BejáratModern termékek a bank személyes adatainak védelmére. A JSC Alfa Bank személyes adatvédelmi rendszerének fejlesztése
POZÍCIÓ
a személyes adatok védelméről
Ügyfelek (előfizetők)
az Ortes-Finance LLC-nél
Kifejezések és meghatározások
1.1. Személyes adat– az ilyen információk alapján azonosított vagy meghatározott egyénre (a személyes adatok alanyára) vonatkozó bármely információ, beleértve a vezetéknevet, keresztnevet, családnevet, évet, hónapot, születési időt és helyet, címet, e-mail címet , telefonszám, család , szociális, vagyoni helyzet, végzettség, szakma, jövedelem, egyéb információk.
1.2. Személyes adatok feldolgozása- személyes adatokkal végzett műveletek (műveletek), ideértve a gyűjtést, rendszerezést, felhalmozást, tárolást, pontosítást (frissítést, módosítást), felhasználást, terjesztést (ideértve az átvitelt is), személytelenítést, blokkolást.
1.3. A személyes adatok bizalmas kezelése— a személyes adatokhoz hozzáférő kijelölt felelős személy számára kötelező előírás, hogy megakadályozza azok terjesztését az érintett hozzájárulása vagy egyéb jogalap nélkül.
1.4. Személyes adatok terjesztése- személyes adatok meghatározott körnek történő továbbítására (személyes adatok továbbítása) vagy korlátlan számú személy személyes adatainak megismerésére irányuló cselekmények, beleértve a személyes adatok médiában való nyilvánosságra hozatalát, információs és távközlési hálózatokban való elhelyezését vagy a személyes adatokhoz való hozzáférés biztosítása bármely vagy bármilyen más módon.
1.5. Személyes adatok felhasználása- a személyes adatokkal végzett cselekmények (műveletek) olyan döntések meghozatala vagy egyéb cselekmények végrehajtása céljából, amelyek a személyes adatok alanyával kapcsolatban jogkövetkezményeket vonnak maguk után, vagy egyéb módon érintik jogaikat és szabadságaikat, vagy más személyek jogait és szabadságait.
1.6. Személyes adatok blokkolása- a személyes adatok gyűjtésének, rendszerezésének, felhalmozásának, felhasználásának, terjesztésének ideiglenes felfüggesztése, ideértve azok továbbítását is.
1.7. A személyes adatok megsemmisítése- olyan tevékenységek, amelyek eredményeként a személyes adatok információs rendszerében nem lehet visszaállítani a személyes adatok tartalmát, vagy amelyek eredményeként a személyes adatok anyagi hordozói megsemmisülnek.
1.8. Személyes adatok személytelenítése- olyan tevékenységek, amelyek használata nélkül lehetetlen további információ meghatározza a személyes adatok egy adott alany tulajdonjogát.
1.9. Nyilvános személyes adatok- személyes adatok, korlátlan számú személy hozzáférése, amelyet az alany beleegyezésével engedélyeznek, vagy amelyekre a szövetségi törvények értelmében nem vonatkozik a titoktartási kötelezettség.
1.10. Információ- információk (üzenetek, adatok) megjelenésük formájától függetlenül.
1.11. Ügyfél (a személyes adatok alanya)- az Ortes-Finance LLC (a továbbiakban: Szervezet) szolgáltatásainak egyéni fogyasztója.
1.12. Operátor- állami szerv, önkormányzati szerv, jogi személy vagy magánszemély önállóan vagy más személlyel közösen a személyes adatok kezelését szervezi és (vagy) végzi, valamint meghatározza a személyes adatok kezelésének célját, a személyes adatok összetételét. kezelendő adatok, személyes adatokkal végzett műveletek (műveletek). Jelen Szabályzat keretében Üzemeltető az "Ortes-Finance" Korlátolt Felelősségű Társaság;
2.1. A személyes adatok kezeléséről szóló jelen Szabályzat (a továbbiakban: Rendelet) az Alkotmánynak megfelelően került kidolgozásra. Orosz Föderáció, az Orosz Föderáció Polgári Törvénykönyve, az „Információról, az információs technológiákról és az információvédelemről” szóló szövetségi törvény, a 152-FZ „A személyes adatokról” szóló szövetségi törvény, egyéb szövetségi törvények.
2.2. A Szabályzat kidolgozásának célja, hogy az üzemeltető felhatalmazása alapján meghatározza a Szervezet minden olyan Ügyfelének személyes adatainak kezelését és védelmét, akiknek az adatait feldolgozás alá vonják; a személy és az állampolgár jogai és szabadságai védelmének biztosítása személyes adatainak kezelése során, beleértve a magánélethez, a személyes és családi titkokhoz való jogok védelmét, valamint a személyes adatokhoz hozzáféréssel rendelkező tisztviselők felelősségének megállapítását a személyes adatok kezelésére és védelmére irányadó szabályok követelményeinek elmulasztása.
2.3. A Szabályzat hatályba lépésének és módosításának rendje.
2.3.1. Ez a szabályzat a Szervezet főigazgatója általi jóváhagyásának pillanatától lép hatályba, és határozatlan ideig érvényes, egészen addig, amíg új szabályzat lép fel.
2.3.2. A Szabályzat módosítása a Szervezet főigazgatójának rendelete alapján történik.
3. A személyes adatok összetétele.
3.1. Az Ügyfelek személyes adatainak összetétele a következőket tartalmazza:
3.1.1. Teljes név.
3.1.2. Születési év.
3.1.3. Születés hónapja.
3.1.4. Születési dátum.
3.1.5. Születési hely.
3.1.6. Útlevél adatok
3.1.7. Email cím.
3.1.8. Telefonszám (otthon, mobil).
3.2. A Szervezet az alábbi, Ügyfelekre vonatkozó adatokat tartalmazó dokumentumokat és információkat hozhat létre (létrehozhat, gyűjthet) és tárolhat, ideértve az elektronikus formában is:
3.2.1. Pályázat magánszemély csatlakozási lehetőségével kapcsolatos felmérésre.
3.2.2. Megállapodás (nyilvános ajánlat).
3.2.3. A szerződéshez való csatlakozás megerősítése.
3.2.5. A személyazonosító okmányok, valamint az Ügyfél által rendelkezésre bocsátott egyéb, személyes adatokat tartalmazó okmányok másolatai.
3.2.6. Megrendelések (áruk/szolgáltatások) kifizetésére vonatkozó adatok, amelyek az Ügyfél fizetési és egyéb adatait tartalmazzák.
4. A személyes adatok kezelésének célja.
4.1. A személyes adatok kezelésének célja a cél elérését célzó cselekvések sorozatának végrehajtása, beleértve:
4.1.1. Tanácsadási és információs szolgáltatások nyújtása.
4.1.2. Egyéb, törvény által nem tiltott tranzakciók, valamint a fenti tranzakciók végrehajtásához szükséges személyes adatokkal végzett műveletek sorozata.
4.1.3. Az Orosz Föderáció jogszabályai követelményeinek való megfelelés érdekében.
4.2. A személyes adatok kezelésének megszüntetésének feltétele a Szervezet felszámolása, valamint az Ügyfél ennek megfelelő igénye.
5. Személyes adatok gyűjtése, feldolgozása és védelme.
5.1. A személyes adatok megszerzésének (gyűjtésének) eljárása:
5.1.1. Az Ügyfél minden személyes adatát személyesen, írásos hozzájárulásával kell megszerezni, kivéve a jelen Szabályzat 5.1.4. és 5.1.6. pontjában meghatározott eseteket, valamint az Orosz Föderáció törvényei által előírt egyéb eseteket.
5.1.2. Az Ügyfél személyes adatai felhasználásához adott hozzájárulását a Szervezet papír és/vagy elektronikus formában tárolja.
5.1.3. Az érintett hozzájárulása a személyes adatok kezeléséhez a szerződés teljes időtartamára érvényes, valamint 5 éven belül az Ügyfél és a Szervezet közötti szerződéses jogviszony megszűnésének napjától. A megadott időtartam lejártát követően a hozzájárulás minden további öt évre meghosszabbítottnak tekintendő, ha a visszavonásáról nincs információ.
5.1.4. Amennyiben az Ügyfél személyes adatai csak harmadik féltől szerezhetők be, erről az Ügyfelet előzetesen értesíteni kell, és tőle írásos hozzájárulást kell kérni. Az Ügyfél személyes adatait közlő harmadik félnek rendelkeznie kell az érintett hozzájárulásával a személyes adatok Szervezet részére történő továbbításához. A Szervezet köteles az Ügyfél személyes adatait továbbító harmadik féltől visszaigazolást szerezni arról, hogy személyes adatot az ő hozzájárulásával továbbít. A Szervezet harmadik személyekkel való kapcsolattartása során köteles megállapodást kötni velük az Ügyfelek személyes adataival kapcsolatos információk bizalmas kezeléséről.
5.1.5. A Szervezet köteles tájékoztatni az Ügyfelet a személyes adatok megszerzésének céljairól, feltételezett forrásairól és módjairól, valamint a megszerzendő személyes adatok természetéről, valamint annak következményeiről, ha az Ügyfél megtagadja a személyes adatok átvételéhez való írásbeli hozzájárulását. őket.
5.1.6. Az Ügyfelek személyes adatainak hozzájárulása nélküli kezelése az alábbi esetekben történik:
5.1.6.1. A személyes adatok nyilvánosak.
5.1.6.2. A felhatalmazott állami szervek kérésére a szövetségi törvényben előírt esetekben.
5.1.6.3. A személyes adatok feldolgozása szövetségi törvény alapján történik, amely meghatározza annak célját, a személyes adatok megszerzésének feltételeit és azon alanyok körét, akiknek személyes adatait feldolgozzák, valamint meghatározza az üzemeltető jogosultságát.
5.1.6.4. A személyes adatok kezelése olyan szerződés megkötése és végrehajtása céljából történik, amelynek egyik fele a személyes adatok alanya - az Ügyfél.
5.1.6.5. A személyes adatok feldolgozása statisztikai célokból történik, a személyes adatok kötelező személytelenítésének függvényében.
5.1.6.6. A törvényben meghatározott egyéb esetekben.
5.1.7. A Szervezet nem jogosult az Ügyfél fajára, nemzetiségére, politikai nézeteire, vallási vagy filozófiai meggyőződésére, egészségi állapotára, intim életére vonatkozó személyes adatait megkapni és feldolgozni.
5.2. A személyes adatok kezelésének eljárása:
5.2.1. A személyes adatok alanya megbízható információt nyújt magáról a Szervezetnek.
5.2.2. Az Ügyfelek személyes adatainak kezeléséhez csak a Szervezet azon alkalmazottai férhetnek hozzá, akik jogosultak az Ügyfél személyes adataival dolgozni, és aláírták az Ügyfél személyes adataira vonatkozó titoktartási megállapodást.
5.2.3. Az Ügyfél személyes adataihoz a Szervezetben az alábbi személyek jogosultak hozzáférni:
a szervezet főigazgatója;
Pénzügyi elszámolásokért felelős munkatársak (vezető, könyvelő).
Ügyfélkapcsolati Osztály munkatársai (értékesítési osztályvezető, menedzser).
IT alkalmazottak (műszaki igazgató, rendszergazda).
Az ügyfél, mint a személyes adatok alanya.
5.2.3.1. A Szervezet azon dolgozóinak névsorát, akik az Ügyfelek személyes adataihoz hozzáférnek, a Szervezet vezérigazgatója rendelete határozza meg.
5.2.4. Az Ügyfél személyes adatainak feldolgozása kizárólag a rendeletben meghatározott célokra, valamint az Orosz Föderáció törvényeinek és egyéb szabályozási jogi aktusainak betartásával történhet.
5.2.5. A kezelt személyes adatok körének és tartalmának meghatározásakor a Szervezet az Orosz Föderáció alkotmánya, a személyes adatokról szóló törvény és más szövetségi törvények alapján történik.
5.3. Személyes adatok védelme:
5.3.1. Az Ügyfél személyes adatainak védelme alatt olyan (szervezeti, adminisztratív, műszaki, jogi) intézkedések összességét értjük, amelyek célja az adatokhoz való jogosulatlan vagy véletlen hozzáférés megakadályozása, az érintettek személyes adatainak megsemmisítése, módosítása, zárolása, másolása, terjesztése, valamint mint más jogellenes cselekmények.
5.3.2. Az Ügyfél személyes adatainak védelme a Szervezet költségén történik, az Orosz Föderáció szövetségi törvényében előírt módon.
5.3.3. Az Ügyfelek személyes adatainak védelme érdekében a Szervezet minden szükséges szervezési, adminisztratív, jogi és technikai intézkedést megtesz, beleértve:
Vírusvédelem.
Biztonsági elemzés.
Behatolás észlelése és megelőzése.
Hozzáférés-szabályozás.
Nyilvántartás és könyvelés.
Az integritás biztosítása.
A személyes adatok védelmét szabályozó helyi szabályozási és módszertani aktusok megszervezése.
5.3.4. Az Ügyfelek személyes adatai védelmének általános szervezését a Szervezet vezérigazgatója látja el.
5.3.5. Az Ügyfél személyes adataihoz a Szervezet azon dolgozói férhetnek hozzá, akiknek munkaköri feladataik ellátása során személyes adatokra van szükségük.
5.3.6. Az Ügyfelek személyes adatainak átvételével, kezelésével és védelmével foglalkozó valamennyi alkalmazott köteles aláírni az Ügyfelek személyes adataira vonatkozó titoktartási megállapodást.
5.3.7. Az Ügyfél személyes adataihoz való hozzáférésre vonatkozó eljárás a következőket tartalmazza:
A munkavállaló aláírás ellenében történő megismertetése jelen szabályzattal. Amennyiben az Ügyfél személyes adatainak kezelését és védelmét egyéb szabályozási aktusok (parancsok, utasítások, utasítások stb.) szabályozzák, ezeket az aktusokat is aláírás ellenében felülvizsgálják.
Írásbeli kötelezettség megkövetelése a munkavállalótól (kivéve a vezérigazgató) az Ügyfelek személyes adatainak titkosságának megőrzésére, valamint az adatkezelésre vonatkozó szabályok betartására a Szervezet belső helyi jogszabályai szerint, amelyek szabályozzák az Ügyfelek személyes adatait. bizalmas információk biztonsága.
5.3.8. A Szervezet azon alkalmazottja, aki munkaköri feladatainak ellátásával összefüggésben hozzáfér az Ügyfelek személyes adataihoz:
Gondoskodik az Ügyfél személyes adatait tartalmazó információk tárolásáról, kizárva azokhoz harmadik személyek hozzáférését.
Munkavállaló hiányában a munkahelyén ne legyenek az Ügyfél személyes adatait tartalmazó dokumentumok.
Nyaraláskor, üzleti út során, valamint a munkavállaló munkahelyén való tartós távolléte esetén köteles az Ügyfél személyes adatait tartalmazó dokumentumokat és egyéb adathordozókat olyan személynek átadni, aki a helyi törvény értelmében Vállalat (megrendelés, rendelés) lesz megbízva munkaköri feladatai végrehajtásával.
Amennyiben ilyen személy nem kerül kijelölésre, úgy az Ügyfelek személyes adatait tartalmazó dokumentumokat és egyéb adathordozókat a Szervezet vezérigazgatójának utasítására egy másik alkalmazotthoz továbbítják, aki hozzáfér az Ügyfelek személyes adataihoz.
Az Ügyfelek személyes adataihoz hozzáféréssel rendelkező munkavállaló elbocsátásakor az Ügyfelek személyes adatait tartalmazó dokumentumokat és egyéb adathordozókat a főigazgató utasítására átadják egy másik alkalmazottnak, aki hozzáfér az Ügyfelek személyes adataihoz. .
A rábízott feladat teljesítése érdekében a vezérigazgató pozitív állásfoglalását tartalmazó feljegyzés alapján az Ügyfél személyes adataihoz más munkavállaló számára is hozzáférés biztosítható. Tilos az Ügyfél személyes adataihoz a Szervezet más, megfelelően formális hozzáféréssel nem rendelkező munkatársa hozzáférni.
5.3.9. Az emberi erőforrás menedzser a következőket nyújtja:
A jelen Szabályzat dolgozói aláírás ellenében történő megismertetése.
Írásbeli kötelezettség követelése a munkavállalóktól az Ügyfél személyes adatainak titokban tartására (titkossági megállapodás) és az adatkezelésre vonatkozó szabályok betartására.
Általános ellenőrzése annak, hogy a munkavállalók betartsák-e az Ügyfél személyes adatainak védelmét szolgáló intézkedéseket.
5.3.10. A Szervezet elektronikus adatbázisaiban tárolt Ügyfelek személyes adatainak védelmét a jogosulatlan hozzáféréstől, az információk elferdítésétől és megsemmisítésétől, valamint az egyéb jogellenes cselekményektől a Rendszergazda gondoskodik.
5.4. Személyes adatok tárolása:
5.4.1. Az Ügyfelek személyes adatait papíron széfekben tároljuk.
5.4.2. Az Ügyfelek személyes adatait elektronikusan a Szervezet helyi számítógépes hálózatában, elektronikus mappákban és fájlokban tároljuk. személyi számítógépek Főigazgató és az Ügyfelek személyes adatainak kezelésére jogosult munkatársak.
5.4.3. Az Ügyfelek személyes adatait tartalmazó dokumentumokat zárható szekrényekben (széfekben) tároljuk, amelyek védelmet nyújtanak az illetéktelen hozzáférés ellen. A munkanap végén az Ügyfelek személyes adatait tartalmazó dokumentumokat szekrényekben (széfekben) helyezzük el, amelyek védelmet nyújtanak az illetéktelen hozzáférés ellen.
5.4.4. Az Ügyfelek személyes adatait tartalmazó elektronikus adatbázisokhoz való hozzáférés védelmét:
Licenccel rendelkező vírus- és hacker-ellenes programok használata, amelyek nem teszik lehetővé a Szervezet helyi hálózatához való jogosulatlan hozzáférést.
A hozzáférési jogok differenciálása használatával fiókot.
Jelszavak kétlépcsős rendszere: a helyi számítógépes hálózat és az adatbázisok szintjén. A jelszavakat a Szervezet Rendszergazdája állítja be, és egyénileg közli az Ügyfelek személyes adataihoz hozzáféréssel rendelkező alkalmazottakkal.
5.4.4.1. Az Ügyfelek személyes adatait tartalmazó PC-hez való jogosulatlan hozzáférést a Rendszergazda által beállított jelszó blokkolja, amely nem tartozik nyilvánosságra.
5.4.4.2. Az Ügyfelek személyes adatait tartalmazó minden elektronikus mappa és fájl jelszóval védett, amelyet a Szervezet PC-ért felelős munkatársa állít be és jelenti a Rendszergazdának.
5.4.4.3. A jelszavakat a rendszergazda legalább 3 havonta módosítja.
5.4.5. Az Ügyfél személyes adatainak másolása és kivonat készítése kizárólag hivatalos célból engedélyezett, a Szervezet vezérigazgatójának írásos engedélyével.
5.4.6. Más szervezetektől, intézményektől az Ügyfelek személyes adataival kapcsolatos írásbeli megkeresésekre – jogszabály eltérő rendelkezése hiányában – csak az Ügyfél írásbeli hozzájárulásával adunk választ. A válaszadás írásban, a Szervezet fejlécén történik, olyan mértékben, amely lehetővé teszi az Ügyfél személyes adatainak túlzott mértékű nyilvánosságra hozatalát.
6. Személyes adatok zárolása, személytelenítése, megsemmisítése
6.1. A személyes adatok zárolásának és feloldásának eljárása:
6.1.1. Az Ügyfelek személyes adatainak zárolása az Ügyfél írásbeli kérelmével történik.
6.1.2. A személyes adatok blokkolása a következőket jelenti:
6.1.2.2. A személyes adatok bármilyen módon történő terjesztésének tilalma (e-mail, sejtes, anyaghordozók).
6.1.2.4. Az Ügyfélre vonatkozó, személyes adatait tartalmazó papíralapú dokumentumok visszavonása a Szervezet belső munkafolyamatából, felhasználásuk megtiltása.
6.1.3. Az Ügyfél személyes adatainak zárolása ideiglenesen eltávolítható, ha azt az Orosz Föderáció jogszabályai előírják.
6.1.4. Az Ügyfél személyes adatainak feloldása az Ügyfél írásbeli hozzájárulásával (ha szükséges a hozzájárulás megszerzése) vagy az Ügyfél kérelmével történik.
6.1.5. Az Ügyfél ismételt hozzájárulása személyes adatai kezeléséhez (szükség esetén annak megszerzéséhez) személyes adatainak feloldását vonja maga után.
6.2. A személyes adatok személytelenítésének és megsemmisítésének eljárása:
6.2.1. Az Ügyfél személyes adatainak személytelenítése az Ügyfél írásbeli kérésére történik, feltéve, hogy minden szerződéses kapcsolat létrejött, és az utolsó szerződés lejártától számított legalább 5 év eltelt.
6.2.2. A személyes adatok személytelenítésekor információs rendszerek ah karakterkészlettel helyettesítik, amelyek alapján nem lehet megállapítani, hogy a személyes adatok egy adott Ügyfélhez tartoznak-e.
6.2.3. A személyes adatok személytelenítése során a papíralapú dokumentumhordozók megsemmisülnek.
6.2.4. A szervezet köteles gondoskodni a személyes adatok bizalmas kezeléséről, ha az információs rendszerek fejlesztő területén történő tesztelésére és a fejlesztő részére átadott információs rendszerekben a személyes adatok személytelenítésére van szükség.
6.2.5. Az Ügyfél személyes adatainak megsemmisítése az Ügyfél személyes adataihoz való hozzáférés megszüntetését vonja maga után.
6.2.6. Az Ügyfél személyes adatainak megsemmisülésekor a Szervezet munkatársai nem férhetnek hozzá az érintett személyes adataihoz az információs rendszerekben.
6.2.7. A személyes adatok megsemmisítése során a papír alapú dokumentumhordozók megsemmisülnek, az információs rendszerekben található személyes adatok személytelenítésre kerülnek. A személyes adatok nem állíthatók vissza.
6.2.8. A személyes adatok megsemmisítésének művelete visszafordíthatatlan.
6.2.9. Azt az időtartamot, amely után az Ügyfél személyes adatainak megsemmisítésének művelete lehetséges, a jelen Szabályzat 7.3. pontjában meghatározott időszak vége határozza meg.
7. Személyes adatok továbbítása és tárolása
7.1. Személyes adatok továbbítása:
7.1.1. Az érintett személyes adatainak továbbítása az információ kommunikációs csatornákon és anyagi médián keresztül történő terjesztéseként értendő.
7.1.2. A személyes adatok továbbítása során a Szervezet dolgozóinak az alábbi követelményeknek kell megfelelniük:
7.1.2.1. Ne adja ki az Ügyfél személyes adatait kereskedelmi célból.
7.1.2.2. Ne adja ki az Ügyfél személyes adatait harmadik félnek az Ügyfél írásos hozzájárulása nélkül, kivéve, ha az Orosz Föderáció szövetségi törvénye másként rendelkezik.
7.1.2.3. Figyelmeztesse az Ügyfél személyes adatait átvevő személyeket, hogy ezek az adatok csak arra a célra használhatók fel, amelyre jelentették, és kéri, hogy igazolják, hogy ezt a szabályt betartották;
7.1.2.4. Az Ügyfelek személyes adataihoz csak erre felhatalmazott személyek férhetnek hozzá, míg ezeknek a személyeknek csak az Ügyfelek azon személyes adatait kell megkapniuk, amelyek bizonyos funkciók ellátásához szükségesek.
7.1.2.5. Az Ügyfél személyes adatait a Szervezeten belül a jelen Szabályzat, a szabályozási és technológiai dokumentáció, valamint a munkaköri leírások szerint továbbítja.
7.1.2.6. Biztosítsa az Ügyfél hozzáférését személyes adataihoz az Ügyfél megkeresésekor vagy kérésének fogadásakor. A Szervezet köteles az Ügyfelet tájékoztatást adni a rá vonatkozó személyes adatok elérhetőségéről, valamint lehetőséget biztosítani az adatok megismerésére a kéréstől számított tíz munkanapon belül.
7.1.2.7. Az Ügyfél személyes adatait a törvényben és a szabályozási és technológiai dokumentációban előírt módon továbbítsa az Ügyfél képviselőinek, és ezeket az információkat csak az alany azon személyes adataira korlátozza, amelyek a meghatározott képviselők feladataik ellátásához szükségesek.
7.2. Személyes adatok tárolása és felhasználása:
7.2.1. A személyes adatok tárolása az információs rendszerekben és a fizikai adathordozókon lévő nyilvántartások meglétére vonatkozik.
7.2.2. Az Ügyfelek személyes adatait információs rendszerekben, valamint papír alapon kezelik és tárolják a Szervezetben. Az Ügyfelek személyes adatait elektronikus formában is tároljuk: a Szervezet helyi számítógépes hálózatában, elektronikus mappákban és fájlokban a Főigazgató és az Ügyfelek személyes adatainak kezelésére jogosult munkatársak PC-jén.
7.2.3. Ha az Orosz Föderáció szövetségi törvényei másként nem rendelkeznek, az Ügyfél személyes adatait a feldolgozás céljaihoz szükséges ideig nem lehet tárolni.
7.3. A személyes adatok tárolásának feltételei:
7.3.1. Az Ügyfelek személyes adatait tartalmazó polgári jogi szerződések, valamint a megkötésüket, végrehajtásukat kísérő dokumentumok tárolásának feltételei - a szerződések lejártától számított 5 év.
7.3.2. A tárolási időszak alatt a személyes adatokat nem lehet személyteleníteni vagy megsemmisíteni.
7.3.3. A tárolási időszak lejárta után a személyes adatok az információs rendszerekben személyteleníthetők és papíron megsemmisíthetők az Orosz Föderáció Szabályzatában és hatályos jogszabályaiban előírt módon. (Tvtv. függeléke a személyes adatok megsemmisítéséről)
8. A személyes adatok kezelőjének jogai
A szervezetnek joga van:
8.1. Védje meg érdekeit a bíróság előtt.
8.2. Az Ügyfelek személyes adatainak átadása harmadik félnek, ha ezt a vonatkozó jogszabályok (adó, rendészeti szervek stb.) előírják.
8.3. A személyes adatok megadásának megtagadása a törvényben meghatározott esetekben.
8.4. Az Ügyfél személyes adatait az Orosz Föderáció jogszabályai által előírt esetekben az ő hozzájárulása nélkül használja.
9. Az Ügyfél jogai
Az ügyfélnek joga van:
9.1. kérni személyes adatainak pontosítását, zárolását vagy megsemmisítését, ha a személyes adatok hiányosak, elavultak, megbízhatatlanok, jogellenesen jutottak hozzá, vagy az adatkezelés megjelölt céljához nem szükségesek, valamint jogi intézkedéseket tenni jogaik védelme érdekében;
9.2. Kérje a Szervezetben elérhető feldolgozott személyes adatok listáját és azok beérkezésének forrását.
9.3. Tájékoztatást kaphat a személyes adatok feldolgozásának feltételeiről, beleértve azok tárolásának feltételeit.
9.4. Minden kivételről, helyesbítésről vagy kiegészítésről értesíteni kell minden olyan személyt, akit korábban hibás vagy hiányos személyes adatokról tájékoztattak.
9.5. Fellebbezés az arra felhatalmazott szervhez az érintettek jogainak védelme érdekében, vagy bírósághoz fordulhat a személyes adatainak kezelése során elkövetett jogellenes cselekmények vagy mulasztások ellen.
10. Felelősség a személyes adatok kezelésére és védelmére irányadó szabályok megsértéséért
10.1. A Szervezet azon alkalmazottai, akik vétkesek a személyes adatok fogadására, feldolgozására és védelmére vonatkozó szabályok megsértéséért, fegyelmi, közigazgatási, polgári vagy büntetőjogi felelősséggel tartoznak az Orosz Föderáció hatályos jogszabályai és a Szervezet belső helyi jogszabályai szerint.
1. A SZEMÉLYES ADATOK BIZTONSÁGÁNAK ELMÉLETI ALAPJAI
1.1 A személyes adatok védelmére vonatkozó jogi keret az Orosz Föderációban
1.3.1 Általános jellemzők a személyes adatok információs rendszerébe való jogosulatlan hozzáférés veszélyének forrásai.
1.3.2 A személyes adatok információs rendszerének működési környezetéhez való közvetlen hozzáféréssel kapcsolatos fenyegetések általános jellemzői
1.3.3 Az internetmunka protokollok használatával megvalósított személyes adatok biztonságát fenyegető veszélyek általános jellemzői
1.4 A Bank és tevékenységének jellemzői
1.5 Személyes adatbázisok
1.5.1 A szervezet alkalmazottainak személyes adatainak információs rendszere
1.5.2 A beléptető és menedzsment rendszer személyes adatok információs rendszere
1.5.3 Az automatizált bankrendszer személyes adatok információs rendszere
1.6 Eszköz és fenyegetések helyi számítógép hálózat Befőttes üveg
1.7 Információbiztonsági eszközök
2.2 Szoftver- és hardvervédelem
2.3 Alapvető biztonsági szabályzat
2.3.1 Információbiztonsági tudatossági rendszer a munkavállalók számára
2.3.4 Hogyan dolgoznak az alkalmazottak az e-mailekkel
2.3.5 A Bank jelszópolitikája
3. A PROJEKT GAZDASÁGI INDOKLÁSA
KÖVETKEZTETÉS
Alkalmazások.
BEVEZETÉS
A 20. század végén megkezdődött széleskörű számítógépesítés a mai napig tart. A vállalatok folyamatainak automatizálása növeli a dolgozók termelékenységét. Az információs rendszerek felhasználói gyorsan hozzájuthatnak a feladataik ellátásához szükséges adatokhoz. Ugyanakkor az adatokhoz való hozzáférés megkönnyítése mellett problémák vannak ezen adatok biztonságával is. A különféle információs rendszerekhez való hozzáféréssel a támadók személyes haszonszerzésre használhatják azokat: adatgyűjtést, hogy eladják azokat a feketepiacon, lophassanak. Pénz a szervezet ügyfeleitől, ellopva a szervezet üzleti titkait.
Ezért a védelem problémája kritikus fontos információ szervezetek számára nagyon akut. A médiából egyre gyakrabban válik ismertté a pénzügyi szervezetek információs rendszereinek feltörésével történő pénzlopási technikák vagy módszerek. A személyes adatokat tartalmazó információs rendszerekhez való hozzáférést követően a támadó ellophatja a pénzügyi szervezetek ügyfelei adatait, információkat terjeszthet pénzügyi tranzakcióikról, ezzel anyagi és jó hírnévi kárt okozva egy banki ügyfélnek. Ezen túlmenően, miután megtudták az ügyfélről az adatokat, a csalók banki alkalmazottnak kiadva közvetlenül felhívhatják az ügyfelet, és csalárd módon, social engineering technikák segítségével távoli bankrendszerekből megtudhatják a jelszavakat, és pénzt vehetnek fel az ügyfél számlájáról.
Hazánkban a személyes adatok ellopásának és illegális terjesztésének problémája nagyon akut. Az interneten rengeteg olyan forrás található, amelyek ellopott személyes adatbázisokat tartalmaznak, amelyek segítségével pl. mobiltelefon, megtalálható nagyon részletes információk személyenként, beleértve az útlevél adatait, lakcímét, fényképeit és még sok mást.
Ebben az érettségi projektben a PJSC Citibank személyes adatvédelmi rendszerének létrehozásának folyamatát vizsgálom.
1. A SZEMÉLYES ADATOK BIZTONSÁGÁNAK ALAPJAI
1.1 A személyes adatok védelmének jogalapja
Ma Oroszországban állami szabályozást hajtanak végre a személyes adatok biztonságának biztosítása terén. Az Orosz Föderáció személyes adatvédelmi rendszerét szabályozó fő jogi aktusok az Orosz Föderáció alkotmánya és a „Személyes adatokról” szóló, 2006. július 27-i 152-FZ szövetségi törvény. Ez a két fő jogi aktus határozza meg a személyes adatokkal kapcsolatos fő téziseket az Orosz Föderációban:
Minden állampolgárnak joga van a magánélethez, a személyes és családi titkokhoz, becsületének és jó hírének védelméhez;
Mindenkinek joga van a levelezés, a telefonbeszélgetés, a postai, távirati és egyéb kommunikáció magánéletéhez. E jog korlátozása csak bírósági határozat alapján lehetséges;
Egy személy magánéletére vonatkozó információk gyűjtése, tárolása, felhasználása és terjesztése az engedélye nélkül nem megengedett;
A személyes adatok feldolgozását törvényes és tisztességes alapon kell végezni;
A személyes adatok feldolgozását meghatározott, előre meghatározott és jogszerű célok elérésére kell korlátozni. Nem kezelhető olyan személyes adat, amely összeegyeztethetetlen a személyes adatok gyűjtésének céljaival.
Nem kombinálhatók olyan személyes adatokat tartalmazó adatbázisok, amelyek feldolgozása egymással össze nem egyeztethető célból történik.
Csak olyan személyes adatok kezelhetők, amelyek megfelelnek a feldolgozás céljainak.
A személyes adatok kezelése során biztosítani kell a személyes adatok pontosságát, elegendőségét, és szükség esetén a személyes adatok kezelésének céljaival kapcsolatos relevanciáját. Az üzemeltetőnek meg kell tennie a szükséges intézkedéseket, vagy gondoskodnia kell azok megtételéről a hiányos vagy pontatlan adatok eltávolítása vagy tisztázása érdekében.
A személyes adatok tárolását olyan formában kell végezni, amely lehetővé teszi a személyes adatok alanyának meghatározását, legfeljebb a személyes adatok feldolgozásának céljaihoz szükséges ideig, kivéve, ha a személyes adatok tárolásának időtartamát szövetségi törvény írja elő, a személyes adatok alanya fél, kedvezményezett vagy kezes. A kezelt személyes adatok megsemmisítésének vagy személytelenítésének vannak kitéve a feldolgozás céljainak elérésekor, vagy e célok elérése iránti igény elvesztése esetén, hacsak a szövetségi törvény másként nem rendelkezik.
Egyéb szabályozások, amelyek a személyes adatok védelme területén joghatással bírnak a szervezetekben banki Az Orosz Föderáció a következők:
Az Orosz Föderáció 2006. július 27-i szövetségi törvénye, 149 FZ „Az információról, információs technológiákról és információvédelemről”;
az Orosz Föderáció Munka Törvénykönyve (14. fejezet);
Az Orosz Föderáció kormányának 2012. november 1-jei 1119. számú rendelete „A személyes adatok védelmére vonatkozó követelmények jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során”;
Rendelés Orosz FSTEC 2013. február 18-án kelt 21. számú „A személyes adatok személyes adatok információs rendszerekben történő feldolgozása során történő biztonságát biztosító szervezeti és technikai intézkedések összetételének és tartalmának jóváhagyásáról”.
Vegye figyelembe a jogszabályban használt főbb meghatározásokat.
Személyes adat - bármely olyan információ, amely közvetlenül vagy közvetve azonosított vagy azonosítható természetes személyre (a személyes adat alanyára) vonatkozik.
Személyes adatok kezelője - a személyes adatok kezelését szervező és (vagy) végző, valamint a személyes adatok kezelésének célját, a személyes adatok összetételét meghatározó állami szerv, önkormányzati szerv, jogi személy vagy magánszemély önállóan vagy más személlyel együtt. kezelendő adatok, személyes adatokkal végzett műveletek (műveletek);
Személyes adatok feldolgozása - minden olyan művelet (művelet) vagy műveletek (műveletek) összessége, amelyeket automatizálási eszközökkel vagy anélkül hajtanak végre személyes adatokkal, ideértve a gyűjtést, rögzítést, rendszerezést, felhalmozást, tárolást, pontosítást (frissítést, módosítást), kinyerést , személyes adatok felhasználása, átadása (terjesztése, biztosítása, hozzáférése), személytelenítése, zárolása, törlése, megsemmisítése;
Személyes adatok automatizált feldolgozása - személyes adatok feldolgozása számítógépes technológia használatával;
Személyes adatok terjesztése - olyan tevékenységek, amelyek célja a személyes adatok határozatlan köre számára történő közlése;
Személyes adatok megadása - olyan tevékenységek, amelyek célja a személyes adatok egy bizonyos személy vagy egy bizonyos köre számára történő felfedése;
Személyes adatok zárolása - a személyes adatok kezelésének ideiglenes felfüggesztése (kivéve, ha az adatkezelés a személyes adatok tisztázásához szükséges);
A személyes adatok megsemmisítése - olyan tevékenységek, amelyek eredményeként lehetetlenné válik a személyes adatok tartalmának visszaállítása a személyes adatok információs rendszerében, és (vagy) amelyek eredményeként a személyes adatok anyagi hordozói megsemmisülnek;
Személyes adatok depersonalizálása - olyan tevékenységek, amelyek eredményeként további információk felhasználása nélkül lehetetlenné válik a személyes adatok egy adott alany általi tulajdonjogának meghatározása;
Személyes adatok információs rendszere - adatbázisokban és információs technológiákban található személyes adatok összessége, amelyek biztosítják azok kezelését és technikai eszközöket;
Személyes adatok határokon átnyúló továbbítása - a személyes adatok külföldi állam területére történő továbbítása külföldi állam hatósága, külföldi magánszemély vagy külföldi részére. jogalany.
Biometrikus személyes adat - a személy fiziológiai és biológiai jellemzőit jellemző információ, amely alapján megállapítható a személyazonossága (biometrikus személyes adat), és amelyet az üzemeltető a személyes adat alanyának azonosítására használ fel.
A személyes adatok biztonsága - a személyes adatok védelmének állapota, amelyet a felhasználók, a technikai eszközök és az információs technológiák azon képessége jellemez, hogy biztosítsák a személyes adatok bizalmas kezelését, integritását és elérhetőségét a személyes adatok információs rendszerekben történő feldolgozása során
1.2 A személyes adatok információbiztonságát fenyegető veszélyek osztályozása.
Információbiztonsági fenyegetés alatt az információbiztonsági tulajdonságok – a szervezet információs eszközeinek elérhetősége, integritása vagy bizalmas jellege – megsértésével kapcsolatos fenyegetést értjük.
A fenyegetések listája, megvalósításuk valószínűségének felmérése, valamint a behatoló modell szolgál alapul a fenyegetések kockázatának elemzéséhez és az automatizált rendszervédelmi rendszerrel szemben támasztott követelmények megfogalmazásához. A lehetséges fenyegetések azonosításán túlmenően az azonosított fenyegetéseket számos jellemző szerinti besorolásuk alapján elemezni szükséges. Az egyes besorolási jellemzőknek megfelelő fenyegetések lehetővé teszik az ezen jellemzők által tükrözött követelmények finomítását.
Mivel a modern AS-ben tárolt és feldolgozott információk rendkívül sok tényezőnek vannak kitéve, lehetetlenné válik a fenyegetések teljes halmazának leírásának feladatának formalizálása. Ezért egy védett rendszer esetében általában nem a fenyegetések listáját határozzák meg, hanem a fenyegetési osztályok listáját.
Az AS információbiztonságát fenyegető lehetséges veszélyek osztályozása a következő alapvető jellemzők szerint történhet:
Az előfordulás jellege szerint:
Az objektív fizikai folyamatok vagy természeti katasztrófák Atomerőműre gyakorolt hatása által okozott természeti veszélyek;
Emberi tevékenység által okozott mesterséges fenyegetés az atomerőmű biztonságára.
A megnyilvánulás szándékosságának mértéke szerint:
Emberi mulasztásból vagy hanyagságból eredő fenyegetések, mint például a védőfelszerelésekkel való visszaélés, az adatok kezelésének hanyagsága;
Szándékos cselekvéssel való fenyegetés, például egy automatizált rendszer behatolók általi feltörése, a szervezet alkalmazottai általi adatok megsemmisítése a munkáltató megtorlása érdekében.
A fenyegetés közvetlen forrása szerint:
Természeti veszélyek, például természeti katasztrófák, ember okozta katasztrófák;
Emberi fenyegetések, például: információk megsemmisítése, bizalmas adatok nyilvánosságra hozatala;
Engedélyezett firmware, például fizikai hardverhiba, szoftverhibák, szoftverkonfliktusok;
Jogosulatlan szoftverek és hardverek, például hardverhibák, szoftverhibák bevezetése.
A fenyegetés forrása szerint:
Az ellenőrzött területen kívül például kommunikációs csatornákon továbbított adatok lehallgatása;
O az ellenőrzött területen belül, pl. információk jogosulatlan másolása, jogosulatlan hozzáférés a védett területre;
Közvetlenül egy automatizált rendszerben, például az AS erőforrások helytelen használata.
Az AS-aktivitástól való függés mértéke szerint:
Az AU tevékenységétől függetlenül, például az adathordozók fizikai ellopása;
Csak az adatfeldolgozás során, például rosszindulatú programfertőzés során.
Az AC-ra gyakorolt hatás mértéke szerint:
Veszélyes fenyegetések, amelyek megvalósításakor semmit sem változtatnak az AS szerkezetén és tartalmán, például a titkos adatok másolásának veszélye;
Aktív fenyegetések, amelyek feltárásukkor megváltoztatják az AS szerkezetét és tartalmát, például adatok törlését, módosítását.
A felhasználók vagy programok erőforrásokhoz való hozzáférésének szakaszai szerint:
Az AS erőforrásokhoz való hozzáférés szakaszában megnyilvánuló fenyegetések, például: az AS-hez való jogosulatlan hozzáféréssel kapcsolatos fenyegetések;
Az AS-erőforrásokhoz való hozzáférés engedélyezése után megjelenő fenyegetések, például az AS-erőforrások helytelen használata.
Az AS erőforrásokhoz való hozzáférés útján:
Az AS-erőforrásokhoz való szabványos hozzáférési útvonalon végrehajtott fenyegetések
Az AS-erőforrásokhoz való hozzáférés rejtett, nem szabványos elérési útjával végrehajtott fenyegetések, például: jogosulatlan hozzáférés az AS-erőforrásokhoz nem dokumentált jellemzők telepített szoftver.
Az AS-ben tárolt és feldolgozott információk jelenlegi helye szerint:
A külső tárolóeszközökön található információkhoz való hozzáférés veszélyei, például: bizalmas információk másolása adathordozóról;
A ben található információkhoz való hozzáférés veszélyei véletlen hozzáférésű memória például: maradék információk beolvasása a RAM-ból, hozzáférés a RAM rendszerterületéhez az alkalmazási programok által;
A kommunikációs vonalakon keringő információkhoz való hozzáférés fenyegetése, pl.: kommunikációs vonalakhoz való jogellenes csatlakozás információ eltávolítása céljából, módosított adatok küldése;
Az automatizált rendszert érő veszélyes hatásokat véletlenszerű és szándékos hatásokra osztják.
Az atomerőmű üzemelése során bekövetkező véletlen becsapódások okai a következők lehetnek:
Természeti katasztrófák és áramkimaradások miatti vészhelyzetek;
Szolgáltatás megtagadása;
Szoftverhibák;
Hibák a kiszolgáló személyzet és a felhasználók munkájában;
Kommunikációs vonalak zavarása a környezeti hatások miatt.
A szoftverhibák használata az információs rendszerek információbiztonságának megsértésének leggyakoribb módja. A szoftver bonyolultságától függően a hibák száma nő. A támadók megtalálhatják ezeket a sebezhetőségeket, és rajtuk keresztül hozzáférhetnek a szervezet információs rendszeréhez. E fenyegetések minimalizálása érdekében a szoftververziókat mindig naprakészen kell tartani.
A szándékos fenyegetések a behatolók célzott akcióihoz kapcsolódnak. A támadók két típusra oszthatók: belső támadó és külső támadó. A belső behatoló az automatizált rendszer ellenőrzött zónájában tartózkodva jogsértő cselekményeket hajt végre, és hivatalos felhatalmazást használhat az automatizált rendszerhez való engedélyezett hozzáféréshez. A külső támadó nem fér hozzá az ellenőrzött zónához, de egy belső támadóval egyidejűleg is felléphet céljaik elérése érdekében.
Három fő információbiztonsági fenyegetés létezik, amelyek közvetlenül a védett információkra irányulnak:
A titoktartás megsértése – a bizalmas információk nem változnak, de hozzáférhetővé válnak harmadik felek számára, akik nem férhetnek hozzá ezekhez az információkhoz. Amikor ez a fenyegetés megvalósul, nagy a valószínűsége annak, hogy a támadó nyilvánosságra hozza az ellopott információkat, ami anyagi vagy hírnév-károsodáshoz vezethet. A védett információ integritásának megsértése - az információ eltorzítása, megváltoztatása vagy megsemmisítése. Az információ sértetlensége nem szándékosan, hanem a vállalkozás alkalmazottjának hozzá nem értése vagy hanyagsága következtében sérülhet. Az integritást a támadó is megsértheti saját céljainak elérése érdekében. Például a számlaadatok megváltoztatása egy automatizált banki rendszerben annak érdekében, hogy pénzt utaljanak át a támadó számlájára, vagy egy szervezet ügyfelének személyes adatainak cseréje annak érdekében, hogy információkat szerezzenek az ügyfélnek a szervezettel való együttműködéséről.
Védett információk elérhetőségének megsértése vagy szolgáltatásmegtagadás - olyan műveletek, amelyek során a jogosult felhasználó nem tud hozzáférni a védett információhoz olyan okok miatt, mint: hardver, szoftver meghibásodása, helyi hálózat meghibásodása.
Az automatizált rendszerek veszélyeinek mérlegelése után folytathatja a személyes adatok információs rendszerét érintő veszélyek elemzését.
Személyes adatok információs rendszere - adatbázisokban és információs technológiákban és azok kezelését biztosító technikai eszközökben foglalt személyes adatok összessége.
A személyes adatok információs rendszerei a személyes adatok feldolgozása során használt információs és szoftver- és hardverelemek, valamint információs technológiák összessége.
Az ISPD fő elemei a következők:
Adatbázisokban tárolt személyes adatok;
A PD feldolgozása során használt információs technológiák;
Személyes adatok feldolgozására szolgáló technikai eszközök (számítógépes berendezések, információs és számítógépes rendszerek és hálózatok, személyes adatok továbbítására, fogadására és feldolgozására szolgáló eszközök és rendszerek, hangrögzítési, hangerősítési, hangreprodukciós eszközök és rendszerek, dokumentumok előállítására, sokszorosítására szolgáló eszközök és egyéb technikai eszközök beszéd-, grafikus, videó- és alfanumerikus információk feldolgozása);
Szoftver(operációs rendszerek, adatbázis-kezelő rendszerek stb.);
Információvédelem eszközei ISPDn;
Kiegészítő technikai eszközök és rendszerek - technikai eszközök és rendszerek, kommunikációjuk, amelyek nem személyes adatok feldolgozására szolgálnak, de az ISPD helyén található helyiségben találhatók.
A személyes adatok biztonságát fenyegető veszélyek - olyan feltételek és tényezők összessége, amelyek a személyes adatokhoz való jogosulatlan – ideértve a véletlen – hozzáférés veszélyét is megteremtik, és amely a személyes adatok megsemmisítését, módosítását, zárolását, másolását, terjesztését, valamint egyéb jogosulatlan cselekmények az információs személyes adatrendszerben történő feldolgozásuk során.
A személyes adatok információs rendszerének az UBPD kialakulását előidéző jellemzői közé tartozik a személyes adatok információs rendszerében feldolgozott személyes adatok kategóriája és mennyisége, a személyes adatok információs rendszerének felépítése, a nyilvános kommunikációs hálózatokhoz való ISPD kapcsolatok megléte, ill. (vagy) nemzetközi információcsere-hálózatok, az ISPD-ben feldolgozott személyes adatok biztonságának alrendszerének jellemzői, a személyes adatok feldolgozásának módjai, az ISPD-felhasználók hozzáférési jogainak megkülönböztetésének módjai, az ISPD technikai eszközeinek elhelyezkedése és elhelyezésének feltételei.
A védett információt tartalmazó informatív jelek terjedési környezetének tulajdonságait a fizikai környezet típusa jellemzi, amelyben a PD eloszlik, és az UBPD megvalósítási lehetőségének értékelésekor határozzák meg. Az UBPD-források képességeit a PD-hez való jogosulatlan és (vagy) véletlen hozzáférés módszereinek kombinációja határozza meg, aminek eredményeként a PD titkossága (másolás, illegális terjesztés), integritása (megsemmisítése, módosítása) és elérhetősége (blokkolása) lehetséges. megsértik.
A személyes adatok biztonságát fenyegető veszély az UBPD végrehajtására szolgáló csatorna kialakításának eredményeként valósul meg a fenyegetés forrása és a PD hordozója (forrása) között, amely feltételeket teremt a személyes adatok biztonságának megsértéséhez. PD.
Az UBPD megvalósítási csatorna fő elemei (1. ábra):
UBPD forrása – alany, anyagi tárgy vagy fizikai jelenség, amely létrehozza az UBPD-t;
PD terjesztési környezet vagy olyan hatások, amelyekben egy fizikai mező, jel, adat vagy programok terjedhetnek, és befolyásolhatják a személyes adatok védett tulajdonságait;
Személyes adathordozó - egyén vagy anyagi tárgy, beleértve a fizikai mezőt, amelyben a PD szimbólumok, képek, jelek, műszaki megoldások és folyamatok, fizikai mennyiségek mennyiségi jellemzői formájában tükröződik.
1. ábra: A személyes adatok biztonságát fenyegető veszélyek megvalósítására szolgáló csatorna általános sémája
A PD-hordozók a következő formákban megjelenített információkat tartalmazhatnak:
Az ISPD-felhasználó beszédében közvetlenül szereplő akusztikus (beszéd) információ, amikor a funkciót végrehajtja hangbemenet PD a személyes adatok információs rendszerében, vagy ISPD akusztikus eszközökkel reprodukálva (ha ilyen funkciókat a PD feldolgozási technológia biztosítja), valamint az akusztikus információ átalakulása miatt keletkező elektromágneses mezőkben és elektromos jelekben találhatók;
Információk megtekintése (VI), szöveg és kép formájában különféle eszközök információ megjelenítése számítógépes berendezésekből, információs és számítógépes rendszerekből, az ISPD részét képező grafikus, video- és alfanumerikus információk feldolgozására szolgáló technikai eszközökből;
ISPD-ben feldolgozott (keringő) információ elektromos, elektromágneses, optikai jelek formájában;
Az ISPD-ben feldolgozott információk, bitek, bájtok, fájlok és egyéb logikai struktúrák formájában.
Annak érdekében, hogy az UBPD-kről szisztematikus listát készítsünk az ISPD-kben történő feldolgozásuk és az ezek alapján egy adott típusú ISPD-típushoz kapcsolódó privát modellek kidolgozása során, a fenyegetéseket a következő jellemzők szerint osztályozzuk (2. ábra):
Az UBPD-től védett, PD-t tartalmazó információ típusa szerint;
Az UBPD lehetséges forrásainak típusai szerint;
Az ISPD típusa szerint, amelyre az UBPD megvalósítása irányul;
Az UBPD végrehajtási módszere szerint;
A megsértett információ tulajdonságának típusa szerint (a PD-vel végzett jogosulatlan műveletek típusa);
Kihasznált sebezhetőség által;
A hatás tárgyának megfelelően.
Az UBPD lehetséges forrásainak típusai szerint a következőket különböztetjük meg
Veszélyes osztályok:
Az ISPD-hez hozzáféréssel rendelkező személyek – ideértve a személyes adatok információs rendszerének felhasználóit is – szándékos vagy nem szándékos cselekedeteivel kapcsolatos fenyegetéseket, amelyek közvetlenül az ISPD-ben fenyegetőznek (belső jogsértő);
Az ISPD-hez nem férő személyek szándékos vagy nem szándékos cselekedeteivel kapcsolatos fenyegetések, amelyek fenyegetést hajtanak végre külső hálózatok nyilvános kommunikáció és (vagy) a nemzetközi információcsere hálózatai (külső behatoló).
Ezen túlmenően, a hardverhibák és a rosszindulatú programok bevezetése fenyegetéseket jelenthet.
Az ISPD típusa szerint, amelyre az UBPD végrehajtása irányul, a következő fenyegetés-osztályokat különböztetjük meg:
Az ISPD-ben feldolgozott UBPD autonóm munkaállomás (AWP) alapján;
ISPD-ben feldolgozott UBPD nyilvános hálózathoz (a nemzetközi információcsere hálózatához) kapcsolódó automatizált munkahely alapján;
Az ISPD-ben feldolgozott UBPD helyi információs rendszerek alapján, nyilvános hálózathoz (a nemzetközi információcsere hálózatához) való csatlakozás nélkül;
Az ISPD-ben feldolgozott UBPD helyi információs rendszerek alapján, nyilvános hálózathoz (a nemzetközi információcsere hálózatához) kapcsolódó csatlakozással;
ISPD-ben feldolgozott UBPD elosztott információs rendszerek alapján, nyilvános hálózathoz (a nemzetközi információcsere hálózatához) való csatlakozás nélkül;
Az ISPD-ben feldolgozott UBPD nyilvános hálózathoz (nemzetközi információcsere hálózathoz) kapcsolódó elosztott információs rendszereken alapul.
Az UBPD megvalósításának módszerei szerint a következő fenyegetésosztályokat különböztetjük meg:
Az UA-val kapcsolatos fenyegetések a PD-re (beleértve a rosszindulatú programok bevezetésével kapcsolatos fenyegetéseket);
Személyes adatok kiszivárogtatásának veszélye az információszivárgás technikai csatornáin keresztül;
Különleges hatások veszélyei az ISPD-re.
A PD-vel végrehajtott jogosulatlan műveletek típusa szerint a következő fenyegetés-osztályokat különböztetjük meg:
Olyan fenyegetések, amelyek a PD titkosságának megsértéséhez vezetnek (másolás vagy jogosulatlan terjesztés), amelyek végrehajtása közvetlenül nem érinti az információ tartalmát;
Olyan fenyegetések, amelyek az információ tartalmára gyakorolt jogosulatlan, ideértve a véletlenszerű hatást is, aminek következtében a PD megváltozik vagy megsemmisül;
Olyan fenyegetések, amelyek az ISPD szoftverének vagy hardver-szoftver elemeinek jogosulatlan, ideértve a véletlenszerű hatást is eredményezik, aminek következtében a PD blokkolva van.
A következő fenyegetési osztályokat különböztetik meg a kihasznált sebezhetőség alapján:
Rendszerszoftver-sebezhetőségekkel megvalósított fenyegetések;
Alkalmazási szoftverek sebezhetőségeivel megvalósított fenyegetések;
Az AS-ben lévő hardverlap jelenléte által okozott biztonsági rés használatából eredő fenyegetések;
A hálózati kommunikációs protokollok és adatátviteli csatornák sebezhetőségeinek felhasználásával megvalósított fenyegetések;
Az NSD VBI szervezetének hiányosságai által okozott sebezhetőség kihasználásából eredő fenyegetések;
Sebezhetőségekkel megvalósított fenyegetések, amelyek az információszivárgás technikai csatornáinak jelenlétét okozzák;
Információbiztonsági sebezhetőségekkel megvalósított fenyegetések.
A befolyás tárgya szerint a következő fenyegetési osztályokat különböztetjük meg:
A munkaállomáson feldolgozott PD biztonságát fenyegető veszélyek;
A dedikált feldolgozóeszközökkel (nyomtatók, plotterek, plotterek, távoli monitorok, videoprojektorok, hangvisszaadó eszközök stb.) feldolgozott PD biztonságát fenyegető veszélyek;
A kommunikációs hálózatokon keresztül továbbított PD biztonságát fenyegető veszélyek;
A PD-t feldolgozó alkalmazási programok fenyegetései;
Az ISPD működését biztosító rendszerszoftver fenyegetései.
A felsorolt osztályok valamelyik UBPD-jének megvalósítása vagy azok kombinációja a következő típusú következményekkel járhat a PD alanyok számára:
Jelentős negatív következmények a PD alanyok számára;
Negatív következmények a PD alanyok számára;
Jelentéktelen negatív következmények a PD alanyok számára.
A személyes adatok technikai csatornákon keresztül történő kiszivárgásával kapcsolatos fenyegetéseket egyértelműen az információforrás, a terjesztési médium és a tájékoztató jel vevőjének jellemzői írják le, vagyis a jellemzők határozzák meg. technikai csatorna PD szivárog.
A jogosulatlan hozzáférésű fenyegetések (UAH) az UA-fenyegetések, szoftverek és szoftversebezhetőségek lehetséges forrásainak általánosított osztályaiként jelennek meg. hardver ISPD, a fenyegetések megvalósításának módjai, befolyási objektumok (védett információ hordozói, könyvtárak, könyvtárak, PD-vel vagy PD-vel rendelkező fájlok) és lehetséges pusztító akciók. Egy ilyen ábrázolást a következő formalizált jelölés írja le (2. ábra).
1.3 A fenyegetésforrások általános jellemzői a személyes adatok információs rendszereiben
Az ISPD-ben az UA-t a szoftverek, valamint a szoftverek és hardverek használatával fenyegető veszélyek akkor valósulnak meg, ha jogosulatlan, ideértve a véletlenszerű hozzáférést is végrehajtják, aminek következtében megsértik a PD titkosságát, integritását és elérhetőségét, és a következőket tartalmazzák:
A számítógép operációs környezetéhez való jogosulatlan hozzáférés veszélye szabványos szoftverrel (eszközök operációs rendszer vagy általános alkalmazási programok);
A szoftver (szoftver és hardver) rendellenes működési módok létrehozásának veszélye: a szolgáltatási adatok szándékos megváltoztatása, a feldolgozott információ összetételére és jellemzőire vonatkozó, szabályos körülmények között előírt korlátozások figyelmen kívül hagyása, magának az adatnak a torzítása (módosítása), stb.;
2. ábra A személyes adatok információs rendszereiben feldolgozott UBPD osztályozása
Rosszindulatú programok bevezetésével kapcsolatos fenyegetések (szoftver-matematikai hatás).
Az ISPD információira vonatkozó UA-fenyegetések leírásának elemeinek összetételét a 3. ábra mutatja.
Ezenkívül lehetségesek kombinált fenyegetések, amelyek e fenyegetések kombinációi. Például a rosszindulatú programok bevezetése miatt az UA feltételei megteremthetők a számítógép működési környezetébe, beleértve a nem hagyományos információs csatornák hozzáférés.
Az ISPD operációs környezethez szabványos szoftverrel való jogosulatlan hozzáféréssel kapcsolatos fenyegetéseket közvetlen és távoli hozzáférés. A közvetlen hozzáféréssel kapcsolatos fenyegetéseket a számítógép szoftverének és firmware-jének I / O-ja segítségével hajtják végre. A távelérési fenyegetéseket hálózati kommunikációs protokollok segítségével valósítják meg.
Az ilyen fenyegetések az ISPD-vel kapcsolatban mind a nyilvános kommunikációs hálózatba nem tartozó automatizált munkahelyek, mind pedig az összes nyilvános kommunikációs hálózathoz és nemzetközi információcsere-hálózathoz kapcsolódó ISPD esetében megvalósulnak.
3. ábra A személyes adatok információs rendszereiben feldolgozott UBPD osztályozása
1.3.1 A személyes adatok információs rendszerében a jogosulatlan hozzáférés veszélyforrásainak általános leírása.
A személyes adatok információs rendszerében a veszélyforrások a következők lehetnek:
Betolakodó;
Rosszindulatú program hordozója;
Hardveres könyvjelző.
A hardverhibák bevezetésével kapcsolatos PD biztonsági fenyegetéseket az Orosz Föderáció Szövetségi Biztonsági Szolgálatának szabályozási dokumentumaival összhangban határozzák meg, az általa megállapított módon.
Az ISPD ellenőrzött zónájához való állandó vagy egyszeri hozzáférés jogának megléte szerint a szabálysértők két típusra oszthatók:
Azok a jogsértők, akik nem rendelkeznek hozzáféréssel az ISPD-hez, külső nyilvános kommunikációs hálózatokból és (vagy) nemzetközi információcsere-hálózatokból származó fenyegetéseket realizálnak, külső jogsértők;
Azok a szabálysértők, akik hozzáférnek az ISPD-hez, beleértve az ISPD-felhasználókat is, akik fenyegetéseket valósítanak meg közvetlenül az ISPD-ben, belső szabálysértők.
A külső behatolók lehetnek:
Versengő szervezetek;
gátlástalan partnerek;
Külső tantárgyak (egyének).
Egy külső behatoló a következő képességekkel rendelkezik:
Az irodai helyiségeken túlmutató kommunikációs csatornákhoz való jogosulatlan hozzáférés biztosítása;
Jogosulatlan hozzáférés végrehajtása nyilvános kommunikációs hálózatokhoz és (vagy) nemzetközi információcsere-hálózatokhoz kapcsolódó munkaállomásokon keresztül;
Speciális szoftverműveletekkel szoftvervírusokon, rosszindulatú programokon, algoritmikus vagy szoftveres könyvjelzőkön keresztül jogosulatlan hozzáférést hajt végre az információkhoz;
Jogosulatlan hozzáférés végrehajtása elemeken keresztül információs infrastruktúra Azon személyes adatok információs rendszere, amelyek életciklusuk során (korszerűsítés, karbantartás, javítás, selejtezés) kívül esnek az ellenőrzött területen;
Jogosulatlan hozzáférés végrehajtása az egymással együttműködő osztályok, szervezetek és intézmények információs rendszerein keresztül, amikor azok ISPD-hez kapcsolódnak.
A belső potenciális jogsértők nyolc kategóriába sorolhatók a hozzáférés módjától és a PD-hez való hozzáférési jogosultságtól függően.
Az első kategóriába azok a személyek tartoznak, akik jogosultak hozzáférni az ISPD-hez, de nem rendelkeznek hozzáféréssel a PD-hez. Az ilyen típusú elkövetők közé tartoznak az ellátó tisztviselők normál működés ISPDn.
Hozzáférhet a PD-t tartalmazó és belső ISPD kommunikációs csatornákon keresztül terjesztett információtöredékekhez;
Az ISPD topológiájáról, valamint a használt kommunikációs protokollokról és azok szolgáltatásairól információk töredékeivel rendelkezni;
Rendelkezik a regisztrált felhasználók nevével és jelszavaik azonosítását;
Módosítsa az ISPD hardver konfigurációját, adjon meg szoftver- és hardverkönyvjelzőket, és biztosítsa az információk visszakeresését az ISPD hardverhez való közvetlen kapcsolat segítségével.
Rendelkezik az első kategóriába tartozó személyek összes képességével;
Ismer legalább egy legális hozzáférési nevet;
Rendelkezik az összes szükséges attribútummal, amely hozzáférést biztosít a PD egy bizonyos részhalmazához;
Bizalmas adatokkal rendelkezik, amelyekhez hozzáfér.
Hozzáférését, hitelesítését és hozzáférési jogait a PD bizonyos részhalmazához a vonatkozó hozzáférés-szabályozási szabályoknak kell szabályozniuk.
Rendelkezik az első és második kategóriába tartozó személyek összes képességével;
Információkkal rendelkezik a helyi és (vagy) elosztott információs rendszeren alapuló ISPD topológiáról, amelyen keresztül a hozzáférés biztosított, valamint az ISPD technikai eszközeinek összetételéről;
Lehetősége van közvetlen (fizikai) hozzáférésre az ISPD technikai eszközeinek töredékeihez.
birtokol teljes körű tájékoztatást az ISPD szegmensében (töredékében) használt rendszerről és alkalmazásszoftverről;
Teljes körű információval rendelkezik az ISPD szegmens (töredék) műszaki eszközeiről és konfigurációjáról;
Hozzáférhet az információbiztonsági és naplózó eszközökhöz, valamint a egyedi elemek az ISPD szegmensében (töredékében) használják;
Hozzáfér az ISPD szegmens (töredék) összes műszaki eszközéhez;
Joga van az ISPD szegmens (töredék) technikai eszközeinek bizonyos részhalmazainak konfigurálására és adminisztrálására.
Az ISPD rendszergazda jogköre.
Rendelkezik az előző kategóriákba tartozó személyek minden képességével;
Teljes körű információval rendelkezik az ISPD rendszeréről és alkalmazási szoftvereiről;
Teljes körű információval rendelkezik az ISPD műszaki eszközeiről és konfigurációjáról;
Hozzáfér az információfeldolgozás minden technikai eszközéhez és az ISPD-adatokhoz;
Rendelkezik az ISPD technikai eszközök konfigurálási és adminisztrációs beállítási jogával.
A rendszergazda konfigurálja és kezeli a szoftvert és a hardvert, beleértve a védett objektum biztonságáért felelős hardvert: eszközöket kriptográfiai védelem információ, figyelés, regisztráció, archiválás, jogosulatlan hozzáférés elleni védelem.
Rendelkezik az előző kategóriákba tartozó személyek minden képességével;
Teljes információval rendelkezik az ISPD-ről;
Hozzáfér az információbiztonsági és naplózási eszközökhöz, valamint az ISPD néhány kulcsfontosságú eleméhez;
Nincs hozzáférési joga a hálózati hardver konfigurálásához, kivéve az ellenőrzési (ellenőrzési) eszközöket.
Információkkal rendelkezik az ISPD-re vonatkozó információk feldolgozására szolgáló algoritmusokról és programokról;
Képes hibákat, nem bejelentett funkciókat, szoftverkönyvjelzőket, rosszindulatú programokat bevinni szoftver az ISPD fejlesztésének, megvalósításának és karbantartásának szakaszában;
Bármilyen információtöredéket tartalmazhat az ISPD topológiájáról és az ISPD-ben feldolgozott PD feldolgozásának és védelmének technikai eszközeiről.
Képes könyvjelzőket készíteni az ISPD technikai eszközeiben azok fejlesztésének, megvalósításának és karbantartásának szakaszában;
Bármilyen információtöredéket tartalmazhat az ISPD topológiájáról és az ISPD információfeldolgozásának és védelmének technikai eszközeiről.
A rosszindulatú program hordozója lehet egy számítógép hardvereleme vagy egy szoftvertároló. Ha a rosszindulatú program egyikhez sem kapcsolódik alkalmazási program, akkor hordozójának tekintjük:
Elidegeníthető adathordozó, azaz hajlékonylemez, optikai lemez, flashmemória;
Beépített adathordozó ( merevlemezek, RAM chipek, processzor, chipek alaplap, beágyazott eszközök mikrochipjei rendszer egysége, - videó adapter, hálózati kártya, hangkártya, modem, bemeneti / kimeneti eszközök mágneses keményÉs optikai lemezek, tápegység stb., közvetlen memóriaelérési chipek, adatbuszok, bemeneti/kimeneti portok);
Külső eszközök chipjei (monitor, billentyűzet, nyomtató, modem, szkenner stb.).
Ha a rosszindulatú program bármely alkalmazáshoz kapcsolódik, olyan fájlokhoz, amelyek rendelkeznek bizonyos kiterjesztések vagy más attribútumokkal, a hálózaton keresztül továbbított üzenetekkel, akkor a hordozói a következők:
Számítógépes hálózaton keresztül továbbított üzenetcsomagok;
Fájlok (szöveg, grafika, futtatható stb.).
1.3.2 A személyes adatok információs rendszerének működési környezetéhez való közvetlen hozzáféréssel kapcsolatos fenyegetések általános jellemzői
A számítógép operációs környezetéhez való jogosulatlan hozzáféréssel és a PD-hez való jogosulatlan hozzáféréssel kapcsolatos fenyegetések a következőkhöz való hozzáféréssel kapcsolatosak:
Az ISPD alap I/O rendszerében tárolt információkra és parancsokra, az operációs rendszer betöltésének vezérlésének lehallgatásának és a megbízható felhasználó jogainak megszerzésének lehetőségével;
Működési környezetben, vagyis az ISPD különálló technikai eszközének helyi operációs rendszerének működési környezetében, amely lehetővé teszi az illetéktelen hozzáférést az operációs rendszer szokásos programjainak hívásával vagy az ilyen műveleteket végrehajtó speciálisan tervezett programok indításával. ;
Az alkalmazási programok működését szolgáló környezethez (például helyi adatbázis-kezelő rendszerhez);
Közvetlenül a felhasználói információkhoz (fájlokhoz, szöveghez, hanghoz és grafikus információk, mezők és rekordok az elektronikus adatbázisokban), és annak titkossága, integritása és elérhetősége megsértésének lehetősége miatt következnek be.
Ezeket a fenyegetéseket az ISPD-hez vagy legalább az ISPD-be való információbevitel eszközéhez való fizikai hozzáférés megszerzése esetén lehet megvalósítani. A megvalósítás feltételei szerint három csoportba sorolhatók.
Az első csoportba az operációs rendszer betöltése során implementált fenyegetések tartoznak. Ezek az információbiztonsági fenyegetések a jelszavak vagy azonosítók elfogására, az alap bemeneti/kimeneti rendszer szoftverének módosítására, a letöltésvezérlés elfogására irányulnak az UA fogadásához szükséges technológiai információk megváltoztatásával az ISPD működési környezetben. Az ilyen fenyegetéseket leggyakrabban elidegenített média segítségével hajtják végre.
A második csoportba azok a fenyegetések tartoznak, amelyek az operációs környezet betöltése után valósulnak meg, függetlenül attól, hogy a felhasználó melyik alkalmazásprogramot indította el. Ezek a fenyegetések általában az információkhoz való közvetlen jogosulatlan hozzáférésre irányulnak. Az operációs környezethez való hozzáférés során a behatoló használhatja az operációs rendszer vagy valamely nyilvános alkalmazási program (például adatbázis-kezelő rendszerek) szabványos funkcióit és a kifejezetten jogosulatlan hozzáférés végrehajtására létrehozott programokat is, például:
Registry viewerek és módosítások;
Szövegfájlok keresése a programokban kulcsszavakatés másolás;
Speciális programok adatbázisokban lévő rekordok megtekintésére és másolására;
Programok grafikus fájlok gyors megtekintésére, szerkesztésére vagy másolására;
Újrakonfigurálási képességet támogató programok szoftverkörnyezet(ISPD-beállítások az elkövető érdekében).
Végül a harmadik csoportba tartoznak a fenyegetések, amelyek megvalósítását az határozza meg, hogy melyik alkalmazásprogramot indítja el a felhasználó, vagy az, hogy valamelyik alkalmazási program elindul. A legtöbb ilyen fenyegetés rosszindulatú programokkal való befecskendezés.
1.3.3 Az internetmunka protokollok használatával megvalósított személyes adatok biztonságát fenyegető veszélyek általános jellemzői
Ha az ISPD helyi vagy elosztott információs rendszer alapján kerül megvalósításra, akkor az információbiztonsági fenyegetések internetmunka protokollok segítségével valósíthatók meg benne. Ugyanakkor az NSD a PD-nek biztosítható, vagy megvalósulhat a szolgáltatásmegtagadás veszélye. A fenyegetések különösen akkor veszélyesek, ha az ISPD nyilvános hálózatokhoz és (vagy) nemzetközi információcsere hálózatokhoz kapcsolódó elosztott információs rendszer. A hálózaton keresztül megvalósított fenyegetések osztályozási sémája a 4. ábrán látható. Az alábbi hét elsődleges osztályozási jellemzőn alapul.
4. ábra: Internetworking protokollokat használó fenyegetések osztályozási sémája
1. A fenyegetés természete. Ezen az alapon a fenyegetés passzív és aktív lehet. A passzív fenyegetés olyan fenyegetés, amelynek megvalósítása közvetlenül nem érinti az ISPD működését, de a PD vagy hálózati erőforrásokhoz való hozzáférés korlátozására megállapított szabályok sérülhetnek. Ilyen fenyegetésekre példa a "Hálózati forgalomelemzés" fenyegetés, amelynek célja a kommunikációs csatornák meghallgatása és a továbbított információk elfogása. Aktív fenyegetésnek nevezzük az ISPD-erőforrásokra gyakorolt hatáshoz kapcsolódó fenyegetést, amelynek megvalósítása közvetlenül érinti a rendszer működését (konfigurációváltás, teljesítményzavar stb.), és megsérti a PD-hez való hozzáférés korlátozására vonatkozó megállapított szabályokat, ill. hálózati erőforrások. Az ilyen fenyegetésekre példa a szolgáltatásmegtagadási fenyegetés, amelyet "TCP-kérésviharként" forgalmaznak.
2. A fenyegetés megvalósításának célja. Ennek alapján a fenyegetés irányulhat az információk titkosságának, integritásának és elérhetőségének megsértésére (ideértve az ISPD vagy elemei működőképességének megsértését is).
3. A fenyegetés végrehajtási folyamatának megkezdésének feltétele. Ezen az alapon a fenyegetés realizálható:
Kérésre attól az objektumtól, amely ellen a fenyegetést végrehajtják. Ebben az esetben a behatoló egy bizonyos típusú kérés továbbítására vár, ami a jogosulatlan hozzáférés megkezdésének feltétele lesz;
Várható esemény bekövetkezésekor azon a létesítményen, amely ellen a fenyegetést végrehajtják. Ebben az esetben a behatoló folyamatosan figyeli az ISPD operációs rendszer állapotát, és ha egy bizonyos esemény történik ebben a rendszerben, megkezdődik az illetéktelen hozzáférés;
Feltétel nélküli hatás. Ebben az esetben a jogosulatlan hozzáférés megvalósításának megkezdése a hozzáférés céljához képest feltétel nélküli, vagyis a fenyegetés azonnal és a rendszer állapotától függetlenül realizálódik.
4. Elérhetőség Visszacsatolás az ISPD-vel. Ennek alapján a fenyegetés megvalósításának folyamata történhet visszajelzéssel vagy anélkül. A személyes adatok információs rendszerétől érkező visszajelzések jelenlétében végrehajtott fenyegetést az jellemzi, hogy egyes, az ISPD-hez továbbított kérésekre válaszadásra van szükség a jogsértőtől. Ebből következően a jogsértő és a személyes adatok információs rendszere között visszacsatolás van, amely lehetővé teszi a jogsértő számára, hogy megfelelően reagáljon az ISPD-ben bekövetkező valamennyi változásra. Ellentétben a személyes adatok információs rendszeréből származó visszajelzések jelenlétében megvalósított fenyegetésekkel, a visszacsatolás nélküli fenyegetések megvalósítása során nem kell reagálni az ISPD-ben bekövetkezett változásokra.
5. A behatoló helye az ISPD-hez viszonyítva. Ennek a jelnek megfelelően a fenyegetés szegmensen belül és szegmensek között egyaránt megvalósul.
Hálózati szegmens - gazdagépek fizikai társulása (ISPD hardver vagy hálózati címmel rendelkező kommunikációs elemek). Például a személyes adatok információs rendszerének egy szegmense a „közös busz” séma szerint a szerverhez kapcsolódó gazdagépek halmazát alkotja. Abban az esetben, ha szegmensen belüli fenyegetés áll fenn, a behatoló fizikai hozzáféréssel rendelkezik az ISPD hardverelemeihez. Szegmensek közötti fenyegetés esetén az elkövető az ISPD-n kívül tartózkodik, és egy másik hálózatból vagy a személyes adatok információs rendszerének egy másik szegmenséből valósítja meg a fenyegetést.
6. Szint referencia modell Nyílt rendszerek összekapcsolása (ISO/OSI), amelyen a fenyegetés megvalósul. Ennek alapján a fenyegetés az ISO/OSI modell fizikai, csatorna, hálózati, szállítási, munkamenet, prezentáció és alkalmazás szintjén valósítható meg.
7. A megsértők számának és az ISPD-elemeknek az aránya, amelyek ellen a fenyegetést végrehajtják. Ez alapján a fenyegetés besorolható egy behatoló által egy ISPD technikai eszköz ellen ("egy az egyhez" fenyegetés), egyszerre több ISPD technikai eszköz ellen ("egy a sokhoz" fenyegetés), ill. több behatoló által, különböző számítógépekről az ISPD egy vagy több technikai eszközéhez képest (elosztott vagy kombinált fenyegetések).
Figyelembe véve az elvégzett minősítést, megkülönböztetjük a személyes adatok információs rendszerét ért támadások fő típusait:
1. A hálózati forgalom elemzése.
Ezt a fenyegetést speciális csomagszimuláló szoftverrel valósítják meg, amely elfogja a hálózati szegmensen keresztül továbbított összes csomagot, és kiemeli közülük azokat, amelyekben a felhasználói azonosító és jelszó továbbításra kerül. A fenyegetés megvalósítása során a behatoló a hálózat logikáját tanulmányozza – vagyis egy az egyhez való megfeleltetésre törekszik a rendszerben előforduló események és a gazdagépek által küldött parancsok között a fenyegetés fellépésekor. ezeket az eseményeket. A jövőben ez lehetővé teszi a támadó számára, hogy a megfelelő parancsok kiosztása alapján kiváltságos jogokat szerezzen a rendszerben való fellépéshez, vagy abban, hogy kiterjessze hatáskörét, elfogja a hálózati operációs rendszer összetevői között továbbított adatfolyamot annak érdekében, hogy bizalmas vagy azonosító információk kinyerésére, azok helyettesítésére és módosítására.
2.A hálózat szkennelése.
A fenyegetés implementációs folyamatának lényege, hogy kéréseket küldünk az ISPD gazdagépek hálózati szolgáltatásaihoz, és elemezzük a tőlük érkező válaszokat. A cél a használt protokollok, az elérhető portok azonosítása hálózati szolgáltatások, a csatlakozási azonosítók kialakulásának törvényei, az aktív hálózati szolgáltatások meghatározása, a felhasználói azonosítók és jelszavak kiválasztása.
3. A jelszó leleplezésének veszélye.
A fenyegetés megvalósításának célja az UA megszerzése a jelszavas védelem leküzdésével. A támadó számos módszerrel valósíthat meg fenyegetést, például egyszerű brute force, brute force speciális szótárak használatával, rosszindulatú program telepítése a jelszó elfogására, megbízható hálózati objektum meghamisítása és csomagszimulálás. Főleg a fenyegetés végrehajtására használják speciális programok amelyek brutálisan kényszerítő jelszavakkal próbálnak hozzáférni a gazdagéphez. Ha sikeres, a támadó létrehozhat magának egy belépési pontot a jövőbeni hozzáféréshez, amely akkor is érvényben marad, ha a hozzáférési jelszót megváltoztatják a gazdagépen.
4. Megbízható hálózati objektum helyettesítése és üzenetek továbbítása kommunikációs csatornákon a nevében hozzáférési jogainak kiosztásával.
Az ilyen fenyegetést hatékonyan megvalósítják olyan rendszerekben, ahol gyenge algoritmusokat használnak a gazdagépek és felhasználók azonosítására és hitelesítésére. A megbízható objektum egy hálózati objektum (számítógép, tűzfal, útválasztó stb.), amely legálisan kapcsolódik a szerverhez. E fenyegetés megvalósításának két változata különböztethető meg: virtuális kapcsolat létrehozásával és anélkül. A virtuális kapcsolat létrehozásával járó megvalósítási folyamat egy megbízható interakciós alany jogainak hozzárendeléséből áll, ami lehetővé teszi a behatoló számára, hogy munkamenetet folytasson egy hálózati objektummal egy megbízható alany nevében. Az ilyen típusú fenyegetés megvalósítása megköveteli az üzenetazonosítási és -hitelesítési rendszer leküzdését. A fenyegetés virtuális kapcsolat létrehozása nélküli megvalósítása olyan hálózatokban valósulhat meg, amelyek csak a továbbított üzeneteket azonosítják hálózati cím feladó. A lényeg a szolgáltatási üzenetek továbbítása a hálózatvezérlő eszközök nevében (például útválasztók nevében) az útválasztási és címadatok megváltoztatásáról.
A fenyegetés végrehajtása következtében a jogsértő hozzáférési jogokat kap, felhasználó által telepített megbízható előfizető számára az ISPD technikai eszközhöz.
5. Hamis hálózati útvonal előírása.
Ez a fenyegetés kétféleképpen valósul meg: szegmensen belüli vagy szegmensek közötti kikényszerítéssel. A hamis útvonal előírásának lehetősége az útválasztási algoritmusokban rejlő hiányosságokból adódik (különösen a hálózati vezérlőeszközök azonosításának problémája miatt), amelyek eredményeként eljuthat például egy gazdagép vagy egy támadó hálózatához. , ahol az ISPD részeként beléphet egy műszaki eszköz működési környezetébe. A fenyegetés megvalósítása az útválasztási és hálózati vezérlőprotokollok jogosulatlan használatán alapul az útválasztási táblák módosításához. Ebben az esetben a behatolónak vezérlőüzenetet kell küldenie a hálózati vezérlőeszköz (például egy útválasztó) nevében.
6. Hamis hálózati objektum bevezetése.
Ez a fenyegetés a távoli keresési algoritmusok gyenge pontjainak kihasználásán alapul. Ha a hálózati objektumok kezdetben nem rendelkeznek címinformációkkal egymásról, akkor különféle távoli keresési protokollokat használnak, amelyek speciális kérések továbbításából állnak a hálózaton keresztül, és válaszokat kapnak azokra a szükséges információkkal. Ebben az esetben fennáll a lehetőség, hogy a behatoló elfogja keresési lekérdezésés hamis válasz adása rá, amelynek felhasználása az útválasztási és címadatokban a szükséges módosításhoz vezet. A jövőben az áldozat objektumhoz kapcsolódó teljes információáramlás áthalad a hamis hálózati objektumon
7. Szolgáltatás megtagadása.
Ezek a fenyegetések a hálózati szoftverek hibáin alapulnak, azok sebezhetőségein, amelyek lehetővé teszik a behatoló számára, hogy olyan feltételeket teremtsen, amikor az operációs rendszer nem tudja feldolgozni a bejövő csomagokat. Az ilyen fenyegetéseknek több típusa különböztethető meg:
Látens szolgáltatásmegtagadás, amelyet az ISPD-erőforrások egy részének bevonása okoz a támadó által továbbított csomagok feldolgozásához a kommunikációs csatornák sávszélességének, teljesítményének csökkenésével hálózati eszközök, a kérelmek feldolgozási idejére vonatkozó követelmények megsértése. Példák az ilyen típusú fenyegetések megvalósítására: az ICMP protokollon keresztül irányított visszhangkérések vihara, a TCP-kapcsolatok létrehozására irányuló kérések vihara, az FTP-kiszolgálóhoz intézett kérések vihara;
Kifejezett szolgáltatásmegtagadás, amelyet az ISPD-erőforrások kimerülése okoz a támadó által továbbított csomagok feldolgozása során (a kommunikációs csatornák teljes sávszélességének elfoglalása, a szolgáltatáskérési sorok túlcsordulása), amelyben az elérhetetlenség miatt nem lehet jogi kéréseket továbbítani a hálózaton keresztül. az átviteli adathordozón, vagy megtagadják a karbantartást a túlcsorduló kéréssorok, a memória lemezterület stb. miatt. Az ilyen típusú fenyegetésekre példa az ICMP broadcast echo request storm, irányított vihar, levelezőszerver üzenetvihar;
Kifejezett szolgáltatásmegtagadás, amelyet az ISPD technikai eszközei közötti logikai kapcsolat megsértése okoz, amikor az elkövető vezérlőüzeneteket küld a hálózati eszközök nevében, ami az útvonal- és címadatok vagy az azonosítási és hitelesítési információk megváltozásához vezet;
Kifejezett szolgáltatásmegtagadás, amelyet a támadó nem szabványos attribútumokkal rendelkező vagy a megengedett maximális méretet meghaladó hosszúságú csomagokat továbbít, és amely a kérések feldolgozását végző hálózati eszközök meghibásodásához vezethet, feltéve, hogy hibák vannak a hálózati csereprotokollokat megvalósító programokban. . E fenyegetés megvalósításának eredménye az ISPD-ben a PD-hez távoli hozzáférést biztosító megfelelő szolgáltatás teljesítményének megszakadása, az ISPD részeként annyi csatlakozási kérelem átvitele egy címről a műszaki létesítményhez, amely a lehető legnagyobb mértékben képes feldolgozni a forgalmat, ami a kéréssor túlcsordulását és a hálózati szolgáltatások egyikének meghibásodását vagy a számítógép teljes leállását vonja maga után, mivel a rendszer nem tud mást tenni, mint a kérések feldolgozását.
8.Az alkalmazások távoli indítása.
A fenyegetés abban rejlik, hogy különféle, korábban beágyazott rosszindulatú szoftvereket akarnak futtatni az ISPD gazdagépen: könyvjelzőket, vírusokat, "hálózati kémeket", amelyek fő célja az információk bizalmasságának, integritásának, elérhetőségének és működése feletti teljes ellenőrzésnek a megsértése. a gazda. Ezen túlmenően a felhasználói alkalmazásprogramok jogosulatlan elindítása lehetséges az elkövető számára szükséges adatok jogosulatlan megszerzéséhez, az alkalmazási program által vezérelt folyamatok elindításához stb. Ezeknek a fenyegetéseknek három alosztálya van:
Jogosulatlan futtatható kódot tartalmazó fájlok terjesztése;
Az alkalmazás távoli indítása az alkalmazáskiszolgálók pufferének túlcsordulásával;
Az alkalmazás távoli indítása a rejtett szoftver- és hardverlapok által biztosított vagy használt távoli rendszerkezelési képességek használatával rendszeres eszközökkel.
Ezen alosztályok közül az első tipikus fenyegetései az elosztott fájlok aktiválásán alapulnak, amikor véletlenül hozzáférnek. Példák az ilyen fájlokra: olyan fájlok, amelyek végrehajtható kódot tartalmaznak makrók formájában (dokumentumok Microsoft Word, Excel), html dokumentumok, amelyek űrlapon futtatható kódot tartalmaznak ActiveX vezérlők, Java kisalkalmazások, értelmezett szkriptek (például JavaScript rosszindulatú programok); végrehajtható programkódokat tartalmazó fájlok.
Fájlok terjesztésére e-mail, fájlátvitel, hálózati fájlrendszer szolgáltatásai használhatók.
A második alosztály fenyegetései a hálózati szolgáltatásokat megvalósító programok hiányosságait használják fel (különösen a puffertúlcsordulás szabályozásának hiányát). A rendszerregiszterek beállításával esetenként lehetőség van arra, hogy a processzort a puffer túlcsordulási megszakítása után a pufferhatáron kívüli kód végrehajtására kapcsolják.
A harmadik alosztály fenyegetéseinél a behatoló a rejtett összetevők vagy a szabványos felügyeleti és adminisztrációs eszközök által biztosított távoli rendszerfelügyeleti képességeket használja. számítógépes hálózatok. Használatuk eredményeként lehetséges a hálózatban lévő állomás távvezérlése. Sematikusan ezeknek a programoknak a főbb szakaszai a következők: telepítés a memóriába; egy ügyfélprogramot futtató távoli gazdagép kérésének megvárása és készenléti üzenetek cseréje vele; az elfogott információk átadása a kliensnek vagy a megtámadott számítógép feletti irányítás átadása. A különböző osztályokba tartozó fenyegetések megvalósításának lehetséges következményeit az 1. táblázat mutatja be
1. táblázat: A különböző osztályokba tartozó fenyegetések megvalósításának lehetséges következményei
|
№
p/n |
Támadás típusa | Lehetséges következmények | |
| 1 | Hálózati forgalom elemzése | A hálózati forgalom jellemzőinek tanulmányozása, a továbbított adatok lehallgatása, beleértve a felhasználói azonosítókat és jelszavakat | |
| 2 | Hálózati szkennelés | Protokollok meghatározása, a hálózati szolgáltatások elérhető portjai, a kapcsolatazonosítók generálására vonatkozó szabályok, aktív hálózati szolgáltatások, felhasználói azonosítók és jelszavak | |
| 3 | "Jelszó" támadás | Az illetéktelen hozzáféréssel kapcsolatos bármely pusztító tevékenység végrehajtása | |
| 4 | Megbízható hálózati objektum meghamisítása | Üzenetek útvonalának megváltoztatása, az útválasztás és a címadatok jogosulatlan megváltoztatása. A hálózati erőforrásokhoz való jogosulatlan hozzáférés, hamis információk kikényszerítése | |
| 5 | Hamis útvonal előírása | Útvonal- és címadatok jogosulatlan megváltoztatása, továbbított adatok elemzése, módosítása, kiszabás hamis üzenetek̆ | |
| 6 | Hamis hálózati objektum beadása | A forgalom elfogása és megtekintése. A hálózati erőforrásokhoz való jogosulatlan hozzáférés, hamis információk kikényszerítése | |
| 7 | Szolgáltatás megtagadása | Az erőforrások részleges kimerülése | A kommunikációs csatornák sávszélességének csökkenése, a hálózati eszközök teljesítménye. A szerveralkalmazások teljesítményének csökkenése. |
| Az erőforrások teljes kimerülése | Az üzenetek továbbításának lehetetlensége az átviteli közeghez való hozzáférés hiánya miatt, a kapcsolat létrehozásának megtagadása. Szolgáltatás megtagadása. | ||
| Az attribútumok, adatok, objektumok közötti logikai kapcsolat megsértése | A helyes útválasztási és címadatok hiánya miatt nem lehet üzeneteket küldeni. Szolgáltatások fogadásának képtelensége az azonosítók, jelszavak stb. jogosulatlan módosítása miatt. | ||
| Bugok használata a programokban | A hálózati eszközök meghibásodása. | ||
| 8 | Távoli alkalmazásindítás | Pusztító futtatható kódot tartalmazó fájlok küldésével vírusfertőzés. | A titoktartás, az integritás, az információk elérhetősége megsértése. |
| A kiszolgálóalkalmazás puffertúlcsordulásával | |||
| A lehetőségek megragadásával távirányító rendszer, amelyet rejtett szoftver- és hardverlapok vagy használt szabványos eszközök biztosítanak | Rejtett rendszerkezelés. | ||
A fenyegetés realizálási folyamata általában négy szakaszból áll:
Információgyűjtés;
Behatolások (behatolás a működési környezetbe);
Jogosulatlan hozzáférés megvalósítása;
A jogosulatlan hozzáférés nyomainak megszüntetése.
Az információgyűjtés szakaszában a jogsértőt az ISPD-vel kapcsolatos különféle információk érdekelhetik, beleértve:
Annak a hálózatnak a topológiájáról, amelyben a rendszer működik. Ez felderítheti a hálózat körüli területet (például a behatolót a megbízható, de kevésbé biztonságos gazdagépek címei érdekelhetik). Vannak párhuzamos gazdagép-elérhetőségi eszközök, amelyek a címtér nagy területét képesek rövid időn belül átvizsgálni a gazdagép elérhetősége érdekében.;
Az operációs rendszer (OS) típusa az ISPD-ben. Megjegyezheti az operációs rendszer típusának meghatározásának módszerét, mint egyszerű lekérdezés kapcsolat létrehozásához a Telnet távelérési protokollon keresztül, aminek eredményeként a válasz „megjelenése” alapján meghatározhatja a gazdagép operációs rendszer típusát. Bizonyos szolgáltatások jelenléte a gazdagép operációs rendszer típusának további jelzéseként is szolgálhat;
A gazdagépeken működő szolgáltatásokról. A gazdagépen futó szolgáltatások meghatározása a "nyitott portok" módszeren alapul, amely információkat gyűjt a gazdagép elérhetőségéről.
Az invázió szakaszában a rendszerszolgáltatások tipikus sebezhetőségeinek vagy a rendszeradminisztrációs hibáknak a meglétét vizsgálják. A sérülékenységek sikeres kihasználása általában azt eredményezi, hogy a támadó folyamata privilegizált végrehajtási módba kerül (hozzáférés a processzor privilegizált végrehajtási módjához), illegális felhasználói fiókot injektál a rendszerbe, jelszófájlt szerez, vagy megzavarja a támadott gazdagépet.
A fenyegetés ezen fejlődési szakasza általában többfázisú. A fenyegetés megvalósítási folyamatának fázisai közé tartozhatnak például: kapcsolat létrehozása azzal a gazdagéppel, amely ellen a fenyegetést végrehajtják; sebezhetőség azonosítása; rosszindulatú program bevezetése a felhatalmazás érdekében stb.
A behatolási szakaszban megvalósított fenyegetések a TCP / IP protokollverem rétegeire vannak osztva, mivel hálózati, szállítási vagy alkalmazási szinten jönnek létre, az alkalmazott behatolási mechanizmustól függően. A hálózati és szállítási szinteken megvalósított tipikus fenyegetések a következők:
Egy megbízható objektum lecserélését célzó fenyegetés;
Hamis útvonal létrehozását célzó fenyegetés a hálózatban;
Hamis objektum létrehozását célzó fenyegetések a távoli keresési algoritmusok hiányosságaival;
Szolgáltatásmegtagadási fenyegetés.
Az alkalmazásszinten megvalósított tipikus fenyegetések közé tartoznak az alkalmazások jogosulatlan elindítását célzó fenyegetések, olyan fenyegetések, amelyek megvalósítása szoftverhibák bevezetésével, hálózathoz vagy adott gazdagéphez való hozzáférési jelszavak észlelésével, stb. Ha a fenyegetés megvalósítása nem hozta meg a jogsértőnek a legmagasabb hozzáférési jogokat a rendszerben, akkor lehetőség van arra, hogy ezeket a jogokat a lehető legnagyobb szintre kiterjesszék. Ehhez nem csak a hálózati szolgáltatások, hanem az ISPDN gazdagépek rendszerszoftverének sebezhetőségei is felhasználhatók.
A jogosulatlan hozzáférés megvalósításának szakaszában a fenyegetés megvalósításának célja megvalósul:
A titoktartás megsértése (másolás, illegális terjesztés);
Az integritás megsértése (megsemmisítése, megváltoztatása);
Elérhetőség megsértése (blokkolás).
Ugyanebben a szakaszban, ezen műveletek után, általában az úgynevezett "hátsó ajtó" jön létre az egyik szolgáltatás formájában, amely egy bizonyos portot szolgál ki, és végrehajtja a behatoló parancsait. A "hátsó ajtót" a rendszerben hagyják annak érdekében, hogy biztosítsák: a gazdagéphez való hozzáférés lehetőségét, még akkor is, ha az adminisztrátor megszünteti a fenyegetés sikeres megvalósításához használt sebezhetőséget; a lehető legdiszkrétebben hozzáférni a gazdagéphez; a gazdagéphez való gyors hozzáférés képessége (a fenyegetés végrehajtási folyamatának megismétlése nélkül). A „hátsó ajtó” lehetővé teszi a támadók számára, hogy rosszindulatú programot fecskendezzenek be a hálózatba vagy egy adott gazdagépre, például egy „jelszóelemzőt” – egy olyan programot, amely magas szintű protokollok futásakor felhasználói azonosítókat és jelszavakat von ki a hálózati forgalomból. A kártevő-injektálás tárgyai lehetnek hitelesítő és azonosító programok, hálózati szolgáltatások, operációs rendszer kernel, fájlrendszer, könyvtárak stb.
Végül a fenyegetés megvalósításának nyomainak megszüntetésének szakaszában megkísérlik elpusztítani a behatoló cselekményeinek nyomait. Ez eltávolítja a megfelelő bejegyzéseket az összes lehetséges ellenőrzési naplóból, beleértve az információgyűjtés tényére vonatkozó bejegyzéseket is.
1.4 A Bank és tevékenységének jellemzői
A PJSC Citibank az Orosz Föderáció Bankrendszerének pénzügyi és hitelintézete, amely pénzzel és értékpapírokkal pénzügyi tranzakciókat folytat. A Bank pénzügyi szolgáltatásokat nyújt magán- és jogi személyeknek.
A fő tevékenységek jogi személyek és magánszemélyek hitelezése, vállalati ügyfelek számláinak kiszolgálása, lakossági forrás bevonása betétekbe, műveletek deviza- és bankközi piacon, kötvény- és váltóbefektetés.
A Bank pénzügyi tevékenységét 1990. augusztus 1. óta az Oroszországi Bank 356. számú általános banki tevékenységi engedélye alapján végzi.
A Bank három személyes adatinformációs rendszerrel rendelkezik:
A Bank dolgozóinak személyes adatait tartalmazó információs rendszer - 243 személyes adatalany azonosítását teszi lehetővé;
A beléptető és kezelő rendszer személyes adatok információs rendszere - 243 személyes adatalany azonosítását teszi lehetővé;
Az automatizált bankrendszer személyes adatainak információs rendszere - 9681 személyes adatalany azonosítását teszi lehetővé.
1.5 Személyes adatbázisok
A Banknak egyszerre több információs személyes adatot kell védenie, nevezetesen:
A Bank dolgozóinak személyes adatait tartalmazó információs rendszer;
A beléptető és menedzsment rendszer személyes adatainak információs rendszere;
Az automatizált bankrendszer személyes adatainak információs rendszere.
1.5.1 A szervezet alkalmazottainak személyes adatainak információs rendszere
A Bank alkalmazottaira vonatkozó ISPD a Bank alkalmazottaira vonatkozó elhatárolásra szolgál bérek, a HR részleg dolgozóinak automatizálása, a Bank számviteli osztálya dolgozóinak munkájának automatizálása és egyéb személyi és számviteli kérdések megoldása. Az 1C „Bérezés és személyzeti menedzsment” adatbázisból áll, amely egy külön munkaállomáson található, és a hálózaton keresztül csatlakozhat a munkahelyhez. A munkaállomás a HR osztály irodájában található. A munkaállomáson műtő található Microsoft rendszer Windows XP. A munkaállomáson nincs internet kapcsolat.
Teljes név;
Születési dátum;
az útlevél sorozata és száma;
Telefonszám;
Az 1C "Bérezés és személyzetkezelés" szoftverrel és a személyes adatok adatbázisával való munkavégzés joga:
Főkönyvelő;
főkönyvelői asszisztens;
Emberi Erőforrás Osztály vezetője;
A Bank alkalmazottai bérszámfejtéséért felelős alkalmazott.
kézi adatmódosítás;
1.5.2 A beléptető és menedzsment rendszer személyes adatok információs rendszere
A beléptető és kezelő rendszer személyes adatok információs rendszere a Bank különböző helyiségeibe belépő munkavállalók és látogatók személyes adatainak tárolására szolgál. A beléptető és menedzsment rendszer ISDN-jét a Bank biztonsági osztálya használja. Az ISPD adatbázis a biztonsági osztály biztonsági helyiségében található munkaállomásra kerül telepítésre. A Microsoft Windows 7 operációs rendszer telepítve van a munkaállomáson ISPD, a Microsoft DBMS adatbázis-kezelő rendszerként használatos SQL szerver 2012. Az AWP ISPD nem fér hozzá a helyi hálózathoz, és nem fér hozzá az internethez sem.
Az ISPD a következő személyes adatokat tárolja:
Teljes név;
Fénykép egy alkalmazottról.
Az ISPDn beléptető és felügyeleti rendszerekkel való munkavégzés joga:
a Bank biztonsági osztályának vezetője;
a Bank biztonsági osztályának helyettes vezetője;
A Bank biztonsági osztályának munkatársai.
A beléptető és felügyeleti rendszer automatizált munkahelyéhez való hozzáférés:
Rendszeradminisztrátorok a munkaállomás és a szoftver 1C „Bérezés és személyzetkezelés” és a személyes adatok adatbázisának adminisztrálására;
A Bank információbiztonságáért felelős divízió munkatársai az AWP információvédelmi rendszer kezeléséért.
A banki alkalmazottak ISPD-jében a következő funkciók végezhetők el:
Személyes adatok automatikus törlése;
Kézi eltávolítás személyes adatok;
kézi adatmódosítás;
Kézi kiegészítés személyes adatok;
Személyes adatok automatikus keresése.
A személyes adatok információs rendszere olyan adatokat tárol, amelyek a Bank 243 dolgozójának azonosítását teszik lehetővé.
A munkavállaló személyes adatainak feldolgozásával kapcsolatos célok elérése után a személyes adatai törlésre kerülnek az ISPD-ből.
1.5.3 Az automatizált bankrendszer személyes adatok információs rendszere
Az automatizált bankrendszer személyes adatok információs rendszere a legtöbb banki alkalmazott munkájának automatizálására szolgál. Javítja az alkalmazottak termelékenységét. A komplexum automatizált bankrendszerként működik szoftver termékek"CFT-Bank", amelyet a "Center of Financial Technologies" cégcsoport gyárt. Az Oracle szoftvert adatbázis-kezelő rendszerként használják. Az ISPD a Bank szerverén van telepítve, a szerverre telepített operációs rendszer Microsoft Windows Server 2008R2. Az automatizált bankrendszer ISPD-je csatlakozik a bank helyi számítógépes hálózatához, de nem rendelkezik internet-hozzáféréssel. A felhasználók CFT-Bank szoftvertermékekkel csatlakoznak az ISPD adatbázishoz dedikált virtuális terminálokról. Minden felhasználónak saját bejelentkezési neve és jelszava van az ISPD-ben.
Az ISPD-ben kezelt személyes adatok:
Teljes név;
Születési dátum;
az útlevél sorozata és száma;
Telefonszám;
A következő személyek jogosultak a CFT-Bank szoftverrel és személyes adatbázissal dolgozni:
számviteli személyzet;
Hitelügyintézők;
A kockázatkezelési osztály dolgozói;
A biztosítéki osztály dolgozói;
Személyes menedzserek;
Ügyfélmenedzserek;
Biztonsági személyzet.
A munkaállomáshoz való hozzáférés:
Rendszergazdák a szerver, a személyes adatok adatbázisának és a CFT-Bank szoftverének adminisztrálására;
A Bank információbiztonságért felelős divíziójának munkatársai a szerver, a személyes adatok adatbázisa és a CFT-Bank szoftverek kezeléséért.
A banki alkalmazottak ISPD-jében a következő funkciók végezhetők el:
Személyes adatok automatikus törlése;
Személyes adatok kézi törlése;
Személyes adatok kézi hozzáadása;
kézi adatmódosítás;
Személyes adatok automatikus keresése.
A személyes adatok információs rendszere olyan adatokat tárol, amelyek segítségével a Bank 243 dolgozója és 9438 ügyfele azonosítható.
A munkavállaló személyes adatainak feldolgozásával kapcsolatos célok elérése után a személyes adatai törlésre kerülnek az ISPD-ből.
1.6 A Bank helyi hálózatának felépítése és veszélyei
A bank ügyfél-szerver hálózattal rendelkezik. A tartomány neve, amelyben a felhasználók munkaállomásai találhatók: vitabank.ru. A banknak összesen 243 automatizált felhasználói munkaállomása van, valamint 10 virtuális szerverekés 15 virtuális munkaállomás. A rendszeradminisztrációs osztály figyeli a hálózat teljesítményét. A hálózat főként Cisco hálózati berendezésekre épül. A további irodákkal a kommunikáció VPN-csatornákon keresztül történik az internet használatával, az internetszolgáltató aktív és tartalék csatornáin keresztül. Az információcsere a Központi Bankkal egy dedikált csatornán, valamint a hagyományos kommunikációs csatornákon keresztül történik.
A helyi munkaállomásokon minden felhasználó elérheti az Internetet, de a Bank dokumentumaival és információs rendszereivel való munkavégzés csak virtuális munkaállomásokon történik, amelyeken az Internet hozzáférés korlátozott, és csak a Bank helyi erőforrásai vannak betöltve.
A helyi munkaállomásokról az internethez való hozzáférést hozzáférési csoportok határolják:
Minimális hozzáférés - csak a szövetségi szolgáltatások forrásaihoz való hozzáférés, az Oroszországi Bank webhelyéhez;
Normál hozzáférés - minden erőforrás engedélyezett, kivéve a szórakoztatást, a közösségi hálózatokat, a videók megtekintése és a fájlok letöltése tilos.
Teljes hozzáférés – minden erőforrás és fájlfeltöltés engedélyezett;
A hozzáférési csoportok szerinti erőforrásszűrést a proxyszerver valósítja meg.
Az alábbiakban a PJSC Citibank hálózatának diagramja látható (5. ábra).
1.7 Információbiztonsági eszközök
Az információbiztonsági eszközök mérnöki, műszaki, elektromos, elektronikus, optikai és egyéb eszközök és eszközök, műszerek és eszközök összessége műszaki rendszerek, valamint az információvédelem különféle problémáinak megoldására használt egyéb elemek, beleértve a kiszivárgás megelőzését és a védett információk biztonságának biztosítását.
Az információbiztonsági eszközök a szándékos cselekvések megakadályozása szempontjából a megvalósítás módjától függően csoportokba sorolhatók:
Műszaki (hardveres) eszközök. Ezek különféle típusú (mechanikus, elektromechanikus, elektronikus stb.) eszközök, amelyek hardveres információvédelmi problémákat oldanak meg. Megakadályozzák az információkhoz való hozzáférést, beleértve az elfedéssel is. A hardver a következőket tartalmazza: zajgenerátorok, hálózati szűrők, letapogató rádiók és sok más eszköz, amelyek „blokkolják” a potenciális információszivárgási csatornákat, vagy lehetővé teszik azok észlelését. A technikai eszközök előnyei a megbízhatóságukkal, a szubjektív tényezőktől való függetlenségükkel és a módosításokkal szembeni nagy ellenállásukkal kapcsolatosak. Gyengeségek - a rugalmasság hiánya, viszonylag nagy térfogat és tömeg, magas költségek.
5. ábra PJSC Citibank hálózati diagram
A szoftvereszközök közé tartoznak a felhasználók azonosítására, a hozzáférés-szabályozásra, az információtitkosításra, a maradék (működő) információk, például az ideiglenes fájlok törlésére, a védelmi rendszer tesztvezérlésére stb. szolgáló programok. A szoftvereszközök előnyei a sokoldalúság, a rugalmasság, a megbízhatóság, a könnyű telepítés , módosítási és fejlesztési képesség. Hátrányok - a hálózat korlátozott funkcionalitása, a fájlszerver és a munkaállomások erőforrásainak egy részének felhasználása, nagy érzékenység a véletlen vagy szándékos változtatásokra, lehetséges függés a számítógépek típusától (hardverüktől).
A vegyes hardver és szoftver ugyanazokat a funkciókat valósítja meg, mint a hardver és a szoftver külön-külön, és köztes tulajdonságokkal rendelkeznek.
A Bank valamennyi irodahelyiségét a biztonsági szolgálat felügyeli beléptető és felügyeleti rendszerrel, valamint videó megfigyelő rendszerrel. A bank irodahelyiségeibe a beléptetés a beléptető és kezelő rendszer megfelelő engedélyeivel történik. Munkavállalója állásra jelentkezésekor, illetve a Bank látogatója, ha a Bank irodahelyiségébe belépni szükséges, érintés nélküli Proximity kártyát adnak ki, amelyen a felhasználói azonosító rögzítve van, valamint az irodába való belépéskor, ezt az azonosítót továbbítják a beléptető és kezelő rendszernek. A rendszer összehasonlítja azon helyiségek listáját, amelyekbe a kártyahasználó beléphet, azzal a helyiséggel, ahová be szeretne lépni, és engedélyezi vagy korlátozza a belépést.
A Bank munkaállomásain vírusirtó szoftverek telepítve vannak Kaspersky végpont A Security 10, amely rendelkezik az oroszországi FSTEC 3025. számú megfelelőségi tanúsítvánnyal, amely 2019. november 25-ig érvényes, a vírusazonosító adatbázisokat központilag frissítik. szerver rész vírusirtó telepítve a Bankban található szerverre.
Az elektronikus dokumentumkezelés jegybankkal való megszervezésére a Bank illetékesei külön kommunikációs vonalat tartottak.
Az elektronikus dokumentumkezelés megszervezése a szövetségi szolgálatokkal (Szövetségi Adószolgálat, Nyugdíjpénztár Oroszország, Pénzügyi Monitoring Szolgálat stb.) elektronikus aláírást használnak. Valakivel együtt dolgozni Elektronikus aláírás speciális szoftverek vannak telepítve a szövetségi szolgálatok dokumentumforgalmáért felelős előadók helyi munkaállomásaira:
Crypto-Pro CSP;
Crypto-ARM;
CIPF Verba-OW;
CIPF Validat;
Signal-COM CSP.
Bizonyos szoftverek vállalkozó általi használata az adott szövetségi ügynökség követelményeitől függ.
A Cisco Corporation által gyártott Cisco ASA 5512 tűzfal a bank helyi hálózatának szélére van telepítve. A kritikus bankrendszereket (a Bank of Russia Client munkaállomása, SWIFT, a Bank ISPD-je) emellett Cisco tűzfalak választják el a Bank helyi hálózatától. A további irodákkal való kommunikációhoz szükséges VPN-alagutak a Cisco tűzfalak segítségével vannak megszervezve.
1.8 Szervezeti biztosítékok
A brit Ernst & Yong könyvvizsgáló és tanácsadó cég 2014-ben készített tanulmánya szerint a vizsgálatban részt vevő cégek 69 százaléka a cég alkalmazottait tartja az információbiztonsági fenyegetések fő forrásának.
A vállalat alkalmazottai tudatlanságukból vagy az információbiztonság területén fennálló alkalmatlanságukból a szervezet elleni célzott támadásokhoz szükséges kritikus információkat közölhetnek. A támadók beágyazott rosszindulatú szoftverekkel is küldenek adathalász üzeneteket, amelyek lehetővé teszik a támadók számára, hogy átvegyék az irányítást a munkavállaló munkahelye felett, és erről a munkahelyről támadják meg a Bank információs rendszereit.
Ezért a Bankban az információbiztonsági osztály köteles a Bank munkatársait az információbiztonság alapelveire kiképezni, a munkahelyi munkavégzés során figyelemmel kísérni a biztonsági követelmények betartását, valamint tájékoztatni a Bank munkatársait az esetlegesen felmerülő új információbiztonsági veszélyekről. .
A PJSC Citibanknál minden alkalmazott átesik egy bevezető tájékoztatón a munkába álláskor. Valamint az új munkatársak, a más strukturális részlegekből átkerült munkatársak első eligazításon esnek át az információbiztonsági osztályon, melynek során megismertetik a dolgozókkal a Bank információs rendszereivel való munkavégzés alapvető információbiztonsági szabályait, az internetes munkavégzés biztonsági szabályait, a biztonsági szabályokat. e-mailben való munkavégzéskor Bank, a Bank jelszó szabályzata.
A Bank információbiztonsági osztályának munkatársai a rendszerfejlesztés minden szintjén részt vesznek a Bank új információs rendszereinek fejlesztésében és bevezetésében.
A rendszertervezés és az információs rendszer fejlesztésére vonatkozó feladatmeghatározás elkészítésének szakaszában az információbiztonsági osztály biztonsági követelményeket támaszt a rendszerrel szemben.
Az információs rendszer fejlesztésének szakaszában az információbiztonsági osztály munkatársai tanulmányozzák az aktuális dokumentációt, tesztelik a szoftvert a programkód esetleges sérülékenysége szempontjából.
Az információs rendszer tesztelésének és üzembe helyezésének szakaszában az információbiztonsági osztály aktívan részt vesz az információs rendszer tesztelésében, az információs rendszerbe való behatolási és szolgáltatásmegtagadási teszteket végez, valamint hozzáférési jogokat oszt ki az információs rendszerhez.
A már üzembe helyezett információs rendszer működési szakaszában az információbiztonsági osztály figyeli és észleli a gyanús tevékenységet.
Az információs rendszer véglegesítésének szakaszában az információbiztonsági osztály az információs rendszer működése során szerzett adatok alapján új követelményeket állít fel az információs rendszerrel szemben.
A PJSC Citibank Információbiztonsági Osztálya minden internetes forráshoz, valamint a Bank belső erőforrásaihoz való hozzáférés iránti kérelmet jóváhagy.
1.9 A személyes adatok feldolgozásának ciklusa
A Bankban tárolt személyes adatok csak jogszerűen kerültek beszerzésre.
A Bank alkalmazottjának átvett személyes adatait kizárólag a Bank a munkavállalóval kötött szerződésben vállalt kötelezettségeinek teljesítése érdekében kezeli. A Bank alkalmazottjának személyes adatait magától a munkavállalótól szerzi be. A Bank valamennyi dolgozója aláírás ellenében megismerteti a Bank dokumentumait, amelyek meghatározzák a Bank alkalmazottai személyes adatainak kezelésének rendjét, valamint az ezzel kapcsolatos jogaikat és kötelezettségeiket.
A beléptető és menedzsment rendszer ISPD-jében tárolt banki alkalmazottak személyes adatai a munkavállaló munkahelyre történő belépését hivatottak biztosítani.
A Bank ügyfeleinek az automatizált bankrendszer ISPD-jében tárolt személyes adatait ott kizárólag a Bank a Bank ügyfelével kötött szerződésben vállalt kötelezettségeinek teljesítése érdekében kezeli. Szintén az automatizált bankrendszer ISPD-jében feldolgozzák azon személyek személyes adatait, akik nem kötöttek szerződést a Bankkal, de jogszerűen jutottak hozzájuk, például a szövetségi törvény 2. sz. bűnügyi eszközökkel és a terrorizmus finanszírozásával”.
A személyes adatok kezelési céljainak elérése után azokat megsemmisítik vagy személytelenítik.
2. A SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ INTÉZKEDÉSEK KIALAKÍTÁSA A BANKBAN
A PJSC Citibanknál a személyes adatok védelmét állami szintű törvények és helyi szabályozások egyaránt szabályozzák (például a Távbanki szolgáltatások jogi személyeknek, ill. egyéni vállalkozók a PJSC CITIBANK” 1. függelékben).
A PJSC Citibank személyes adatvédelmi rendszere már elég, hogy elkerülje az olyan egyszerű támadásokat, mint az adathalászat és a munkaállomások ransomware vírusokkal való megfertőzése, de nem képes ellenállni a személyes adatok ellopására irányuló célzott támadásoknak.
Végeztem a személyes adatvédelmi rendszer átalakításán, korszerűsítésén.
2.1 A bank helyi számítógépes hálózatának és a személyes adatok információs rendszerének védelmét szolgáló intézkedések
A Citibank hálózatának markáns gyengeségei vannak, amelyek segítségével a támadók teljes hozzáférést kaphatnak a bank hálózatához és átvehetik az irányítást, ezt követően pedig szabadon ellophatják, megváltoztathatják vagy törölhetik az ügyfelek vagy a Bank dolgozóinak személyes adatait.
Mivel a Bank hálózata egyetlen szegmens, a Bank hálózatába behatoló behatolók kockázatának minimalizálása érdekében technológiai eszközökkel több szegmensre kell osztani. virtuális hálózatok.
A virtuális hálózati technológia (VLAN) koncepciója az, hogy a hálózati rendszergazda logikai felhasználói csoportokat hozhat létre benne, függetlenül attól, hogy a hálózat melyik részéhez csatlakozik. A felhasználókat logikai munkacsoportokba vonhatja össze, például az elvégzett munka vagy a közösen megoldott feladat közössége alapján. Ugyanakkor a felhasználói csoportok interakcióba léphetnek egymással, vagy teljesen láthatatlanok lehetnek egymás számára. A csoporttagság megváltoztatható, és egy felhasználó több logikai csoport tagja is lehet. A virtuális hálózatok logikai szórási tartományokat alkotnak, korlátozzák a szórási csomagok áthaladását a hálózaton, csakúgy, mint az útválasztók, amelyek elszigetelik a szórási forgalmat a hálózati szegmensek között. Ily módon a virtuális hálózat megakadályozza a sugárzási viharok előfordulását, mivel a szórási üzenetek a virtuális hálózat tagjaira korlátozódnak, és más virtuális hálózatok tagjai nem fogadhatják azokat. A virtuális hálózatok hozzáférést biztosíthatnak egy másik virtuális hálózat tagjai számára olyan esetekben, amikor szükség van megosztott erőforrásokhoz, például fájlszerverekhez vagy alkalmazásszerverekhez, vagy ahol egy közös feladat különböző szolgáltatások, például hitel- és elszámolási osztályok interakcióját igényli. A virtuális hálózatok a kapcsolóportok, a hálózatba tartozó eszközök fizikai címei és az OSI modell harmadik szintjének protokolljai logikai címei alapján hozhatók létre. A virtuális hálózatok előnye a kapcsolók nagy sebességében rejlik, mivel a modern switchek speciális integrált áramkörök készletet tartalmaznak, amelyeket kifejezetten az OSI modell második szintjén lévő kapcsolási problémák megoldására terveztek. A harmadik szintű virtuális hálózatok a legkönnyebben telepíthetők, ha nincs szükség a hálózati kliensek újrakonfigurálására, a legnehezebb adminisztrálni, mert A hálózati klienssel végzett bármilyen művelet vagy magának az ügyfélnek vagy az útválasztónak az újrakonfigurálását igényli, és ez a legkevésbé rugalmas, mivel a virtuális hálózatok kommunikációjához útválasztásra van szükség, ami növeli a rendszer költségeit és csökkenti a teljesítményét.
Így a virtuális hálózatok létrehozása a Bankban megakadályozza az ARP-hamisító támadásokat. A rosszindulatú tényezők nem tudják elfogni a szerver és a kliens között áthaladó információkat. A hálózatba való behatoláskor a támadók nem tudják átvizsgálni a Bank teljes hálózatát, hanem csak azt a hálózati szegmenst, amelyhez hozzáfértek.
Amikor behatolnak a Bank hálózatába, a támadók mindenekelőtt átvizsgálják a hálózatot, hogy megtalálják a kritikus hálózati csomópontokat. Ezek a csomópontok a következők:
tartományvezérlő;
Mail szerver;
Fájlszerver;
Alkalmazások szervere.
Mivel a Bank helyi hálózatát virtuális hálózati technológia segítségével szervezik meg, a támadók további lépések nélkül nem fogják tudni észlelni ezeket a csomópontokat. Annak érdekében, hogy a támadók megnehezítsék a kritikus csomópontok megtalálását és összezavarását a helyi hálózaton, valamint a jövőben a támadók stratégiájának tanulmányozását a hálózat elleni támadás során, hamis objektumokat kell használni, amelyek vonzzák a támadókat. . Ezeket a tárgyakat Honeypots-nak nevezik.
A Honeypot feladata a támadás vagy az illetéktelen kutatás, amely lehetővé teszi a támadók stratégiájának tanulmányozását, és meghatározza azokat az eszközöket, amelyek segítségével valós biztonsági objektumok támadhatók. A honeypot megvalósítás lehet dedikált szerver vagy egyetlen hálózati szolgáltatás, amelynek feladata a hackerek figyelmének felkeltése.
A mézesedény olyan erőforrás, amely semmit nem csinál anélkül, hogy bármilyen hatással lenne rá. A Honeypot kis mennyiségű információt gyűjt, elemzése után, hogy mely statisztikák épülnek a crackerek által használt módszerekre, valamint az esetleges új megoldások meglétére, amelyeket a későbbiekben felhasználnak az ellenük való küzdelemben.
Például egy olyan webszervernél, amelynek nincs neve, és gyakorlatilag senki sem ismeri, ezért nem szabad, hogy vendégek férhessenek hozzá, így bárki, aki megpróbál betörni, potenciális támadó. A Honeypot információkat gyűjt ezeknek a crackereknek a viselkedéséről és arról, hogyan hatnak a szerverre. Ezt követően az információbiztonsági osztály szakemberei információkat gyűjtenek a behatolók erőforrás elleni támadásairól, és stratégiákat dolgoznak ki a támadások visszaszorítására a jövőben.
Az internetről bejövő információk ellenőrzéséhez és az információbiztonságot fenyegető veszélyek észleléséhez a hálózaton történő továbbításuk szakaszában, valamint a Bank helyi hálózatába behatoló behatolók tevékenységének észleléséhez behatolásgátló rendszer telepítése szükséges a hálózat széle.
A behatolásgátló rendszer egy szoftver vagy hardver hálózatba kötött és számítógép biztonság, amely észleli a behatolásokat vagy a biztonsági réseket, és automatikusan védekezik ellenük.
A behatolásmegelőző rendszerek a behatolásjelző rendszerek kiterjesztéseként tekinthetők, mivel a támadások követésének feladata változatlan marad. Különböznek azonban abban, hogy a behatolásgátló rendszer valós időben figyeli a tevékenységet, és gyorsan végrehajtja a támadásmegelőzési műveleteket.
A behatolásjelző és -megelőzési rendszerek a következőkre oszthatók:
Hálózati behatolásgátló rendszerek – elemzik a szervezet hálózatába irányított, magán a hálózaton áthaladó vagy egy adott számítógépre irányított forgalmat. A behatolásjelző és -megelőzési rendszerek szoftveres vagy hardveres-szoftveres módszerekkel valósíthatók meg, a kerületre telepítve vállalati hálózatés néha azon belül is.
A személyes behatolásgátló rendszerek olyan szoftverek, amelyek munkaállomásokra vagy szerverekre vannak telepítve, és lehetővé teszik az alkalmazások tevékenységének vezérlését, valamint a hálózati tevékenység megfigyelését az esetleges támadások szempontjából.
A Bank hálózatában egy hálózati behatolás-megelőzési rendszert választottak kiépítésre.
Figyelembe vett hálózati rendszerek IBM, Check Point, Fortinet, Palo Alto behatolása, mivel ezen rendszerek gyártóinak deklarált funkcionalitása megfelelt a Bank információbiztonsági részlegének követelményeinek.
A tesztpadok telepítése és a behatolás-megelőzési rendszerek tesztelése után a Check Point rendszert választottuk, amely a legjobb teljesítményt, a legjobb helyi hálózaton továbbított víruskereső alrendszert, a legjobb eszközöket a fontos események naplózására és naplózására, valamint az beszerzési árat mutatta.
Az IBM behatolásgátló rendszerét azért utasították el, mert az eszközök költsége meghaladta az információbiztonsági részleg behatolásgátló rendszer beszerzésére szánt költségvetését.
A Fortinet behatolás-megelőzési rendszerét a hiányos reagálás miatt utasították el, amikor az információbiztonsági osztály teszteket végzett a fertőzött fájlok átvitelére, valamint a nem kellően informatív eszközöket a fontos események naplózására.
A Palo Alto behatolásgátló rendszerét elutasították, mert nem voltak kellően informatív eszközök a fontos események naplózásához, a rendszerrel való munka túlságosan bonyolult volt, és inkább útválasztóként viselkedett.
A Check Point behatolás-megelőzési rendszert választották a helyi hálózatban való megvalósításhoz. Ez a rendszer az információbiztonsági fenyegetések magas szintű észlelését, rugalmas beállításokat, a funkcionalitás bővítésének lehetőségét mutatta további szoftvermodulok vásárlásával, hatékony rendszerrel rendelkezik a fontos események naplózására és egy hatékony eszközkészlettel az incidensjelentések készítésére, amely használható. sokkal könnyebben kivizsgálja az információbiztonsági incidenseket.
A PJSC Citibank megváltozott architektúrájú hálózati diagramja a 6. ábrán látható.
2.2 Szoftver- és hardvervédelem
Mivel a személyes adatok biztonságát csak hálózatvédelem nem tudja biztosítani, a behatolók a hálózat védelmét szolgáló minden intézkedés ellenére hozzáférhetnek a Bank hálózatához.
6. ábra PJSC Citibank hálózati diagram további biztonsági rendszerekkel
A támadásokkal szembeni ellenállóbb védelem érdekében a hálózat védelmét szolgáló eszközökhöz szükséges a helyi munkaállomások, virtuális munkaállomások, virtuális és normál szerverek szoftveres és hardveres védelmi eszközeinek kiegészítése.
Mint ismeretes, a vírusirtó programok nem nyújtanak teljes védelmet a rosszindulatú szoftverekkel szemben, mivel az aláírás-elemzés elvén működnek. Egy víruskereső szoftverekkel foglalkozó cég szakemberei vannak, akik figyelemmel kísérik a vírusok tevékenységét az interneten, tanulmányozzák a vírusszoftverek viselkedését a tesztállomásokon, és aláírásokat készítenek, amelyeket ezt követően a víruskereső szoftver aláírási adatbázisának frissítésével elküldenek a felhasználók számítógépére. Miután megkapta a víruskereső szoftver aláírásainak frissített adatbázisát, a vírusirtó átvizsgálja a felhasználó munkaállomásán lévő fájlokat, és keresi a rosszindulatú szoftverek jeleit; ha az ellenőrzés során ilyen jeleket talál, a vírusirtó ezt jelzi, és a a felhasználó vagy a víruskereső rendszergazdája által megadott beállítások. Így, ha a kártevőt nem észlelik és nem elemzik a vírusirtó szoftvergyártó cég szakemberei, akkor a vírusirtó nem fogja tudni észlelni a kártevőt, és nem fog semmilyen lépést tenni, a vizsgált fájlt biztonságosnak tekintve. Ezért a hálózathoz való hozzáférés és a rosszindulatú szoftverek elindításának valószínűségének csökkentése érdekében egy második áramkört telepítettek a Bankba. vírusvédelem. Mivel a legtöbb víruskereső szoftvert gyártó cég egymástól elkülönülten dolgozik, a kártevőket, amelyeket még nem észlelt az egyik vírusirtó szoftvergyártó cég, egy másik fejlesztő képes észlelni, és máris létre lehet hozni aláírásokat az észlelt fenyegetéshez.
Egy ilyen séma megvalósításához egy virtuális munkaállomást hoztak létre, amelyre telepítették a Doctor WEB Enterprise víruskereső biztonsági csomagot, amely rendelkezik az oroszországi FSTEC 2446. számú megfelelőségi tanúsítvánnyal, amely 2017. szeptember 20-ig érvényes. A banki alkalmazottak által munkájuk során letöltött összes fájl erre az állomásra kerül, és vírusirtó ellenőrzi. Ha rosszindulatú szoftvert észlel, a víruskereső e-mailt küld az információbiztonsági osztálynak a fenyegetés nevével és a fertőzött fájl tárolási útvonalával. Az információbiztonsági osztály lépéseket tesz a rosszindulatú szoftverek eltávolítására. Ha a felhasználók által feltöltött fájlok átmennek a víruskereső szoftver ellenőrzésén, a fájlt feltöltő felhasználó kéri az információbiztonsági osztályt, és az osztály munkatársai továbbítják a letöltött fájlt a felhasználónak.
Emellett nagy mennyiségű rosszindulatú szoftver érkezik a Bank alkalmazottaihoz ezen keresztül email. Ezek lehetnek közönséges titkosító vírusok és rosszindulatú szoftverek is, amelyek lehetővé teszik a támadók számára, hogy távoli kapcsolaton keresztül behatoljanak a Bank alkalmazottjának fertőzött számítógépébe.
Az ilyen fenyegetések kockázatának minimalizálása érdekében a ClamAW vírusirtó szoftvert telepítettük a Bank levelezőszerverére, amely a védelmet szolgálja. levelezőszerverek.
Az olyan belső behatolók illetéktelen hozzáférése elleni védelem érdekében, akik valamilyen módon megtanulták egy helyi állomás felhasználójának jelszavát, aki hozzáfér a személyes adatok információs rendszereihez, szükség van egy információvédelmi rendszer telepítésére a jogosulatlan hozzáférés ellen a személyes adatokkal dolgozó felhasználók helyi munkaállomásaira. adatinformációs rendszerek.
.A Bank dolgozóinak képzését az információbiztonsági osztály szakembere végzi.
Az információbiztonsági osztály munkatársa a Bank tervben meghatározott részlegében tart képzést. A képzést követően az egység dolgozói teszteken mennek keresztül, amelyekben megerősítik a képzés során megszerzett tudást.
Az alapvető biztonsági szabályzat szabályozza a képzés lebonyolítását minden egységben évente legalább négy alkalommal.
Továbbá az információbiztonsági osztály munkatársai a munkavállalók képzésével párhuzamosan kötelesek legalább havonta egy tájékoztató levelet küldeni a Bank valamennyi dolgozójának, amelyben ismertetik a Bank információbiztonságát érintő alapvető biztonsági szabályokat, új veszélyeket, ha ilyeneket észlelnek.
2.3.2 Az alkalmazottak internetes forrásokhoz való hozzáférésének rendje
A Bank 3 hozzáférési csoporttal rendelkezik az internethez, de a hozzáférések ilyen megosztása nem hatékony, mivel a munkavállalónak a feladatai ellátásához esetleg a teljes hozzáférési csoportba tartozó hálózati erőforrásból kell információt szereznie, teljes hozzáférést biztosít az internethez, ami nem biztonságos.
6. csoport: archívumok letöltése - a csoport nem biztosít hozzáférést az internetes forrásokhoz;7. csoport: letöltés futtatható fájlok- a csoport nem biztosít hozzáférést az internetes forrásokhoz;
8. csoport: teljes hozzáférés az internethez - teljes hozzáférés az internetes erőforrásokhoz, bármilyen fájl letöltése.
Az internetes erőforrásokhoz való hozzáféréshez az alkalmazott egy alkalmazást hoz létre a ServiceDesk rendszeren keresztül, és az osztályvezető vagy a menedzsment, valamint az információbiztonsági osztály munkatársa jóváhagyását követően hozzáférést kap az internetes erőforrásokhoz a kért csoportnak megfelelően. .
2.3.3 Az alkalmazottak bankon belüli forrásokhoz való hozzáférésének eljárása
A munkavállaló munkájára vonatkozó fő dokumentumok a helyi munkahelyen vagy abban az automatizált rendszerben találhatók, amelyben dolgozik. A Bank fájlszerverén a Bank minden részlegéhez tartozik egy rész, amely a részleg több dolgozója számára szükséges információkat tárolja, és amely nagy méretű a Bank e-mailben történő továbbítására.
Amikor új munkavállaló kerül a Banknál munkába, közvetlen vezetője a ServiceDesk rendszeren keresztül kérelmet küld a rendszeradminisztrációs osztálynak a bankon belüli erőforráshoz való hozzáférésre, majd miután a jelentkezést az információbiztonsági osztály munkatársa jóváhagyta, a rendszeradminisztrációs osztály munkatársa hozzáférést biztosít az új munkatársnak a kért erőforráshoz.
Gyakran vannak olyan helyzetek, amikor a Bank több részlegének munkája keresztezi egymást, és az információcseréhez ezeknek a részlegeknek egy különálló részlegre van szükségük a Bank fájlszerverén.
Ennek a szakasznak a létrehozásához a projektmenedzser, a projektben részt vevő egyik részleg vezetője létrehoz egy alkalmazást a ServiceDesk rendszeren keresztül. megosztott erőforrásés ehhez az erőforráshoz való hozzáférést osztályuk egyes alkalmazottai, akik közös projekten dolgoznak, és az osztályvezető, akivel együttműködik a projektben. Az információs tiszt jóváhagyását követően a rendszeradminisztrációs tiszt létrehozza a kért erőforrást, és hozzáférést biztosít a kért alkalmazottaknak. A projektben résztvevő osztályvezetők csak a beosztottak számára kérnek hozzáférést.
2.3.4 Hogyan dolgoznak az alkalmazottak az e-mailekkel
Korábban az alapvető biztonsági szabályzat megalkotása előtt minden alkalmazott maga határozta meg a külső levelezőszerverekről e-mailben kapott levelek és fájlok veszélyességi fokát.
Az alapvető biztonsági szabályzat elkészítése után minden felhasználó köteles minden egyes külső levelezőszerverről e-mailben kapott fájlt elküldeni az információbiztonsági osztálynak kártékony szoftverek ellenőrzésére, a levelek veszélyességének mértékét a dolgozó önállóan határozza meg. Ha a Bank alkalmazottja azt gyanítja, hogy egy bejövő üzenet spam-et vagy adathalászatot tartalmaz, köteles a levelet teljes terjedelemben elküldeni, azaz a feladóra vonatkozó összes hivatalos adatot, Postafiókés IP-címét az információbiztonsági osztálynak. Az információbiztonsági osztály egy gyanús levél elemzése és a levél fenyegetésének megerősítése után elküldi a levél feladójának címét a rendszeradminisztrációs osztálynak, a rendszeradminisztrációs osztály munkatársa pedig feketelistára teszi a levél feladójának címét.
Mindig takarja le a munkahelyet, amikor leszokik róla.
2.3.6 A munkavállalók személyes adatokhoz való hozzáférésének szabályai
Az Orosz Föderáció Munka Törvénykönyve 14. fejezetének 89. cikke szerint a Bank alkalmazottjának joga van hozzáférni személyes adataihoz, de a Bank más alkalmazottainak vagy a Bank ügyfeleinek személyes adatait csak hivatali feladatai teljesítése érdekében kezelheti. .
A személyes adatok információs rendszereihez való hozzáférés ellenőrzése érdekében a bank az alábbi szabályokat alakította ki a személyes adatok információs rendszereihez való hozzáférésre vonatkozóan:
Csak azok a munkavállalók férhetnek hozzá az ISPD-hez, akiknek munkaköri feladatai közé tartozik a személyes adatok kezelése;
Az ISPD-hez való hozzáférés csak a személyes adatokkal dolgozó munkavállaló helyi munkahelyéről engedélyezett;
A Bank olyan dokumentumot készített, amely vezetéknévvel határozza meg azokat a munkavállalókat, akik hozzáférhetnek a Bank alkalmazottai és ügyfelei személyes adataihoz, feltüntetve a Személyes Adatok Információs Rendszerét és a munkavállaló által feldolgozható személyes adatok listáját.
3. A PROJEKT GAZDASÁGI INDOKLÁSA
A személyes adatvédelmi rendszer megvalósításához meg kell vásárolni:
A Bank hálózatának védelmét szolgáló berendezések;
Információbiztonsági hardver;
Információbiztonsági szoftver.
A szervezet hálózatának újjáépítéséhez Cisco Catalyst 2960 switchek beszerzése szükséges 3 példányban. A Bank hálózatának törzsszintjén egy kapcsoló, a disztribúciós szintű működéshez 2 másik kapcsoló szükséges. hálózati hardver részt vesznek azok is, akik a bankban dolgoztak a hálózati átalakítás előtt.
Teljes költség (RUB) 9389159 613
Doctor WEB Enterprise biztonsági ruha155005500
Teljes költség 1 371 615
KÖVETKEZTETÉS
Érettségi projektemben áttekintettem a személyes adatok védelmének jogi kereteit. Megvizsgáltam a személyes adatok biztonságát fenyegető főbb forrásokat.
A figyelembe vett személyes fenyegetések alapján elemeztem meglévő rendszer Személyes adatok védelme a PJSC Citibanknál, és arra a következtetésre jutott, hogy azt komolyan javítani kell.
Az érettségi projekt során hiányosságokat találtak a Bank helyi hálózatában. Figyelembe véve a Bank helyi hálózatában feltárt hiányosságokat, intézkedéseket határoztak meg a Bank hálózatának információbiztonsági kockázatainak minimalizálására.
A Bank alkalmazottai és ügyfelei személyes adatait feldolgozó munkavállalók helyi munkahelyének védelmét szolgáló eszközök és szoftverek is mérlegelésre és kiválasztására kerültek.
Közreműködésemmel egy olyan rendszer jött létre, amely felhívja a munkavállalók figyelmét az információbiztonsági kérdésekre.
Alapvetően átalakult a Bank dolgozóinak internetelérési eljárása, valamint az internetelérési csoportok kialakítása. Az új internetelérési csoportok lehetővé teszik az információbiztonsági kockázatok jelentős csökkentését, mivel a felhasználók korlátozottan tudnak letölteni fájlokat és hozzáférni a nem megbízható erőforrásokhoz.
A hálózat újjáépítésének és egy életképes, a legtöbb információbiztonsági fenyegetést tükröző személyes adatvédelmi rendszer létrehozásának költségére vonatkozó számításokat megadjuk.
HASZNÁLT IRODALOM JEGYZÉKE
1. „Az Orosz Föderáció alkotmánya” (1993. december 12-i népszavazás) (az Orosz Föderáció 2008. december 30-i, az Orosz Föderáció alkotmányának módosításairól szóló törvényei által végrehajtott módosításokra is figyelemmel N 6- FKZ, 2008. december 30. N 7-FKZ, 2014. február 5. N 2-FKZ, 2014. július 21. N 11-FKZ) // Az Orosz Föderáció Alkotmányának hivatalos szövege, július 21-én módosított formában , 2014, megjelent a jogi információk hivatalos internetes portálján http://www.pravo.gov.ru, 2014.01.08.
2. "A személyes adatok biztonságát fenyegető veszélyek alapmodellje a személyes adatok információs rendszerekben történő feldolgozása során" (Kivonat) (az Orosz Föderáció FSTEC-je által 2008. február 15-én jóváhagyva)
3. 2006. július 27-i N 149-FZ szövetségi törvény (a 2016. július 6-án módosított) „Az információról, az információs technológiákról és az információvédelemről” // A dokumentumot nem tették közzé ebben a formában. A dokumentum eredeti szövege a " orosz újság", N 165, 2006.07.29
4. "Az Orosz Föderáció Munka Törvénykönyve" 2001. december 30-i N 197-FZ (a 2016. július 3-i módosítással) (módosítva és kiegészítve, hatályba lépett 2016. október 3-án) // A dokumentumot nem tették közzé ebben a formában a dokumentum eredeti szövege megjelent a Rossiyskaya Gazeta, N 256, 2001.12.31.
5. Az Orosz Föderáció kormányának 2012.11.01-i N 1119 rendelete "A személyes adatok személyes adatok információs rendszerekben történő feldolgozása során történő védelmére vonatkozó követelmények jóváhagyásáról" // "Rossiyskaya Gazeta", N 256, 2012.11.07.
6. Az oroszországi FSTEC 2013. február 18-i rendelete N 21 „A személyes adatok biztonságát biztosító szervezési és technikai intézkedések összetételének és tartalmának jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során” (regisztrálva a minisztériumban Oroszország igazságszolgáltatása 2013. május 14-én N 28375) // „Orosz újság”, N 107, 2013.05.22.
7. „A Bank of Russia szabványa „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása. Általános rendelkezések "STO BR IBBS-1.0-2014" (az Oroszországi Bank 2014. május 17-i N R-399 rendeletével fogadták el és léptették hatályba) // A Bank of Russia Bulletin of the Bank of Russia, No. 48-49, 2014. május 30
8. „Szabályzat a pénzátutalások során az információk védelmének biztosítására vonatkozó követelményekről és az Oroszországi Bank által a pénzátutalások során az információvédelem biztosítására vonatkozó követelmények betartásának ellenőrzésére vonatkozó eljárásról” (a Bank által jóváhagyva) Oroszország 2012. június 9-i N 382-P) (2014. augusztus 14-i módosítással) (2012. június 14-én az orosz igazságügyi minisztériumnál regisztrálva N 24575) // A dokumentumot nem tették közzé ebben a formában, az eredeti a dokumentum szövege megjelent a Bank of Russia Bulletinjében, N 32, 2012.06.22.
9. „A „Bűnözésből származó jövedelmek legalizálása (mosása) és a terrorizmus finanszírozása elleni küzdelemről szóló szövetségi törvény által előírt információknak a hitelintézetek által a felhatalmazott szervhez történő benyújtására vonatkozó eljárásra vonatkozó szabályok” (jóváhagyta az Oroszországi Bank). 2008. augusztus 29-én N 321-P) (módosítva. 2015. 10. 15.) (az „Az információbiztonság biztosítási eljárása az ÖKO továbbítása és fogadása során”, „Az ÖKO megalakításának szabályai ill. az ECO-rekordok egyes mezőinek kitöltése”) (2008.09.16-án bejegyezve az orosz igazságügyi minisztériumban N 12296) // Ebben a formában a dokumentumot nem tették közzé, A dokumentum eredeti szövege megjelent a Bulletinben a Bank of Russia, N 54, 2008.09.26
10. Az oroszországi FSTEC 2013. február 18-i rendelete N 21 „A személyes adatok személyes adatok információs rendszerekben történő feldolgozása során a személyes adatok biztonságát biztosító szervezeti és technikai intézkedések összetételének és tartalmának jóváhagyásáról” (regisztrálva a Minisztériumban Oroszország igazságszolgáltatása 2013. május 14-én N 28375) // „Orosz újság”, N 107, 2013.05.22.
11. Averchenkov V.I., Rytov M.Yu., Gainulin T.R. Személyes adatok védelme a szervezetekben. M.: Flinta, 2018
12. Agapov A. B. A közigazgatás alapjai az informatizálás területén az Orosz Föderációban. M.: Jogász, 2012
13. Kostin A. A., Kostina A. A., Latyshev D. M., Moldovyan A. A. Szoftverkomplexumok"AURA" sorozat a személyes adatok információs rendszereinek védelmére // Izv. egyetemek. hangszerelés. 2012. V. 55., 11. sz
14. Moldovyan A. A. Kriptográfia a számítógépes információk védelmére (1. rész) // Integral. 2014. 4. szám (18)
15. Romanov O.A., Babin S.A., Zhdanov S.G. Az információbiztonság szervezeti támogatása. - M.: Akadémia, 2016
16. Shults V.L., Rudchenko A.D., Yurchenko A.V. Üzleti biztonság. M.: Yurayt Kiadó, 2017
Pályázatok (elérhető az archívumban a munkával együtt).
Különösen keresletté vált a külföldi vállalatok orosz részlegei számára a 152-FZ „Személyes adatokról” szóló 18. cikk 5. részének kiegészítése kapcsán: „... az üzemeltető köteles biztosítani a rögzítést, rendszerezést, felhalmozást, tárolást , pontosítás (frissítés, módosítás), személyes adatok az Orosz Föderáció állampolgárai az Orosz Föderáció területén található adatbázisokat használva" . A törvényben számos kivétel található, de el kell ismerni, hogy a szabályozó ellenőrzése esetén megbízhatóbb ütőkártyákat szeretne kapni, mint a "de ez minket nem érint".
A szabálysértők büntetése nagyon szigorú. online vásárlás, közösségi média, információs oldalak, egyéb kapcsolódó vállalkozások Internet a felügyeleti hatóságoktól érkező követelések esetén azok ténylegesen lezárhatók. Talán az első ellenőrzéskor a szabályozó időt ad a hiányosságok kiküszöbölésére, de az időtartam általában korlátozott. Ha a probléma nem oldódik meg túl gyorsan (ami előzetes felkészülés nélkül nehezen megy), a veszteségek már nem kompenzálhatók. A weboldal blokkolása nem csak az értékesítés szüneteléséhez vezet, hanem piaci részesedés elvesztését is jelenti.
Az offline cégek személyes adatairól szóló törvény megsértőinek megjelenése a „fekete listán” kevésbé drámai. Ez azonban reputációs kockázatokkal jár, ami jelentős tényező a külföldi vállalatok számára. Ráadásul ma már szinte nincs olyan tevékenység, amely egyáltalán nem kapcsolódik a személyes adatok védelméhez. A bankok, a kereskedelem, még a gyártás is – mind fenntartják az ügyfélbázist, ami azt jelenti, hogy a vonatkozó törvények hatálya alá tartoznak.
Itt fontos megérteni, hogy a vállalatokon belül sem lehet a kérdést elszigetelten vizsgálni. A személyes adatok védelme nem korlátozható azzal, hogy hiteles biztonsági eszközöket telepítenek a szerverekre és papírkártyákat zárnak a széfekbe. A személyes adatoknak számos belépési pontja van a cégbe – értékesítési osztályok, HR, ügyfélszolgálat, esetenként szintén képzési központok, beszerzési jutalékok és egyéb részlegek. A személyes adatok védelme összetett folyamat, amely befolyásolja AZT, iratfolyamat, szabályzat, jogi regisztráció.
Nézzük meg, mi kell egy ilyen folyamat futtatásához és fenntartásához.
Milyen adatok minősülnek személyesnek
Szigorúan véve minden olyan információ, amely közvetlenül vagy közvetve egy adott személyre vonatkozik, az ő személyes adata. Vegye figyelembe, hogy emberekről beszélünk, nem jogi személyekről. Ebből kiderül, hogy ezen (valamint a kapcsolódó) adatok védelmének kezdeményezéséhez elegendő a teljes név és lakcím feltüntetése. Azonban egyre email valakinek a személyes adataival aláírás formájában és telefonszám nincs miért megvédeni őket. Kulcsfogalom: "A személyes adatok gyűjtésének fogalma." A szövegkörnyezet tisztázása érdekében a személyes adatokról szóló törvény több cikkét szeretném kiemelni.
5. cikk A személyes adatok kezelésének elvei. Világos célokat kell kitűzni, amelyek világossá teszik, hogy miért gyűjtik ezeket az információkat. Ellenkező esetben még az összes többi norma és szabály teljes betartása esetén is valószínű a szankció.
10. cikk A személyes adatok különleges kategóriái. Például a személyzeti osztály rögzítheti az üzleti utakra vonatkozó korlátozásokat, beleértve az alkalmazottak terhességét is. Természetesen az ilyen kiegészítő információk is védelem alá esnek. Ez nagymértékben kibővíti a PD megértését, valamint a vállalat azon részlegeinek és információs tárhelyeinek listáját, amelyekben a védelemre figyelmet kell fordítani.
12. cikk A személyes adatok határokon átnyúló továbbítása. Ha az Orosz Föderáció állampolgáraira vonatkozó adatokat tartalmazó információs rendszer olyan ország területén található, amely nem ratifikálta a személyes adatok védelméről szóló egyezményt (például Izraelben), akkor az orosz jogszabályok rendelkezéseit kell követni.
22. cikk. Tájékoztató a személyes adatok kezeléséről. Kötelező feltétel annak érdekében, hogy ne vonják magukra a szabályozó indokolatlan figyelmét. Vezet vállalkozói tevékenység PD-vel kapcsolatos - jelentse be saját maga, az ellenőrzések megvárása nélkül.
Hol találhatók a személyes adatok
Technikailag a PD bárhol elhelyezhető, a nyomtatott adathordozóktól (papír iratszekrények) a gépi adathordozókig (merevlemezek, flash meghajtók, CD-k stb.). Vagyis minden olyan adattároláson van a hangsúly, amely az ISPD (személyes adatinformációs rendszerek) definíciója alá esik.
Külön nagy kérdés a helyszín földrajzi elhelyezkedése. Egyrészt az oroszok (az Orosz Föderáció állampolgárai) személyes adatait az Orosz Föderáció területén kell tárolni. Másrészt jelenleg ez inkább a helyzet alakulásának vektora, mintsem kész tény. Sok nemzetközi és exportcég, különböző holdingok, vegyesvállalatok történelmileg elosztott infrastruktúrával rendelkeznek – és ez nem fog egyik napról a másikra megváltozni. Ellentétben a személyes adatok tárolásának és védelmének módszereivel, amelyeket szinte most, azonnal korrigálni kell.
A PD rögzítésében, rendszerezésében, felhalmozásában, tárolásában, pontosításában (frissítésében, módosításában), kinyerésében részt vevő osztályok minimális listája:
- Személyzeti szolgáltatás.
- Értékesítési osztály.
- Jogi osztály.
Mivel ritkán uralkodik tökéletes rend, a valóságban gyakran a legkiszámíthatatlanabb egységek is felkerülhetnek erre az „elvárt” listára. Például egy raktárban lehetnek személyre szabott információk a beszállítókról, vagy egy biztonsági szolgálat saját részletes nyilvántartást vezethet mindenkiről, aki belép a területre. Így egyébként az alkalmazottak PD összetétele kiegészíthető a megrendelők, partnerek, vállalkozók, valamint véletlenszerű, sőt mások látogatóinak adataival is – akiknek a PD-je igazolvány beolvasásakor "bűn" lesz. kártya és néhány más esetben. Az ACS (access control and management systems) könnyen problémaforrássá válhat a személyes adatok védelmével összefüggésben. Ezért a válasz a "Hol?" a Törvény betartása szempontjából így hangzik: mindenhol a számonkérhető területen. Pontosabb választ csak megfelelő ellenőrzés elvégzésével lehet adni. Ez az első szakasz projekt személyes adatok védelme érdekében. Teljes lista fő fázisai:
1) A vállalat jelenlegi helyzetének ellenőrzése.
2) Műszaki megoldás tervezése.
3) A személyes adatok védelmét szolgáló eljárás előkészítése.
4) A személyes adatok védelmét szolgáló technikai megoldás és eljárás ellenőrzése az Orosz Föderáció jogszabályainak és a vállalati szabályzatoknak való megfelelés érdekében.
5) Műszaki megoldás megvalósítása.
6) A személyes adatok védelmét szolgáló eljárás elindítása.
1. A vállalat jelenlegi helyzetének auditálása
Mindenekelőtt érdeklődjön a személyzeti szolgálatnál és a személyes adatokat tartalmazó papíralapú adathordozókat használó más részlegeknél:
- Vannak-e beleegyezési formák a személyes adatok feldolgozásához? Elkészültek és aláírták?
- Betartják-e a 2008. szeptember 15-én kelt, 687. sz. „Az automatizálási eszközök használata nélkül végzett személyes adatok kezelésének sajátosságairól szóló rendeletet”?
Határozza meg az ISPD földrajzi elhelyezkedését:
- Milyen országokban vannak?
- Milyen alapon?
- Vannak szerződések a használatukra?
- Milyen technológiai védelmet alkalmaznak a PD szivárgásának megakadályozására?
- Milyen szervezeti intézkedéseket tesznek a PD védelme érdekében?
Ideális esetben az oroszok PD-vel rendelkező információs rendszerének meg kell felelnie a 152-FZ „A személyes adatokról” törvény összes követelményének, még akkor is, ha külföldön található.
Végül figyeljen az ellenőrzéshez szükséges dokumentumok lenyűgöző listájára (ez nem minden, csak a fő lista):
- PD feldolgozási értesítés.
- A PD feldolgozásának megszervezéséért felelős személyt azonosító dokumentum.
- A PD feldolgozására jogosult alkalmazottak listája.
- A PD-tárhely helyét meghatározó dokumentum.
- Tájékoztatás a személyes adatok speciális és biometrikus kategóriáinak kezeléséről.
- PD határokon átnyúló átutalásának igazolása.
- Szabványos dokumentumok PD-vel.
- A személyes adatok kezeléséhez való hozzájárulás szabványos formája.
- A PD harmadik fél részére történő továbbításának eljárása.
- A PD alanyi kérelmek elszámolásának eljárása.
- A személyes adatok információs rendszereinek listája (ISPD).
- Az adatmentést szabályozó dokumentumok az ISPD-ben.
- A használt információbiztonsági eszközök listája.
- A PD megsemmisítésének eljárása.
- Access Matrix.
- fenyegetési modell.
- A gépi adathordozók naplója PD.
- Az egyes ISPD-k biztonsági szintjeit meghatározó dokumentum, a PP-1119. sz., 2012. november 1-i keltezésű „A személyes adatok személyes adatok információs rendszerekben történő feldolgozása során történő védelmére vonatkozó követelmények jóváhagyásáról”.
2. Műszaki megoldás tervezése
A PD védelme érdekében meghozandó szervezési és technikai intézkedések leírása a „Személyes adatokról” szóló 152-FZ törvény 4. „Üzemeltető kötelezettségei” című fejezetében található. A műszaki megoldásnak a 2014. július 21-i 242-FZ törvény 2. cikkének rendelkezésein kell alapulnia.
De hogyan lehet betartani a törvényt és feldolgozni az Orosz Föderáció állampolgárainak PD-jét Oroszország területén abban az esetben, ha az ISPD még mindig külföldön található? Itt több lehetőség is van:
- Az információs rendszer és adatbázis fizikai átvitele az Orosz Föderáció területére. Ha technikailag megvalósítható, akkor ez lesz a legegyszerűbb.
- Külföldön hagyjuk az ISPD-t, de Oroszországban másolatot készítünk róla, és létrehozzuk az Orosz Föderáció állampolgárainak PD egyirányú replikációját egy orosz másolatról egy külföldire. Ugyanakkor egy külföldi rendszerben ki kell zárni az Orosz Föderáció állampolgárai személyes adatainak módosításának lehetőségét, minden szerkesztést csak az orosz ISPD-n keresztül.
- Számos ISPD létezik, és mindegyik külföldön van. Az átvitel költséges, sőt technikailag kivitelezhetetlen lehet (például lehetetlen az adatbázis egy részét az Orosz Föderáció állampolgárainak személyes adataival elkülöníteni, és Oroszországba áthelyezni). Ebben az esetben a megoldás egy új ISPD létrehozása lehet egy oroszországi szerver bármely elérhető platformján, ahonnan egyirányú replikáció történik minden külföldi ISPD-re. Megjegyzem, hogy a platform kiválasztása a vállalaton múlik.
Ha a PDIS nem került teljes egészében és kizárólagosan Oroszországba, ne felejtse el feltüntetni a határokon átnyúló adattovábbítási tanúsítványban, hogy kinek és melyik PD-készletet küldi. A személyes adatok továbbításának célját az adatkezelésről szóló értesítésben fel kell tüntetni. Ennek a célnak ismét legitimnek és egyértelműen indokoltnak kell lennie.
3. A személyes adatok védelmét szolgáló eljárás előkészítése
A személyes adatok védelmével kapcsolatos eljárásnak legalább a következő pontokat kell meghatároznia:
- A vállalaton belüli személyes adatok kezeléséért felelős személyek listája.
- Az ISPD-hez való hozzáférés engedélyezésének eljárása. Ideális esetben ez egy hozzáférési mátrix minden pozícióhoz vagy adott alkalmazotthoz tartozó hozzáférési szinttel (olvasás/olvasás-írás/módosítás). Vagy az egyes pozíciókhoz elérhető PD listája. Minden az IP megvalósításától és a vállalat követelményeitől függ.
- A személyes adatokhoz való hozzáférés ellenőrzése és a hozzáférési szintek megsértésével kapcsolatos hozzáférési kísérletek elemzése.
- A személyes adatok hozzáférhetetlenségének okainak elemzése.
- A PD alanyok PD-vel kapcsolatos megkereséseinek megválaszolásának eljárása.
- A társaságon kívülre továbbított személyes adatok listájának felülvizsgálata.
- A személyes adatok címzettjeinek áttekintése, beleértve a külföldet is.
- A PD fenyegetési modelljének időszakos felülvizsgálata, valamint a személyes adatok védelmének szintjének változása a fenyegetettségi modell változása miatt.
- Céges dokumentumok naprakészen tartása (a fenti lista, és szükség esetén kiegészíthető).
Itt részletezheti az egyes tételeket, de szeretnék külön figyelmet fordítani a biztonsági szintre. Meghatározása a következő dokumentumok alapján történik (olvassa el sorrendben):
1. "A jelenlegi fenyegetések meghatározásának módszertana Biztonság személyes adatok a személyes adatok információs rendszerekben történő feldolgozása során” (FSTEC RF 2008. február 14.).
2. Az Orosz Föderáció kormányának 2012. november 1-jén kelt 1119. számú rendelete „A személyes adatok védelmére vonatkozó követelmények jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során”.
3. Az FSTEC 21. számú, 2013. február 18-i rendelete "A személyes adatok személyes adatok információs rendszerekben történő feldolgozása során a személyes adatok biztonságát biztosító szervezési és technikai intézkedések összetételének és tartalmának jóváhagyásáról."
Ezenkívül ne felejtse el figyelembe venni az olyan költségkategóriák szükségességét, mint:
- Szervezet projekt csapatés projektmenedzsment.
- Fejlesztők az egyes ISPD platformokhoz.
- Szerver kapacitások (saját vagy bérelt adatközpontban).
A projekt második és harmadik szakaszának végére rendelkeznie kell:
- Költségszámítás.
- minőségi követelmények.
- Projekt ütemezése és ütemezése.
- A projekt technikai és szervezési kockázatai.
4. A személyes adatok védelmét szolgáló technikai megoldás és eljárás ellenőrzése az Orosz Föderáció jogszabályainak és a vállalati szabályzatoknak való megfelelés érdekében
A megfogalmazás szempontjából rövid, de fontos lépés, amelyen belül meg kell győződnie arról, hogy minden tervezett intézkedés nem ellentétes az Orosz Föderáció jogszabályaival és a vállalati szabályokkal (például biztonsági politikákkal). Ha ez nem történik meg, akkor a projekt alapjába bombát raknak, amely a jövőben „felrobbanhat”, tönkretéve az elért eredmények hasznát.
5. Műszaki megoldás megvalósítása
Itt többé-kevésbé nyilvánvaló minden. A konkrétumok a kezdeti helyzettől és a döntésektől függenek. De általában a képnek valahogy így kell kinéznie:
- Szerver kapacitások lefoglalva.
- A hálózatmérnökök eleget biztosítottak áteresztőképesség csatornák a vevő és az adó PD között.
- A fejlesztők replikációt hoztak létre az ISPD adatbázisok között.
- Az adminisztrátorok megakadályozták, hogy az ISPD külföldön megváltozzon.
A PD védelméért felelős személy vagy a „folyamat tulajdonosa” lehet ugyanaz a személy, vagy más is. Maga a tény, hogy a „folyamat tulajdonosának” el kell készítenie az összes dokumentációt és meg kell szerveznie a PD védelmének teljes folyamatát. Ehhez minden érdeklődőt értesíteni kell, a dolgozókat oktatni kell, az informatikai szolgálatnak pedig elő kell segítenie a technikai adatvédelmi intézkedések végrehajtását.
6. A személyes adatok védelmét szolgáló eljárás indítása
Ez egy fontos lépés, és bizonyos értelemben az egész projekt célja az, hogy irányítsa a folyamatot. A műszaki megoldások és a szabályozási dokumentáció mellett itt kritikus a folyamatgazda szerepe. Nemcsak a jogszabályokban, hanem az informatikai infrastruktúrában is nyomon kell követnie a változásokat. Ez azt jelenti, hogy megfelelő készségekre és kompetenciákra van szükség.
Ezen túlmenően, ami a valós munkakörülmények között kritikus, a PD-védelmi folyamat tulajdonosának szüksége van minden szükséges jogosítványra és adminisztratív támogatásra a cégvezetéstől. Ellenkező esetben örök „koldus” lesz, amire senki nem figyel, és egy idő után újra lehet indítani a projektet, újrakezdve az audittól.
Árnyalatok
Néhány pont, amit könnyű figyelmen kívül hagyni:
- Ha Ön adatközponttal dolgozik, akkor szerverkapacitás-szolgáltatás nyújtására vonatkozó szerződésre van szüksége, melynek értelmében az Ön cége jogszerűen tárolja és kezeli az adatokat.
- A PD gyűjtésére, tárolására és feldolgozására használt szoftverekhez licencekre vagy bérleti szerződésekre van szüksége.
- Ha az ISPD külföldön található, megállapodásra van szükség a rendszert birtokló céggel, hogy garantálják az Orosz Föderáció jogszabályainak betartását az oroszok személyes adataival kapcsolatban.
- Ha a személyes adatokat cége alvállalkozójának (például informatikai outsourcing partnernek) adják át, akkor a megbízótól származó PD kiszivárgása esetén Önt terheli a kártérítési felelősség. Cége viszont igényt támaszthat a megbízó felé. Talán ez a tényező befolyásolhatja azt a tényt, hogy a munkát áthelyezik a kiszervezésre.
És még egyszer: a legfontosabb, hogy a személyes adatok védelmét nem lehet átvenni és biztosítani. Ez egy folyamat. Folyamatos iteratív folyamat, amely nagymértékben függ a jogszabályok további változásaitól, valamint e szabályok gyakorlati alkalmazásának formátumától és szigorúságától.
Valószínűleg mindenki, aki már felvett hitelt, vagy HR-es, találkozott már ilyen helyzettel, amikor a bank képviselői felhívják a munkáltatót, és információt kérnek a szervezet egy alkalmazottjáról.
Ugyanakkor a gyakorlatban a munkáltató a leggyakrabban nem tesz eleget a személyes adatok védelméről szóló 152-es szövetségi törvény követelményeinek, és telefonon közöl információkat a munkavállalóról. A munkáltató nem tudja ellenőrizni ezen információk címzettjét, és gyakran a munkavállaló nem is rendelkezik a munkavállaló írásos hozzájárulásával adatai ilyen jellegű felhasználásához.
Ebben a helyzetben ki szegi meg jobban a törvényt: az, aki kérdez, vagy az, aki válaszol?
Ebben a helyzetben minden attól függ, hogy a személyes adatok alanyának mely dokumentumai vannak. Van olyan helyzet, amikor sem az, aki kérdez, sem az nem szegi meg a törvényt, aki válaszol, hanem előfordul, hogy mindkettő sérti.
Foglalkozzunk ezzel.
Tehát mi egy bank vagyunk. Egy személy érkezett hozzánk, és a hitel felvételéhez rendelkezésre bocsátott minden szükséges dokumentumcsomagot, beleértve a munkaadó felelős személyeinek aláírásával és pecséttel hitelesített kereseti igazolást, valamint az egyéb szükséges eredetiket. és dokumentumok másolatait.
De a mellékelt eredeti kereseti igazolás ellenére szeretnénk ellenőrizni, hogy a hiteligénylő ebben a szervezetben dolgozik-e, és hogy a valós bevétel szerepel-e a mellékelt igazoláson. Az igazság kedvéért el kell mondanunk, hogy az utóbbi időben a bankok még mindig leggyakrabban csak arról kérnek tájékoztatást, hogy adott személy dolgozik-e egy meghatározott szervezetben. Sőt, mi, mint bank ezt a kérelmet nem írásban, pecsétjeinkkel és azonosító adataink feltüntetésével küldjük meg, és nem jelezzük írásban kérésünk célját, hanem az eljárás felgyorsítása érdekében egyszerűen felhívjuk a telefonszámot. a bank potenciális ügyfele által benyújtott dokumentumokban feltüntetett.
Ami engem mindig meglepett ebben az eljárásban, az a megadott adatok megbízhatóságának megerősítésének szakaszainak bizonyos logikátlansága.
Vagyis a pecséttel és aláírásokkal ellátott dokumentum nem egészen illik hozzánk, de valamiért inkább a munkatárs által jelzett telefonos válasz.
Mi az alkalmazott telefonszáma? Ez a telefon valóban ehhez a szervezethez tartozik? Ki fog válaszolni nekem a vezeték másik végén: vezérigazgató? Főkönyvelő? HR menedzser? Hogyan fogom azonosítani, hogy ezek a tisztviselők? Esetleg egy titkárnő, aki már egy hete itt dolgozik és még nem ismer senkit? Vagy takarító? Vagy őr? Vagy talán elvileg valaki, akit a munkavállaló maga kért meg, hogy a bank megkeresésére megfelelő módon válaszoljon? És ha az alkalmazott által megadott telefon nem veszi fel, mit jelent ez a bank számára? Ellenőrzi, hogy egy személy hibázott-e egy számjegyben? Lehet, hogy a telefontársasággal van a probléma? Lehet, hogy a cég már nem használja ezt a telefont, és az alkalmazott nem tudott róla?
De a mi feladatunk az, hogy kiderítsük, hogy a felek: ebben az esetben a bank és a munkáltató lépései elvileg jogszerűek-e?
Ha a bank rendelkezik az alany írásos hozzájárulásával adatai ellenőrzéséhez és a munkáltatótól való információszerzéshez, akkor a bank intézkedései jogszerűek.
Mi a helyzet egy munkáltatóval?
A munkáltató az alábbi esetekben nyújthat be jogszerűen adatokat a banknak a munkavállalóról:
2. A munkavállaló ÍRÁSBAN megadhatta adatait egy meghatározott jogi személynek. De ebben az esetben a munkáltató köteles megbizonyosodni arról, hogy a kérés attól a banktól érkezett, amelyhez a munkavállaló felvilágosítást adott (vagyis csak írásbeli megkeresésre válaszol).
Mi van akkor, ha a munkáltatónak nincs ilyen hozzájárulása?
A munkáltató nem jogosult tájékoztatást adni a munkavállalóról. Akkor a munkáltató teljesíti a személyes adatok védelméről szóló törvény szerinti kötelezettségeit? Igen. Adnak-e kölcsönt a munkavállalónak, ha a munkáltató nem hajlandó tájékoztatást adni a munkavállalóról? Ismeretlen.
Ezen túlmenően, ha a szervezet nagy, és kiterjedt, különálló részlegekből álló hálózattal rendelkezik, nem mindig lehet gyorsan megszerezni ezt a hozzájárulást. Különösen abban az esetben, ha a munkavállaló spontán úgy döntött, hogy hitelt vesz fel. Aznap vagy a következő napon a banki alkalmazottak felhívják a munkáltatót, hogy ellenőrizzék a megadott információk pontosságát.
Sőt, magát a hozzájárulást is írásban kell elkészíteni, nem elég, ha a munkavállaló felhívja például a személyzeti osztályt, és megkéri, hogy szóban válaszoljon egy adott bank kérésére.
Hiszen mindenki tisztában van azzal, hogy amikor a munkáltató telefonos kérésre tájékoztatást ad a banknak egy adott munkavállaló munkájáról, akkor ezt elsősorban a munkavállaló érdekeinek védelmében teszi, hogy ne megtagadta a kölcsönt. De ebben az esetben automatikusan sérti a személyes adatok védelméről szóló törvényt, ha a munkáltató nem törődött előre a munkavállaló írásos hozzájárulásának megszerzésével.
Elképzelhető, hogy ha a bankok felhagynak az illegális telefonos ellenőrzésekkel, akkor kevesebb lesz az ilyen jellegű jogsértés a munkáltató részéről.
A közelmúltban az Oroszországi Bank 2014. március 14-én kelt N 42-T levele „A hitelintézetekből az állampolgárok személyes adatait tartalmazó információk felhasználása során felmerülő kockázatok feletti ellenőrzés megerősítéséről” című levele, amely azt javasolja a hitelintézeteknek, hogy erősítsék meg a felmerülő kockázatok feletti ellenőrzést. a személyes adatokat tartalmazó információk feldolgozásától (ami egyébként gyűjtés), valamint a belső dokumentumok frissítésétől, amelyek meghatározzák: a személyes adatok közvetlen feldolgozásával (beleértve a gyűjtést) foglalkozó hitelintézeti alkalmazottak személyes felelősségét a titoktartás megőrzéséért és biztosításáért az ügyfélszolgálati folyamat során keletkezett információkról.
Ugyanakkor a fenti levélben kifejezetten leszögezték, hogy a Bank of Russia a bankok tevékenységének felügyelete során figyelembe veszi a személyes adatok védelméről szóló jogszabályok végrehajtásában feltárt hiányosságokat, és mérlegeli azokat. negatív tényezőként a hitelintézet vezetési minőségének értékelése során, ideértve a belső ellenőrzési rendszer szervezettségének értékelését is.
Bízni kell abban, hogy végre a bankok is betartják a személyes adatok védelméről szóló törvényt, anélkül, hogy a munkáltató kényszerű törvénysértéshez vezetne.
Dzhabrail Matiev, a vállalat kereskedelmi részlegének személyes adatok védelméért felelős vezetőjeReignVox
Az ügyféladatok hatalmas tömbjeivel végzett folyamatos munka bármilyen formátumú bankot igényel, hogy folyamatosan dolgozzon ezen adatok védelmén.
Éppen ezért az információbiztonság és ezzel együtt a bizalom témája különösen aktuális a pénzügyi szektorban. Ezenkívül jogilag is indokolt a modern pénzügyi társaságok információs rendszerében szereplő személyes adatok védelmének követelménye - a „Személyes adatokról” szóló 152. számú szövetségi törvény egyértelműen kötelezi az adatokat feldolgozó minden vállalatot, hogy szigorúan védje azokat. meghatározott kifejezések. A személyes adatokat feldolgozó új és meglévő információs rendszereket egyaránt 2011. január 1-jéig összhangba kell hozni a törvényi előírásokkal. Ilyen szigorúan meghatározott időkeret mellett az ilyen információkat feldolgozó szervezeteknek egyre kevesebb idejük van arra, hogy megfeleljenek a törvényi előírásoknak.
Hogyan kezdjünk el dolgozni a személyes adatok védelmén? Mik a várható átfutási idők? Ki a felelős a munka elvégzéséért? Mennyi a projekt átlagos költsége, és hogyan lehet minimalizálni a költségeket? Mindezek a kérdések ma minden, a pénzügyi szektorban üzleti tevékenységet folytató vállalat számára aktuálisak. A rájuk adott szakértői válaszok lehetővé teszik számunkra, hogy a ReignVox széles körű tapasztalattal rendelkezzen a személyes adatok védelme terén a pénzügyi struktúrákban.
Élet visszaszámláló módban
A „Személyes adatokról” szóló 152. számú szövetségi törvény 2011. január 1-jén lép teljes hatályba – több mint hat hónappal a jogalkotók által meghatározott határidő előtt. De ne tévesszen meg a túl sok idő gondolata.
Először is, a személyes adatok védelmére vonatkozó követelmények teljesítését célzó projekt megvalósítása összetettségétől függően négy-hat hónapot vesz igénybe. De ez a szám nem végleges - időtartama hat-nyolc hónapra nőhet az az időszak miatt, amelyet a bank a projekt fejlesztéséhez és karbantartásához méltó integrátor kiválasztására fordít. Az ilyen típusú munkák önálló elvégzése a bank számára az objektivitás elvesztésével jár a vizsgálat és elemzés szakaszában, a benne meglévő védelmi eszközök, valamint az ehhez a munkához szükséges külön munkaerő-források keresése. Ebben az esetben nem szabad elfelejteni olyan tényezőket is, mint a személyes adatok védelmében képzett szakemberek rendelkezésre állása, a szükséges mennyiségű szabályozási és módszertani támogatás, valamint a személyes adatok védelmére szolgáló szabad források. A gyakorlat azt mutatja, hogy általában a külső integrátorok teljesítik ezeket a követelményeket egy komplexumban.
Másodszor, visszatérve a „Személyes adatokról” szóló törvényben az adatkezelők számára meghatározott határidők témájához (és az, hogy a bankok csak ilyen szolgáltatók, elvileg már nem kérdés), függetlenül attól, hogy mit mondanak az „átadásukról” , már zajlanak a szabályozók első ellenőrzései. A következtetés egészen logikus: a probléma aktualitása nem csak megmaradt, hanem sokszorosára nőtt, megoldása pedig sürgető szükségletté válik.
– És a koporsó éppen most nyílt ki…
A közelmúltban aktív viták folynak az ISPD-nek a személyes adatokról szóló törvény rendelkezéseivel való összhangba hozásának feladatáról, aminek az eredménye főként egy dologra vezethető vissza: ennek a feladatnak a megoldása a kombináció miatt nagyon problematikus. szervezeti és jogi jellemzőiről. Ez a következtetés nem teljesen helytálló: a személyes adatok védelmére vonatkozó követelmények alkalmazásának 2010 első negyedévében megjelent gyakorlata (beleértve a bankszektort is) megerősíti az ISPD-re vonatkozó követelmények egyértelműségét és értelmezhetőségét. Ez utóbbiak megfogalmazása, megvalósítása és dokumentált megerősítése minimális hibakockázat mellett nem annyira nehéz megvalósítani, mint inkább a banki üzletág biztonsága szempontjából. Még inkább leegyszerűsíti a feladatot, hogy egy külső integrátorra bízható, akinek szakemberei gyorsan és szakszerűen végzik el a személyes adatvédelmi projektet, figyelembe véve a banki üzletág egyedi sajátosságait.
Így az első számú prioritás egy integrátor cég kiválasztása, amelyet a projekttel bíznak meg.
"Standard" = "Exkluzív"?
Az ilyen, egymást kölcsönösen kizáró fogalmak közötti egyenlőségjelnek joga van létezni. Ezt az állítást a ReignVox által már megvalósított sikeres személyes adatvédelmi projektek gyakorlati tapasztalatai támasztják alá.
Egyrészt minden ilyen projekt szabványos számú szakaszt tartalmaz: a személyes adatok információs rendszereinek felmérésének szakasza, a személyes adatok védelmére szolgáló rendszer tervezésének szakasza, az SPPD végrehajtásának szakasza, az ISPD megfelelőségének értékelése törvény követelményeinek, és a megalkotott rendszer támogatásának szakaszában. Ezen túlmenően az ISPD-nek való megfelelés értékelése, mint szakasz, nem kötelező, és azt az ügyfél cég saját belátása szerint végzi el. Valamint a létrehozott rendszer támogatási szakasza.
A tipikusság általában az első szakaszban (az információs rendszerek felmérésének szakaszában) ér véget, mivel ebben a szakaszban lehet azonosítani és leírni azokat. követelményeket, amelyeket a jövőben bemutatunk a rendszereknek. És ezek a paraméterek már egyediek, és minden egyes ügyfélre összpontosítanak, az ő igényeinek megfelelően optimalizálva.
Ez a felmérés elemzi információs források, az informatikai infrastruktúra kiépítésében alkalmazott szabványos megoldások, információáramlások személyes adatok, elérhető rendszerek és információvédelmi eszközök.
Ugyanebben a szakaszban a fenyegetések és a PD biztonság megsértőjének modelljét dolgozzák ki, felmérik a PD biztonságának ISPD-ben kriptográfiai eszközökkel történő biztosításának szükségességét.
A második szakasz lebonyolításának klasszikus sémája magában foglalja a szabályozási keret ellenőrzését és annak értékelését, hogy megfelel-e a szabályozói követelményeknek. Ennek eredménye a hiányzó belső dokumentumok kidolgozása, valamint az SZPDn fejlesztési feladatkörének kidolgozása. Ugyanebben a szakaszban az integrátor közvetlenül kidolgozza az információ védelmét szolgáló intézkedéscsomagot.
Ennek a szakasznak a végén a bank már képes sikeresen átmenni az egyik szabályozó tesztjén.
A harmadik szakasz lényege a rendszerek megvalósítása és a meglévő védelmi eszközök konfigurálása. A tesztelés után szükség esetén a hardver és szoftver komplexum véglegesítésre kerül.
A leírt szakaszok mindegyikében a ReignVox vállalatnak, mint integrátornak különféle többletfeladatokkal kell szembenéznie az ügyfélcég által működtetett üzletág sajátosságaiból, méretéből, infrastruktúrájából, üzleti folyamati tevékenységéből és sok más pontjából adódóan. És minden alkalommal ilyen összetevők sokaságából alakul ki a személyes adatvédelmi projekt új, egyedileg adaptált koncepciója.
"...és a birkák biztonságban vannak"
Költségminimalizálás, költségvetés optimalizálás, megtakarítás - bármilyen kifejezést is választ, a lényeg ugyanaz marad - a pénzügyi források racionális felhasználása - ő a második sarokköve egy pénzügyi struktúra sikerének (a bizalom után természetesen ). Ezért természetes és nagyon is megvalósítható az a vágy, hogy a költségeket a lehető legnagyobb mértékben csökkentsék az információbiztonság veszélyeztetése nélkül.
Egy banki struktúra személyes adatvédelmi rendszerének létrehozására irányuló átlagos standard projekt költsége körülbelül 1,5 millió rubel. Ennek az összegnek a kiszámításakor számos alapelvet is figyelembe vesznek, amelyek betartásával csökkenthető a személyes adatvédelmi rendszer létrehozásának költségvetése.
Elsősorban arra törekszünk, hogy a lehető legnagyobb mértékben megőrizzük a szervezetben meglévő informatikai infrastruktúrát. Általában két poláris forgatókönyvről beszélnek a személyes adatok védelmére vonatkozóan. Az első az összes ISPD radikális módosítása, a második pedig egy formális, amely kizárólag belső szabályozási dokumentumok kiadását jelenti, az ISPD-k módosítása nélkül. Optimálisnak a harmadik lehetőséget tartjuk, amely éppen a bank jelenlegi informatikai infrastruktúrájának fenntartását jelenti, annak egyes elemeinek módosításával, a jogszabályi megfeleléshez szükséges újak hozzáadásával.
Ebben az esetben az első elvről beszélünk, amely alapján a meglévő információbiztonsági eszközök maximális kihasználása információbiztonsági rendszerek tervezésekor. A személyes adatok védelmének szükségességétől függetlenül minden cégnél alkalmazzák a védelmi eszközöket, ezek a vírusvédelmi rendszerek, és az operációs rendszer beépített beléptető eszközei, ill. tűzfalakés sok más eszközzel. Ezért a követelmények maximális számát lezárják a meglévő védelmi eszközök. És csak abban az esetben, ha bizonyos követelményeket a jelenlegi védelmi eszközök nem teljesítenek, továbbiakat kell vásárolni és bevezetni.
A második alapelv az elv információs rendszerek gazdaságos logikai strukturálása személyes adatok. Ezt az elvet követve egy banki személyes adatvédelmi projekt megvalósításának részeként gazdaságilag megvalósíthatóvá válik több, egy helyiségben elhelyezett rendszer egybekapcsolása, a nem kritikus szegmensek leminősítésével kombinálva. Így létrejön az ISPD "Adatfeldolgozó Központ", amelyben a védelem a kerület mentén biztosított. Ez lehetővé teszi a különböző rendszereken belüli áramlások szétválasztásának költségeinek jelentős csökkentését.
A harmadik elv csak az aktuális fenyegetésekkel szemben véd. Ugyanakkor a fenyegetések aktualizálását a kötelező speciális rendszerek„Fenyegetési modell” nevű dokumentumot. A fenyegetések aktualizálása során azokat, amelyek valószínűsége kicsi, és a megvalósítás során keletkezett kár kicsi, elvetjük.
A már bevált módszerek alkalmazásával teljes mértékben megvalósítható az a feladat, hogy 2011. január 1-ig bármely bank ISPD-jét összhangba hozzák a törvényi előírásokkal. Az ilyen technológiák bankszektorban történő megvalósításának maximális sikere érdekében továbbra is emlékezni kell a projekten való munka integrált megközelítésére. Ebben az esetben a különböző részlegek szakemberei - IT-technológiák, információbiztonsági és projektmenedzsment szakemberek, finanszírozók, jogászok - közös munkájának megszervezését értjük, amely garantálja a kritikus adatok védelmének átfogó megközelítésének szükséges egyensúlyát a pénzügyi struktúrán belül.
Referencia: A ReignVox egy orosz cég, amely innovatív projektekre és fejlesztésekre szakosodott az információtechnológia területén, és biztosítja ezek információbiztonságát.
A társaság alapításának célja a személyes adatok védelmét biztosító szolgáltatások nyújtása a 2006. július 27-i FZ-152 „Személyes adatokról szóló törvény” követelményeivel összhangban, valamint integrált információbiztonsági rendszerek kiépítése.
A ReignVox tagja az "Information Protection Association" (IPO "AZI") interregionális közszervezetnek, az "Infokommunikációs Unió" (Infokommunikációs Unió) társult tagja, valamint tagja az Oroszországi Regionális Bankok Szövetségének.
A ReignVox jelentős tapasztalattal rendelkezik személyes adatvédelmi projektek sikeres megvalósításában nagy kereskedelmi bankokban. Ügyfelei között szerepel a NOTA-Bank, Vnesheconombank, CentroCredit, Tempbank, Alta-Bank stb.
Becslés: