiento de datos personales en la empresa.
- El procedimiento para otorgar acceso a ISPD. Idealmente, esta es una matriz de acceso con el nivel de acceso para cada puesto o empleado específico (leer/leer-escribir/modificar). O una lista de PD disponibles para cada puesto. Todo depende de la implementación de IP y los requisitos de la empresa.
- Auditoría de acceso a datos personales y análisis de intentos de acceso con violación de niveles de acceso.
- Análisis de los motivos de la inaccesibilidad de los datos personales.
- El procedimiento para dar respuesta a las solicitudes de los sujetos de DP en relación con su DP.
- Revisión del listado de datos personales que se ceden fuera de la empresa.
- Revisión de destinatarios de datos personales, incluso en el extranjero.
- Revisión periódica del modelo de amenazas para DP, así como un cambio en el nivel de protección de datos personales debido a un cambio en el modelo de amenazas.
- Mantener al día los documentos de la empresa (la lista anterior, y se puede complementar, si es necesario).
Aquí puedes detallar cada elemento, pero quiero poner especial atención al nivel de seguridad. Se determina sobre la base de los siguientes documentos (leídos en secuencia):
1. “Metodología para la determinación de las amenazas actuales seguridad datos personales durante su tratamiento en los sistemas de información de datos personales” (FSTEC RF 14 de febrero de 2008).
2. Decreto del Gobierno de la Federación de Rusia No. 1119 del 1 de noviembre de 2012 "Sobre la aprobación de los requisitos para la protección de datos personales durante su procesamiento en los sistemas de información de datos personales".
3. Orden FSTEC N° 21 de fecha 18 de febrero de 2013 “Sobre la aprobación de la composición y contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su tratamiento en los sistemas de información de datos personales”.
Además, no olvide tener en cuenta la necesidad de categorías de gastos como:
- Organización Grupo de proyecto y gestión de proyectos.
- Desarrolladores para cada una de las plataformas ISPD.
- Capacidades del servidor (propias o alquiladas en el centro de datos).
Al final de la segunda y tercera etapa del proyecto, debe tener:
- Cálculo de costo.
- requerimientos de calidad.
- Calendario y cronograma del proyecto.
- Riesgos técnicos y organizativos del proyecto.
4. Verificación de la solución técnica y el proceso para la protección de datos personales para el cumplimiento de la legislación de la Federación Rusa y los reglamentos de la empresa.
Breve en términos de redacción, pero un paso importante, dentro del cual debe asegurarse de que todas las acciones planificadas no contradigan la legislación de la Federación Rusa y las reglas de la empresa (por ejemplo, políticas de seguridad). Si esto no se hace, se colocará una bomba en los cimientos del proyecto, que puede “explotar” en el futuro, destruyendo los beneficios de los resultados obtenidos.
5. Implementación de una solución técnica
Aquí todo es más o menos obvio. Los detalles dependen de la situación inicial y las decisiones. Pero en general, la imagen debería verse así:
- Capacidades del servidor asignadas.
- Los ingenieros de red proporcionaron suficiente rendimiento canales entre el receptor y el transmisor PD.
- Los desarrolladores han establecido la replicación entre las bases de datos ISPD.
- Los administradores han impedido cambios en ISPD ubicados en el extranjero.
El responsable de la protección de PD o el “titular del proceso” puede ser la misma persona o diferente. El mismo hecho de que el “propietario del proceso” debe preparar toda la documentación y organizar todo el proceso de protección de DP. Para ello, se debe notificar a todos los interesados, se debe instruir a los empleados y el servicio de TI debe facilitar la implementación de medidas técnicas de protección de datos.
6. Puesta en marcha del proceso de protección de datos personales
Este es un paso importante y, en cierto sentido, el objetivo de todo el proyecto es controlar el flujo. Además de las soluciones técnicas y la documentación reglamentaria, el papel del propietario del proceso es fundamental aquí. Debe realizar un seguimiento de los cambios no solo en la legislación, sino también en la infraestructura de TI. Esto significa que se requieren habilidades y competencias apropiadas.
Además, lo cual es crítico en las condiciones reales de trabajo, el titular del proceso de protección de DP necesita de todos los poderes y apoyo administrativo necesarios por parte de la dirección de la empresa. De lo contrario, será un eterno "mendigo", al que nadie le presta atención, y después de un tiempo se puede reiniciar el proyecto, comenzando nuevamente desde la auditoría.
Matices
Algunos puntos que son fáciles de pasar por alto:
- Si trabaja con un centro de datos, necesita un contrato para la prestación de servicios de capacidad del servidor, según el cual su empresa almacena datos y los controla legalmente.
- Necesita licencias para el software que se utiliza para recopilar, almacenar y procesar PD, o contratos de arrendamiento para este.
- Si el ISPD está ubicado en el extranjero, se necesita un acuerdo con la empresa propietaria del sistema allí, para garantizar el cumplimiento de la legislación de la Federación Rusa en relación con los datos personales de los rusos.
- Si los datos personales se transfieren a un contratista de su empresa (por ejemplo, un socio de subcontratación de TI), en caso de que se produzca una fuga de datos personales del subcontratista, usted será responsable de las reclamaciones. A su vez, su empresa puede hacer reclamaciones al subcontratista. Quizá este factor pueda afectar al propio hecho de trasladar el trabajo a la subcontratación.
Y una vez más, lo más importante es que no se puede tomar y asegurar la protección de los datos personales. Este es un proceso. Un proceso iterativo continuo que dependerá en gran medida de nuevos cambios en la legislación, así como del formato y el rigor de la aplicación de estas normas en la práctica.
Probablemente, todos los que alguna vez tomaron un préstamo o son HR-th se han encontrado con una situación así cuando los representantes bancarios llaman al empleador y solicitan información sobre un empleado de la organización.
Al mismo tiempo, con mayor frecuencia en la práctica, el empleador no cumple con los requisitos de la ley federal 152 sobre la protección de datos personales y divulga información sobre el empleado por teléfono. El empleador no puede verificar el destinatario de esta información y, a menudo, el empleado no tiene el consentimiento por escrito del empleado para tal uso de sus datos.
¿Quién en esta situación infringe más la ley: el que pregunta o el que responde?
En esta situación, todo depende de qué documentos del titular de los datos personales tengan uno y otro. Hay una situación en la que ni el que pregunta ni el que responde la ley viola la ley, pero sucede que ambos violan.
Lidiemos con esto.
Entonces somos un banco. Una persona acudió a nosotros y, con el fin de obtener un préstamo, proporcionó todo el paquete de documentos necesarios, incluido un certificado de ingresos, certificado por las firmas de las personas responsables del empleador y un sello, así como otros originales necesarios. y copias de documentos.
Pero, a pesar del certificado de ingresos original proporcionado, queremos verificar si el solicitante de un préstamo está trabajando en esta organización y si los ingresos reales se indican en el certificado proporcionado. Para ser justos, se debe decir que recientemente, los bancos aún solicitan con mayor frecuencia solo información sobre si una persona determinada trabaja en una organización específica. Además, nosotros, como banco, no enviamos esta solicitud por escrito, con nuestros sellos e indicando nuestra información de identificación, y no indicamos por escrito el propósito de nuestra solicitud, sino que para agilizar el trámite, simplemente llamamos al número de teléfono indicado en los documentos proporcionados por el cliente potencial del banco.
Lo que siempre me ha sorprendido en este procedimiento es cierta falta de lógica en las etapas de confirmación de la confiabilidad de los datos proporcionados.
Es decir, un documento con sellos y firmas no nos conviene del todo, pero por alguna razón nos conviene más la respuesta por teléfono indicada por el empleado.
¿Cuál es el número de teléfono del empleado? ¿Este teléfono realmente pertenece a esta organización? ¿Quién al otro lado del cable me responderá: CEO? Contador jefe? ¿Gerente de Recursos Humanos? ¿Cómo voy a identificar que estos son los funcionarios? ¿O tal vez una secretaria que ha estado trabajando aquí durante una semana y aún no conoce a nadie? ¿O un limpiador? ¿O un guardia? ¿O tal vez, en principio, alguien a quien el propio empleado le pidió que respondiera a la solicitud del banco de manera adecuada? Y si el teléfono especificado por el empleado no responde, ¿qué significará esto para el banco? ¿Comprobará si una persona se equivocó en un dígito? ¿Puede ser un problema con la compañía telefónica? ¿Quizás la empresa ya no usa este teléfono y el empleado no lo sabía?
Pero nuestra tarea es averiguar si las acciones de las partes: el banco y el empleador en este caso son legales en principio.
Si el banco tiene el consentimiento por escrito del sujeto para verificar su información y obtener información de su empleador, entonces las acciones del banco son legales.
¿Qué pasa con un empleador?
Un empleador puede enviar legalmente información sobre un empleado a un banco en los siguientes casos:
2. El empleado autorizado a proporcionar sus datos por ESCRITO a una persona jurídica específica. Pero en este caso, el empleador está obligado a asegurarse de que la solicitud provino del banco al que el empleado permitió proporcionar información (es decir, una respuesta solo a una solicitud por escrito).
¿Qué sucede si el empleador no tiene dicho consentimiento?
El empleador no tiene derecho a proporcionar información sobre el empleado. ¿Entonces el empleador cumplirá con sus obligaciones bajo la ley de protección de datos personales? Sí. ¿Se le otorgará un préstamo al empleado si el empleador se niega a proporcionar información sobre el empleado? Desconocido.
Además, si la organización es grande y tiene una extensa red de divisiones separadas, no siempre es posible obtener rápidamente dicho consentimiento. Especialmente en el caso de que el empleado decidiera espontáneamente recibir un préstamo. Y el mismo día o el siguiente, los empleados del banco llaman al empleador para verificar la veracidad de la información proporcionada.
Además, el consentimiento en sí debe redactarse por escrito, no es suficiente que el empleado llame, por ejemplo, al departamento de personal y solicite responder verbalmente a la solicitud de un banco en particular.
Después de todo, todo el mundo sabe muy bien que cuando un empleador proporciona información sobre el trabajo de un empleado en particular al banco a través de una solicitud telefónica, lo hace para proteger los intereses del empleado en primer lugar, para que no sea negó un préstamo. Pero automáticamente en este caso viola la ley sobre protección de datos personales, si el empleador no se preocupó de antemano por obtener el consentimiento por escrito del propio empleado.
Es posible que si los bancos detienen la práctica de los cheques telefónicos ilegales, habrá menos violaciones de este tipo por parte del empleador.
Recientemente, se emitió una carta del Banco de Rusia con fecha 14 de marzo de 2014 N 42-T "Sobre el fortalecimiento del control sobre los riesgos que surgen de las instituciones de crédito cuando se usa información que contiene datos personales de los ciudadanos", que recomienda a las instituciones de crédito que refuercen el control sobre los riesgos que surgen del procesamiento (que, por cierto, la recopilación) de información que contiene datos personales, así como la actualización de documentos internos que definen: la responsabilidad personal de los empleados de las instituciones de crédito que participan en el procesamiento directo de datos personales (incluida la recopilación) para mantener y garantizar la confidencialidad de información generada en el proceso de atención al cliente.
Al mismo tiempo, en la carta anterior se indicó expresamente que el Banco de Rusia, al ejercer la supervisión de las actividades de los bancos, tendría en cuenta los casos de deficiencias identificadas en la implementación de la legislación sobre protección de datos personales y los consideraría como factor negativo a la hora de evaluar la calidad de la gestión de una entidad de crédito, incluida la evaluación de la organización del sistema de control interno.
Queda esperar que los bancos finalmente también comiencen a cumplir con la ley de protección de datos personales, sin llevar al empleador a la violación forzosa de la ley.
Dzhabrail Matiev, jefe de protección de datos personales de la parte comercial de la empresaReignVox
El trabajo constante con grandes conjuntos de datos de clientes requiere un banco de cualquier formato para trabajar constantemente en el campo de la protección de estos datos.
Es por ello que el tema de la seguridad de la información, y con ella el tema de la confianza, cobra especial relevancia en el sector financiero. Además, el requisito de proteger cualquier dato personal incluido en la estructura del sistema de información de una empresa financiera moderna también está legalmente justificado: la ley federal No. 152 "Sobre datos personales" claramente obliga a cada empresa que procesa estos datos a protegerlos dentro de estrictos límites. términos definidos. Tanto los sistemas de información nuevos como los existentes que procesan datos personales deben ajustarse a los requisitos de la ley antes del 1 de enero de 2011. Dado un marco de tiempo tan estrictamente definido, las organizaciones que procesan dicha información tienen cada vez menos tiempo para cumplir con los requisitos de la ley.
¿Cómo empezar a trabajar en la protección de datos personales? ¿Cuáles son los tiempos de respuesta esperados? ¿Quién es el responsable de realizar el trabajo? ¿Cuál es el costo promedio del proyecto y cómo minimizar los costos? Todos estos temas son relevantes hoy en día para cualquier empresa que haga negocios en el sector financiero. Las respuestas de los expertos nos permiten brindar a ReignVox una amplia experiencia en el campo de la protección de datos personales en estructuras financieras.
La vida en modo cuenta regresiva
La Ley Federal N° 152 "Sobre Datos Personales" entra en plena vigencia el 1 de enero de 2011, más de seis meses antes de la fecha límite establecida por los legisladores. Pero no te dejes engañar por la idea de demasiado tiempo.
En primer lugar, la implementación de un proyecto destinado a cumplir con los requisitos para la protección de datos personales requiere de cuatro a seis meses, dependiendo de su complejidad. Pero esta cifra no es definitiva - los plazos pueden aumentar hasta seis u ocho meses debido al tiempo que el banco dedicará a elegir un integrador digno para el desarrollo y mantenimiento del proyecto. Llevar a cabo este tipo de trabajo por sí solo está cargado para el banco de una pérdida de objetividad en la etapa de examen y análisis, los medios de protección existentes en él, así como la necesidad de encontrar recursos laborales separados para este trabajo. En este caso, también se debe tener en cuenta factores tales como la disponibilidad de especialistas capacitados en la materia de protección de datos personales, el respaldo normativo y metodológico necesario, y la gratuidad de los recursos para la propia tarea de proteger los datos personales. La práctica demuestra que, por lo general, son los integradores de terceros quienes cumplen todos estos requisitos en un complejo.
En segundo lugar, volviendo al tema de los plazos fijados por la Ley “Sobre Datos Personales” para los operadores de datos (y el hecho de que los bancos sean solo tales operadores ya no es una cuestión en principio), sin importar lo que digan sobre su “transferencia” , ya se están realizando los primeros controles de los reguladores. La conclusión es bastante lógica: la relevancia del problema no sólo se ha mantenido, sino que se ha multiplicado y su solución se convierte en una necesidad urgente.
“Y el ataúd acaba de abrirse…”
Recientemente, ha habido discusiones activas en torno a la tarea de adecuar ISPD a las disposiciones de la Ley "sobre datos personales", cuyo resultado se reduce principalmente a una cosa: la solución de esta tarea es muy problemática debido a la combinación de sus características organizativas y jurídicas. Esta conclusión no es del todo correcta: la práctica de aplicar los requisitos para la protección de datos personales, que apareció durante el primer trimestre de 2010 (incluso en el sector bancario), confirma la claridad e interpretabilidad de los requisitos para ISPD. Su formulación, implementación y confirmación documental de estos últimos con un mínimo riesgo de errores no es tan difícil de implementar como importante desde el punto de vista de la seguridad del negocio bancario. Aún más simplifica la tarea es la capacidad de confiarla a un tercero integrador, cuyos especialistas completarán rápida y profesionalmente el proyecto de protección de datos personales, teniendo en cuenta las características individuales del negocio bancario.
Así, la primera prioridad es la elección de una empresa integradora, a la que se le encomendará el proyecto.
¿"Estándar" = "Exclusivo"?
Tal signo igual entre estos conceptos mutuamente excluyentes tiene derecho a existir. Esta declaración está respaldada por la experiencia práctica de proyectos exitosos de protección de datos personales ya completados por ReignVox.
Por un lado, cada uno de estos proyectos incluye un número estándar de etapas: la etapa de estudio de los sistemas de información de datos personales, la etapa de diseño de un sistema de protección de datos personales, la etapa de implementación del SPPD, la etapa de evaluación del cumplimiento de ISPD con la requisitos de la ley, y la etapa de soporte del sistema creado. Además, la evaluación del cumplimiento de ISPD, como etapa, es opcional y se realiza a criterio de la empresa cliente. Así como la etapa de soporte del sistema creado.
La tipicidad suele terminar en la primera etapa (la etapa de estudio de los sistemas de información), ya que es esta etapa la que le permite identificar y describir aquellos requisitos que se presentarán en el futuro a los sistemas. Y estos parámetros ya son individuales y enfocados a cada cliente específico, optimizados de acuerdo con sus necesidades.
Esta encuesta analiza recursos informativos, soluciones estándar utilizadas en la construcción de infraestructura de TI, flujos de información datos personales, sistemas disponibles y medios de protección de la información.
En la misma etapa, se desarrolla un modelo de amenazas y un violador de la seguridad de PD, se evalúa la necesidad de garantizar la seguridad de PD en ISPD utilizando medios criptográficos.
El esquema clásico para realizar la segunda etapa incluye una auditoría del marco regulatorio y una evaluación de su cumplimiento con los requisitos de los reguladores. Su resultado es la elaboración de los documentos internos faltantes, así como la elaboración de términos de referencia para el desarrollo de SZPDn. En la misma etapa, el integrador procede al desarrollo directo de un conjunto de medidas para proteger la información.
Al final de esta etapa, el banco ya es bastante capaz de pasar con éxito la prueba de uno de los reguladores.
La esencia de la tercera etapa es implementar sistemas y configurar las herramientas de protección existentes. Después de las pruebas, si es necesario, se finaliza el complejo de hardware y software.
En cada una de las etapas descritas, la empresa ReignVox, como integradora, enfrenta varias tareas adicionales debido a las especificidades del negocio que maneja la empresa cliente, su tamaño, infraestructura, actividad de procesos de negocios y muchos otros puntos. Y cada vez se forma un nuevo concepto adaptado individualmente del proyecto de protección de datos personales a partir de una multitud de tales componentes.
"... y las ovejas están a salvo"
Minimización de costos, optimización del presupuesto, ahorro: cualquiera que sea la frase que elija, la esencia sigue siendo la misma: un enfoque racional para el uso de los recursos financieros: es él quien es el segundo pilar del éxito de una estructura financiera (después de la confianza, por supuesto ). Y por lo tanto, el deseo de reducir los costos tanto como sea posible sin comprometer la seguridad de la información es natural y bastante alcanzable.
El costo de un proyecto estándar promedio para crear un sistema de protección de datos personales para una estructura bancaria es de aproximadamente 1,5 millones de rublos. Al calcular esta cantidad, también se tienen en cuenta una serie de principios, según los cuales es posible reducir el presupuesto para la creación de un sistema de protección de datos personales.
En primer lugar, nos esforzamos por preservar la infraestructura de TI existente en la organización tanto como sea posible. Suelen hablar de dos escenarios polares para la protección de datos personales. La primera es una alteración radical de todas las ISPD, y la segunda es formal, consistente únicamente en la emisión de documentos normativos internos, sin realizar cambios en las ISPD. Consideramos óptima la tercera opción, que consiste precisamente en mantener la actual infraestructura informática del banco, acompañada de una modificación de algunos de sus elementos, añadiendo los nuevos necesarios para asegurar el cumplimiento de la ley.
En este caso, estamos hablando del primer principio, basado en uso máximo de las herramientas de seguridad de la información existentes en el diseño de sistemas de seguridad de la información. Las herramientas de protección en cualquier empresa se utilizan independientemente de la necesidad de proteger los datos personales, estos son los sistemas de protección antivirus y las herramientas de control de acceso integradas del sistema operativo, y cortafuegos y muchos otros medios. Por lo tanto, el número máximo de requisitos se cierra con los medios de protección existentes. Y solo en el caso de que algunos requisitos no se cumplan con los medios de protección actuales, es necesario comprar e implementar otros adicionales.
El segundo principio es el principio estructuración lógica económica de los sistemas de información información personal. Siguiendo este principio, como parte de la implementación de un proyecto de protección de datos personales en un banco, se vuelve económicamente factible combinar varios sistemas ubicados en la misma sala en uno, combinado con una degradación de segmentos no críticos. Así, se crea el "Centro de Procesamiento de Datos" ISPD, en el que se brinda protección a lo largo del perímetro. Esto le permite minimizar significativamente el costo de separar flujos dentro de diferentes sistemas.
El tercer principio proteger solo contra las amenazas actuales. Al mismo tiempo, la actualización de las amenazas se describe en el mandato sistemas especiales documento llamado "Modelo de amenazas". Al actualizar las amenazas, se descartan aquellas cuya probabilidad es baja y el daño durante la implementación es pequeño.
Sujeto al uso de métodos ya probados, la tarea de adecuar el ISPD de cualquier banco a los requisitos de la ley antes del 1 de enero de 2011 es totalmente factible. Para obtener el máximo éxito en la implementación de tales tecnologías en el sector bancario, todavía es necesario recordar un enfoque integrado para trabajar en un proyecto. En este caso, nos referimos a la organización del trabajo conjunto de especialistas de varios departamentos, especialistas en tecnologías de la información, seguridad de la información y gestión de proyectos, financieros, abogados, que garanticen el equilibrio necesario del enfoque general para proteger los datos críticos dentro de la estructura financiera.
Referencia: ReignVox es una empresa rusa especializada en proyectos y desarrollos innovadores en el campo de la tecnología de la información y en garantizar la seguridad de su información.
El objeto del establecimiento de la empresa es prestar servicios para garantizar la protección de datos personales de acuerdo con los requisitos de la Ley "Sobre Datos Personales" FZ-152 del 27 de julio de 2006 y construir sistemas integrados de seguridad de la información.
ReignVox es miembro de la organización pública interregional "Asociación de Protección de la Información" (IPO "AZI"), miembro asociado de la "Unión de Infocomunicación" (Unión de Infocomunicación), así como miembro de la Asociación de Bancos Regionales de Rusia.
ReignVox tiene una experiencia significativa en la implementación exitosa de proyectos de protección de datos personales en grandes bancos comerciales. Entre sus clientes se encuentran NOTA-Bank, Vnesheconombank, CentroCredit, Tempbank, Alta-Bank, etc.
Estimar: