GirişBankacılık sektöründeki kişisel veriler. Konu üzerine tez: Kurumsal PJSC SitesiBank'ta kişisel veri koruma sisteminin geliştirilmesi
Bankadaki kişisel verilerin güvenliği
Kişisel veriler nedir?
Federal Hukukun tanımı, kişisel veriler - soyadı, adı, humronomi, yıl, ay, tarih ve yer de dahil olmak üzere, bu tür bilgileri (kişisel verilerin konusu) temelinde belirli veya tanımlanmış bir fiziksel kişiyle ilgili herhangi bir bilgi doğum, adres, aile, sosyal, mülkiyet durumu, eğitim, meslek, gelir, diğer bilgiler.
Kişisel veriler nerede?
Bankadaki kişisel veriler (PDN) aşağıdaki sistemlerde bulunur:
Otomatik bankacılık sistemi (ABS);
Müşteri-Bank Sistemleri;
Anlık Para Transfer Sistemleri;
Muhasebe Muhasebe Sistemleri;
Personel Muhasebe Sistemleri;
Kurumsal Bilgi Sistemi;
Dahili Web Portal.
PDN'ler kağıt belgelerde bulunabilir (sözleşmeler, formlar, siparişler, talimatlar, anketler, anlaşmalar vb.).
Kişisel verileri koruma gereksinimleri hangi belgelerde?
Federal yasalar
149-FZ sayılı Federal Kanun, 27 Temmuz 2006 tarihinde "Bilgi, Bilgi Teknolojileri ve Bilgi Koruma";
Hükümet kararları
17 Kasım 2007 sayılı Rusya Federasyonu Hükümeti'nin 781 sayılı Rusya Federasyonu ", kişisel verilerin kişisel verilerinde işlendiklerinde kişisel verilerin güvenliğini sağlamaya ilişkin düzenlemenin onaylanması üzerine";
Şifreli (şifreleme) ile ilgili bazı faaliyet türlerinin lisansı hakkındaki hükümlerin onaylanması üzerine, 29 Aralık 2007 sayılı Rusya Federasyonu Hükümeti'nin Hükümeti Kararnamesi, ";
15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti'nin Hükümeti, Otomasyon Araçları Kullanmadan Gerçekleştirilen Kişisel Verilerin İşlenmesinin Özellikleri Yönetmeliğinin Onaylanması ".
Rusya'nın fstec
Rusya'nın FSB, Rusya FSB, Rusya FSB ve 13 Şubat 2008 sayılı Rusya'nın Savunma İrtibat Bakanlığı, Kişisel Verilerin Bilgi Sistemlerinin Sınıflandırılmasını Tutma Prosedürünün Onaylanması ";
Direksiyon Belgesi Rusya'nın Fstek "Kişisel verilerin bilgi sistemlerinde işlendiğinde kişisel verilerin güvenliğine ilişkin temel tehdit modeli";
Rusya'nın FSTEC'nin Direksiyon Belgesi "Kişisel Verilerin Bilgi Sistemlerinde İşlendiğinde, Kişisel Verilerin Güvenliğine Mevcut Tehditlerin Belirlenmesi Yöntemleri";
5 Şubat 2010 No'lu Rusya'nın FSTEC'sinin Siparişi, Bilgi Kişisel Verilerinde Bilgiyi Koruma Yöntemleri ve Yöntemleri Yönetmeliğinin Onaylanması ".
Rusya'nın fsb
13 Haziran 2001 No'lu FAPSI, 152 "Depolama ve Depolama, İşleme ve İletim Üzerindeki Talimatların Onaylanmasına İlişkin Talimatlar ve Güvenlik Kanalları ile İletişim Kanalları Aracılığıyla İlgili Bilgiyi Oluşturan Bilgiyi Olmayan Bilgiyi İçermiyor gizli";
9 Şubat 2005 sayılı Rusya Federasyonu'nun FSB'nin Siparişi, Şifreleme'nin Geliştirilmesi, Üretimi, Uygulanması ve Çalışması (Şifreleme) Bilgi Koruması (PKZ-2005 Pozisyonu) Yönetmeliklerin Onaylanması için
21 Şubat 2008 tarihli Rusya FSB FSB'nin Yönetim Belgesi 21 Şubat 2008 №149 / 54-144 "OTOMASYON ARAÇLARI KULLANARAK KİŞİSEL VERİLERİN BİLGİSİ SİSTEMLERİNDE İŞLEME İŞLEMELERİNDE KİŞİSEL VERİLERİN GÜVENLİĞİNİN YARDIMCISI SAĞLAYIN";
21 Şubat 2008 tarihli Rusya'nın FSB'nin direksiyon belgesi №149 / 6/6-622 "Örgüt için model gereksinimleri ve bilgi içermeyen bilgilerin korunmasına yönelik şifreleme (şifreleme) fonlarının işleyişini sağlamak. Kişisel verilerin bilgi sistemlerinde işlem yaparken kişisel verilerin güvenliğini sağlamak için kullanılırlarsa, gizli durum ";
Rusya'nın Standart Bankası
Str BR IBBS-1.0-2010 "Rusya Federasyonu Bankacılık Sisteminin organizasyonlarının bilgi güvenliğini sağlamak. Genel Hükümler ";
Str BR IBBS-1.1-2007 "Rusya Federasyonu Bankacılık Sisteminin Kuruluşlarının Bilgi Güvenliğinin Sağlanması. Bilgi Güvenliği Denetimi ";
Str BR IBBS-1.2-2010 "Rusya Federasyonu Bankacılık Sisteminin Kuruluşlarının Bilgi Güvenliğinin Sağlanması. Rusya Federasyonu'nun Bankacılık Sisteminin Kuruluşlarının Örgüt Güvenliğinin Uyumluluğunu Değerlendirme Metodolojisi, STR BR IBBS-1.0-20XX "gerekçesiyle;
RS BR IBBS-2.0-2007 "Rusya Federasyonu Bankacılık Sisteminin organizasyonlarının bilgi güvenliğini sağlamak. STR BR IBBS-1.0 "gereksinimlerine göre bilgi güvenliği belgelerinin metodik önerileri;
RS BR IBBS-2.1-2007 "Rusya Federasyonu Bankacılık Sisteminin Kuruluşlarının Bilgi Güvenliği Sağlanması. RF Bankacılık Sisteminin Kuruluşlarının Bilgi Güvenliği ile Öz Değerlendirme Kılavuzları Str BBBS-1.0 ";
RS BR IBBS-2.3-2010 "Rusya Federasyonu Bankacılık Sisteminin IB organizasyonlarını sağlamak. Rusya Federasyonu Bankacılık Sisteminin Kuruluşlarının Kişisel Verilerinin Bilgi Sistemlerinde Kişisel Verilerin Güvenliğini Sağlamanın Gereklilikleri ";
RS BR IBBS-2.4-2010 "Rusya Federasyonu Bankacılık Sisteminin IB organizasyonlarını sağlıyor. Rusya Federasyonu Bankacılık Sisteminin Bankacılık Sisteminin PD Organizasyonlarının Bilgi Sistemlerinde işlendiklerinde kişisel verilerin güvenliğine yönelik tehditlerin sektörel özel modeli ";
BS RF'nin kuruluşlarındaki kişisel verilerin işlenmesinde, yasama gereksinimlerinin uygulanması için metodik öneriler, Rusya, Arb ve Bölgesel Bankalar Derneği (Rusya Assuru).
Kişisel verileri nasıl koruyabilirsiniz?
PDN'lerin korunması için metodolojik belgelerin gereksinimlerine göre, aşağıdaki alt sistemler her türlü için yaygındır:
Erişim kontrol alt sistemi;
Kayıt ve Muhasebe Alt Sistemi;
Bütünlük güvenlik alt sistemi;
Güvenlik Duvarı'nın alt sistemi.
Kennel internete bağlıysa, ayrıca aşağıdaki alt sistemleri de kullanmanız gerekir:
Anti-virüs güvenlik alt sistemi;
İstila algılama alt sistemi;
Güvenlik Analizi Subsystem.
Güvenilir tanımlama ve kullanıcı kimlik doğrulaması için elektronik kilitleri ve / veya elektronik anahtarların kullanılması da gereklidir.
Öyleyse, yetkisiz erişimi önlemek için, yetkisiz erişimi önlemek için, korumalı bilgiyi halka açık olarak ayırarak, Korunakasız iletişim kanallarında ve EDS'lerin yanı sıra, verilerin orijinalliğini doğrulamak için PD'yi iletirken şifreleme yapılması gerekir.
Altsistem üzerindeki bu tür bir arıza ve temellerinde oluşum, PDN'nin korunması için ürünlerin listesi genel olarak kabul edilir ve çoğu durumda kullanılır.
Kişisel verilerin korunması gerekir?
Görev yalnızca PD gizliliğini sağlamak için, izinsiz erişimin önlenmesini amaçlayan önlemleri ve / veya teknik araçları kullanması gerekir, daha sonra böyle bir empozi tipik hale gelir.
Ek olarak, bütünlük, erişilebilirlik ve bunların türevlerini (kapanmayan, hesap verebilirlik, yeterliliği, güvenilirlik vb.) Gibi diğer bilgi güvenliği özelliklerinin sağlanması için gereksinimleri yapırsanız, o zaman böyle bir cezasızlık özel hale gelir. Çoğu durumda, herhangi bir saygınlık özel olacaktır, yani Koruma mekanizmalarını belirlemek için PD sınıflarına ek olarak, bunun için yaratılan tehdit modeli tarafından yönlendirilmeniz gerekir.
PDN sınıfını nasıl azaltabilirsiniz?
PDN'lerin korunmasına ilişkin olayları azaltmak ve basitleştirmek için, bankalar çeşitli numaralara gider. Aşağıda, koruma ilaçlarının maliyetini azaltmanın en tipik yollarını belirtirim. Bununla birlikte, kendi başına, Banka'nın bilgi sistemlerinin böyle bir "kavşağı" oldukça karmaşık ve zaman alıcı bir görevdir.
Sitenin sayısını azaltmak
Yukarıda gösterildiği gibi, eğer dağıtılırsa, dağıtılmış CDN'den uzaklaşmaya çalışmak için onları azaltmak için savunma için artan talepler sunulmaktadır.
Dağıtılmış PDN ile PDN'ler çeşitli sitelerde bulunur, PDN'ler kontrolsüz bir iletişim kanalları bankasına göre iletilir ve bu, PDNS'nin kontrol edilen bölgeyi çıktığı veya çıktığı anlamına gelir. Ardından, her şeyden önce, PDN'yi yerelleştirmek, onlar olacak sitelerin sayısını azaltmış olması gerekir. Bazı durumlarda, bu gerçektir, ancak ABS'yi göz önünde bulundurursak, böyle bir fırsat olmaması muhtemeldir.
Sunucu sayısını azaltmak
Ölür, yerel ise, yani, Banka'nın yerel ağı içindeki işlevler, daha sonra koruma maliyetlerinin maliyetini azaltmanın en basit yolu, üzerinde bulunan ve / veya PD tarafından işlenen sunucu ekipmanı sayısında bir düşüş olacaktır.
Kol ve personel sayısını azaltmak
Herhangi bir özveri ile (yerel, dağıtılmış) PDN'nin nihai işlenmesi, bir kural olarak, banka personeli nişanlıdır. Aşağıda açıklanacağı terminal erişimini kullanmazsanız, PDN'lerin işlenmesi veya bunlara erişilen banka personelinin sayısını azaltmak mantıklıdır.
IP ile IP ile ayrılması
PDNS sayısını azaltmak için, bu, koruma araçlarının maliyetini azaltmak anlamına gelir, İyi bir yol Bilgi ağlarının, PD işlemenin yapıldığı bölümlere ayrılmasıdır. Bunu yapmak için, PDN'lerle segmentlere bağlanması gereken güvenlik duvarlarını yüklemeniz ve kullanmanız gerekir. Genellikle, tüm sunucu ekipmanları, kamuya açık ve bankacılık ağları ağlarındaki ayrılmış kesimlerde, yani, bir silahsızlaştırılmış bir bölgede bulunur. Bu yöntem ayrıca bilgi ağlarının önemli bir "reklamı" gerektirir. "Doğrusal şifreleme", yani kanal şifreleme istemcisi istemci, istemci sunucusu, Sunucu sunucusu olan bir yöntem vardır. Ağ trafiğinin bu tür şifrelemesi hem özel koruma araçları kullanılarak hem de standart IPSec teknolojisini kullanırken, ancak önemli eksi olan Rusya'nın sertifikalı bir FSB değil.
Digniteyi tüm ağın ölçeğine bölmenin bir başka yolu, sanal ağların teknolojisi olabilir - VLAN, ancak Aslında VLAN, bu teknoloji hakkında konuşmanıza olanak tanıyan ağ paketinin alanlarından yalnızca bir tanımlayıcıdır. bir "ityshoy". Bu nedenle, VLAN kullanılarak ağların ayrılması, bilgi koruma teknolojilerinin kullanımından muaf değildir.
Veritabanı bölümü parçalara
Diyelim ki binlerce kayıttan oluşan bir veri tabanı var: Tam Adı ve mevduat miktarı.
Diğer iki veritabanı oluşturun. Ek bir benzersiz tanımlayıcı tanıtıyoruz. Tabloyu iki parçaya böleriz, ilk olarak Fi .o ve tanımlayıcının alanını, başka bir tanımlayıcıya ve katkının miktarına yerleştiririz.
Böylece, her bir çalışan bu yeni veritabanlarından yalnızca birini kullanabilirse, aşağı inmezse, PD koruması büyük ölçüde basitleştirilir. Açıkçası, böyle bir veritabanının değeri, ilk olandan önemli ölçüde düşüktür. Her iki veritabanının da en güvenli sunucuda olacaktır. Gerçekte, veritabanındaki alanlar çok daha fazlasıdır, ancak bu ilke hemen hemen her durumda çalışabilir, çünkü Güvenlik açısından önemli olan PD alanlarının sayısı çok büyük değil, çok sınırlı değildir. Sınırlama durumunda, yerel ağa dahil olmayan veya otomatik işlem bile kullanmayan bir PC'ye anahtar yazışmaları saklayabilirsiniz.
Pdn savunmak
152-ФЗ tanımına göre, PDN eylemlerinin tükenmesi, bunun bir sonucu olarak, PDN'nin belirli bir PD varlığına kimliğini belirlemek imkansızdır. Bu tanımdan, PD'nin kimliğinin belirlenmesi imkansız olduğu için PDS elde etmenin mümkün olduğu bir dizi yol elde edilmelidir. Örneğin, belirli alanların doğru verileri işleme amacıyla önemli değilse, görüntülenemez veya yalnızca düştükleri aralıkları görüntüleyebilirsiniz. Örneğin, 20-30, 30-40, vb. Adres bölgeye, ilçe veya şehri "yuvarlatılmış" olabilir: Tsaritsyno, Güney, Moskova. İhtiyaca bağlı olarak, PDN tüketme işlemi geri dönüşümlü veya geri dönüşümsüz olabilir. Geri dönüşü olmayan bir "yuvarlama" yönteminin yukarıdaki yöntemleridir ve örneğin şifreleme için geri dönüşümlüdür. Benim bakış açımdan, şifreleme (kodlama) bir dewriting verilerinin bir yöntemi olabilir ve bu amaçlara uygulanmalıdır.
"İnce müşteriler" ve terminal erişimi
"İnce İstemci" teknolojilerinin ve sunuculara ilgili terminal erişiminin karşılık gelen teknolojisinin kullanımı, PDN'lerin korunması için gereksinimleri önemli ölçüde azaltmanıza olanak sağlar. Gerçek şu ki, "ince" müşteriler "kullanırken ve Bankanın PC çalışanlarına terminal erişiminin, veritabanlarının müşteri parçaları, ABS'nin istemci bölümleri gibi özel yazılımların yüklenmesi gerekmemesidir. Ayrıca, PC bankasında çalışanların herhangi bir özel koruma aracı kurmaları gerekmez. Bu teknolojiler, işyeri bilgilerinizde sunucularda depolanan veritabanlarından ve PD işlemlerini kontrol etmenizi sağlar. Bu teknolojiler bir prioridir, çünkü Terminal politikacıların, kopyalama konusunda sonlu müşterilerin (banka personeli) olanaklarını sınırlandırmak kolaydır, bu da PDN'lerin yayılması anlamına gelir. Sunucular ve PC'ler arasındaki "ince bir müşteri" olan iletişim kanalı kolayca şifrelenir, yani, iletilen verilerin gizliliğini sağlamak mümkündür.
Potansiyel veri sızıntılarının hızı, yalnızca kameranın veya kameranın hızı ile belirlenen görsel kanalla sınırlandırılacaktır, ancak özel organizasyonel olayları tanıtırken, bu kopyalar çok zorlaşır.
Kişisel verileri nasıl koruyabilirim?
Geniş bir anlamda, yetkisiz erişime karşı korumanın sağlanmasında bir örgütsel ve teknik önlemlerin bir kompleksi anlaşılmaktadır. Bu olaylar, bankacılık dışı erişim mekanizmalarının çeşitli seviyelerde anlayışına dayanmaktadır:
Tanımlama ve kimlik doğrulama (iki faktör veya katı). Olabilir ( işletim sistemi, altyapı yazılımı, uygulamalı yazılım, elektronik anahtarlar gibi donanım);
Kayıt ve muhasebe. Yukarıdaki sistemlerin tümünde, yazılımların ve araçlardaki olayların günlük kaydı (kayıt, günlüğe kaydetme) olabilir;
Bütünlüğün sağlanması. Bu, kontrollü dosyaların kontrol toplamlarının bir hesaplanması olabilir, yazılım bileşeninin bütünlüğünü sağlayan, kapalı bir yazılım ortamı kullanarak ve güvenilir işletim sistemi yükü sağlayan);
Güvenlik Duvarı, hem ağ geçidi hem de yerel;
Antivirüs güvenliği (üç düzeyde savunma, sözde ekelonize veya çok yoğun yaklaşım);
Kriptografi (OSI modelinin farklı seviyelerinde işlevsel olarak uygulanır (ağ, taşıma ve daha yüksek) ve çeşitli koruyucu işlevler sunar).
Gelişmiş bir NSD işlevselliğine sahip birkaç entegre ürün var. Hepsi uygulama türleri, ekipman, yazılım ve uygulama topolojisi için destek ile karakterizedir.
Bir dağıtılmış veya ortak bir ağa (internet, rostelecom vb.) Bağlantılı, güvenlik analizi ürünlerinin kullanımı kullanılır (Rusya Federasyonu'nda doğrudan rekabetçi olmayan Pozivitekhnolodzhis'ten MaxPatrol), ayrıca tespit ve önlenmesi İzinsiz giriş (IDS / IPS) - Ağ geçidi ve son düğüm seviyesinin seviyesinde olduğu gibi.
Kişisel verileri nasıl aktarabilirim?
Ölümler dağılırsa, bu, Korunmasız iletişim kanallarına PD'yi iletme ihtiyacı anlamına gelir. Bu arada, korunmasız kanal da "hava" için de geçerlidir. PDN'leri iletişim kanallarında korumak için çeşitli yollar kullanılabilir:
İletişim kanalının şifrelemesi. Ağ geçitleri arasında VPN, Sunucular arasında VPN, VPN, iş istasyonları arasında VPN gibi herhangi bir şekilde sağlanabilir (Infotecs VIPNET Custom, Informschita APKS Kıtası, vb.);
Toplu Anahtarı MPLS. Paket şanzıman, ağ ekipmanına atanan etiketlere göre çeşitli yollarda meydana gelir. Örneğin, Rostelecom MPLS ağı, üzerine verilen yüksek güvenlik güvenliğinin garantisi olan Rusya'nın Bilgi Güvenliği FSTEC'in gereklilikleri ile Paket Anahtarlama Ağına Uyum Sertifikasına sahiptir;
Şifreleme belgeleri. Farklı uygulayabilir yazılım Dosya dosyalarını ve ayrıca konteyner dosyalarını (VIPNet SafeDisk, InfoWatch Cryptom, True Crypt, vb.);
Şifreleme arşivleri. AES gibi kripto dirençli algoritmaları kullanarak dosyaları arşivlemenizi ve şifrelemenize izin veren çeşitli arşivler kullanılabilir. (WinRar, Winzip, 7-zip, vb.).
Sertifikalı koruma araçlarını kullanmam gerekiyor mu?
Bugüne kadar, Rusya'nın FSTEC'in PD koruma fonlarının sertifikalandırılması açısından gerekliliği vardır. Gereksinim, 4 seviyede ilan edilmeyen yeteneklerin sağlanması ile ilgilidir, bu nedenle son soru sadece üç tezi verecektir:
Koruma sertifikası sistemi gönüllü;
Mevzuatın gereksinimlerini yerine getirecek kadar;
Kişisel verilerin bilgi sistemini bir bütün olarak onaylamanız gerekmez.
Shauro Evgeny
Marina Prokhorov, Dergi Editörü "Kişisel Veriler"
Natalia Samoilova, "Infotechoproekt" şirketinin avukatı
Kişisel veri işleme alanında bugüne kadar gelişen düzenleyici çerçeve, kişisel verilerin kuruluşlardaki kişisel verilerin korunması üzerine daha verimli bir iş organizasyonu için hala alınması gereken belgeler, kişisel bilgi sistemlerinin hazırlanmasının teknik yönleri Veri operatörleri - bu konular yakın zamanda birçok gazete ve günlük yayınını kişisel veri sorunlarıyla etkiledi mi? Bu yazıda, bu örgütlerde işlenen kişisel verilerin "teknik olmayan" korunması olarak, Bankacılık ve Kredi Kurumları İşinin Örgütü'nün bu yönünü durdurmak istiyorum.
Belirli bir örneğe başlayalım
Haziran 2008'de Sberbank'a karşı başlatılan kişisel verilerin korunması durumunda adli inceleme hakkında konuşuyoruz, duruşmanın özü aşağıdakilere indirgendi. Vatandaş ile Banka arasında bir vatandaşın, bir vatandaşın kredi sözleşmesi kapsamındaki yükümlülük borçlusunu yürütmek için bankaya cevap verme yükümlülüğünü taahhüt ettiği için bir garanti sözleşmesi yapıldı. İkincisi, kredi sözleşmesi tarafından belirlenen terimin yükümlülüklerini yerine getirmedi, garantörle ilgili bir müşteri olarak garantöre ilişkin bilgiler, sırayla, sağlamayı reddetmek için temel olan Stop-Leaf Bank'ın otomatik bilgi sisteminde listelenmiştir. Onu bir kredi ile. Aynı zamanda, Banka, vatandaşlara kredi sözleşmesi kapsamındaki yükümlülükleri borçlusu tarafından yanlış yerine getirme konusunda bile bildirmedi. Buna ek olarak, Garanti Anlaşması, yükümlülükleri borçlusu tarafından uygunsuz bir şekilde yerine getirilmesinde, Banka'nın "Durdurma Listesi" bilgi sistemine ilişkin garantör hakkında bilgi verme hakkındeydiğini belirtti. Böylece, Banka bir vatandaşın kişisel verilerini, "STOP LİSTESİ" Bilgi Sisteminde, Sanatın 1. Bölümünün gereksinimlerini ihlal eden bilgiler dahil edilerek bilgi dahil ederek. 27 Temmuz 2006 tarihli federal yasaların 9'u, 27 Temmuz 2006 tarihinde "kişisel veriler üzerine", kişisel verilerin konusunun kişisel verilerinin sağlanmasına ve isteğinin ve ilgisinin işlenmelerine rıza gösterdiği uyarınca 9. Ek olarak, Sanatın 1. Bölümünde belirtilen şekilde. Aynı yasanın 14'ü, "STOP LİSTESİ" bilgi sisteminde kendilerini "STOP LIST" bilgi sisteminde listelenen bilgilerle tanışma fırsatı sunmak ve bu bilgileri ve yıkımlarını engellemek için bir vatandaşlığa başvuran bir vatandaş. Banka, bir vatandaşın gereksinimlerinin memnuniyetini reddetti.
Davanın göz önünde bulundurulması sonuçlarına göre, Vladivostok Leninsky Bölge Mahkemesi, Primorsky Bölgesi'ndeki Roskomnadzor ofisinde Roskomnadzor ofisi iddialarını, bir vatandaşın ihlal haklarının korunması konusunda Rusya'nın Sberbank'a götürdü ve Banka'nın bilgiyi yok etmesini emretti. "Durdur listesi" bilgi sisteminden vatandaş hakkında.
Bu örnek göstergesi nedir? Bankalar, önemli sayıda müşterilerinin kişisel verilerini düşünmeden, bunları bir veritabanından diğerine taşıyın ve çoğu zaman kişisel veriler konusunun sıklığı olmamak, bu tür eylemlere rıza göstermediğinden bahsetmemek kişisel verileriyle. Tabii ki, bankacılık faaliyetlerinin bir dizi özelliğe sahiptir ve çoğu zaman müşterilerin kişisel verileri sadece Banka tarafından sonuçlanan sözleşmeleri yerine getirmekle kalmaz, aynı zamanda Banka'nın yükümlülüklerinin müşterisini yürütmek için de izlemek için kullanılır, ancak bunun rızasının olduğu anlamına gelir. Konusunun kişisel verilerine sahip herhangi bir manipülasyon için zaten gereklidir..
Hükümlerin yorumlanmasında zorluklar
Neden kişisel verilerle ilgili herhangi bir işlem yapmıyorsunuz? Tabii ki, bunun için, büyük olasılıkla, büyük bankaların yasal kontrollerinin avukatları bile, yalnızca belirli bir alanda birinci sınıf profesyoneller ve alanında çalışmanın özellikleri ile üçüncü taraf uzmanlarını çekmek gerekli olacaktır. Kişisel veriler neredeyse çizikle tanışmak zorundalar. Bu yüzden en iyi yol, kişisel veri şirketlerinin korunması için bir sistemin örgütlenmesi için bir sistemin örgütlenmesi için, kişisel verilerle iş sağlanmasına yönelik hizmetlerin sağlanmasında, kişisel verilerle ilgili bir denetim yapabilmesi için bir denetim yapabilme yeteneğine sahip olma konusunda bir sistemin kurulması için çalışmaktır. Yasafsızlığın teknolojik koruma gereksinimleri.
Analitik çalışmaların sonuçları, 152-FZ sayılı Federal Kanun hükümlerinin "kişisel verilerdeki" hükümlerinin en büyük zorluklara neden olduğu sonuçları elde etmeyi mümkün kılar.
Bu düzenleyici belgenin 22. maddesinin 1. maddesi uyarınca, operatör, kişisel veri işlemenin uygulanmasında yetkili bedeni bilgilendirmelidir. İstisnalar arasında - işlenen kişisel verilerin sözleşmenin sonucuyla bağlantılı olarak elde edildiği durum, parti kişisel verilerin konusu olan ve operatör tarafından yalnızca belirtilen sözleşmenin yürütülmesi için kullanılmaktadır. 152 FZ sayılı Federal Hukukun 22. maddesinin 2. 2. maddesinin 2. paragrafının temeli. Tam olarak bu hükmü çalıştırın, bazı bankalar kişisel verilerin işlenmesi konusunda bir bildirimde bulunmaz ve çoğu, temel olarak yanlış olan kendilerini operatörler düşünmez.
Ayrıca, sözleşmeyle ilgili kişisel veri operatörleri olarak bankaların bir başka yaygın hatası aşağıdaki gibidir. Sanata göre. Yukarıda belirtilen hukukun işlenmesi, kişisel verilerin işlenmesi, operatör tarafından, işleme işleminin, sözleşmeyi yerine getirmek için işleme işleminin, bunlardan biri olan durumlar dışında, kişisel verilerin aktörlerinin rızası ile gerçekleştirilebilir. Kişisel verilerin konusu olan. Bu nedenle, birçok bankacılık kuruluşu, kişisel veriler konusundaki rızalarının yokluğunu tam olarak böyle bir sözleşmenin sonucunun gerçeğini açıklar.
Ancak, bir işletmeci olan Banka, örneğin, "Stop Sayfalarının" bakımı için, örneğin yeni hizmetler hakkındaki bildirimleri dağıtmak için, konunun kişisel verilerini kullanmaz. Bu, kişisel verilerin işlenmesinin yalnızca sözleşmeyi yürütmek için değil, diğer amaçlar için, başarının bankalara ticari ilgi olan diğer amaçlarla yapılması anlamına gelir.
- kişisel verilerin işlenmesini yetkili bedene bildiren bankaların uygulanması gerekir;
- bankalar kişisel veri işlemeyi yalnızca konunun rızasıyla gerçekleştirmelidir.
Bu, bankaların, bu tür verilerin teknik olmayan bir şekilde korunmasını sağlamak için, müşterilerinin kişisel verileriyle bir çalışma sistemi düzenlemesi gerektiği anlamına gelir.
Kişisel verilerin işlenmesine ilişkin yazılı rıza
Kişisel verilerin işlenmesi konusundaki kişisel verilerin rızası doğrultusunda, 152-fz "kişisel verilerdeki" Federal Kanun, operatörleri yalnızca belirli yasalarda kişisel verilerin işlenmesinde yazılı rıza almalarını zorunlu kılar. Aynı zamanda, sanatın 3. bölümüne uygun olarak. 9 Kişinin kişisel verilerini işleme koyma konusundaki rızasını kanıtlama görevi operatöre atanır. Böyle kanıtların toplanması için zaman geçirmemek için (örneğin, tanıkları bulmak için), görüşümüzde, herhangi bir durumda konulardan izin almak daha iyidir.
Yazılı kişisel veri işleme şekli için başka bir argüman veriyoruz. Genellikle, bankaların faaliyetleri, verilerin (kişisel dahil) yabancı bir devletin topraklarına devredilmesini sağlar. Bu vesileyle, Sanatın 1. Bölümü. 152-FZ sayılı Federal Hukukun 12-fz "Kişisel Verilerde", kişisel verilerin sınır ötesi iletiminin uygulanmasından önce, operatörün, bir yabancı devletin kişisel transferinin taşındığını emin olmakla yükümlü olduğunu belirtir. Veriler gerçekleştirilir, kişisel veri varlıklarının haklarının yeterli korunması sağlanmıştır. Bu tür bir koruma sağlanmazsa, kişisel verilerin sınır ötesi transferi yalnızca kişisel verilerin konusunun yazılı rızasıyla mümkündür. Banka'nın çalışanın, müşterinin kişisel verileri işlemek için yazılı rızasını elde etmekten daha kolay olduğu varsayılmaktadır. Korunmalarının yeterliliğinin yeterliliği derecesini oluşturmaktan daha kolaydır.
Dikkatinizi, yazılı onamda bulunması gereken bilgilerin sanatın 4. Bölümünde listelendiği gerçeğine dikkat çekiyoruz. Yukarıda belirtilen federal yasaların 9'u ve bu liste ayrıntılı. Ve örneğin bir kredi sözleşmesinde, "Kişisel verilerimin kullanımını kabul ediyorum", "Kişisel Verilerde" Federal Kanun'a göre, işlemlerine rıza yoktur!
Yasanın sadece birkaç noktasının sadece birkaç nokta olduğu ve dava açısından kaç komplikasyonun yanlış yorumlarına neden olabileceği görülüyor. Ek olarak, bugün, konuların kişisel verileri genellikle çeşitli yapıların rekabet mücadelesinde bir emtia haline geldiğinde, korunmalarının başarılı bir şekilde kararı, bankacılık ve kredi kurumlarının bilgi sistemlerinin güvenliğini sağlamak, itibarını korumak için bir anahtardır, dürüst Herhangi bir kuruluşun adı.
Her gün, vatandaşların kişisel verilerinin yaygınlaştırılmasının olası olumsuz sonuçları hakkında, özel yayınların ortaya çıkmasına katkıda bulunur. Çeşitli şirketlerin bilgi kaynakları var. Bazıları genellikle "Bilgi Güvenliği" konseptiyle ilgili tüm çok çeşitli konuları vurgulayarak, diğerleri, önlemler ve teknik koruma önlemleri hakkındaki değerlendirmeleri, aksine, teknolojik olmayan koruma ile ilgili sorunlara odaklanır. Başka bir deyişle, kişisel veri koruma hakkındaki bilgiler giderek daha uygun hale geliyor ve bu nedenle vatandaşların haklarının korunması alanında daha fazla ağırlanacak.
DURUM
kişisel Verilerin Korunması Hakkında
Müşteriler (aboneler)
lLC Ortes Finansında
Terimler ve tanımlar
1.1. Kişisel bilgi- Soyadı, isim, hatronimik, yıl, ay, tarih ve doğum, adres, e-posta adresi, telefon numarasını, adresi, adres, e-posta adresi, telefon numarası, bu tür bilgiler (kişisel verilerin konusu) temelinde belirli veya tanımlanmış bir fiziksel kişiyle ilgili herhangi bir bilgi, Aile, sosyal, mülkiyet durumu, eğitim, meslek, gelir, diğer bilgiler.
1.2. Kişisel verilerin işlenmesi- Koleksiyon, sistematizasyon, birikim, depolama, iyileştirme (güncelleme, değişim), kullanım, dağıtım (şanzıman dahil), azaltma, bloke etme dahil, kişisel verilerle eylemler (işlemler).
1.3. Gizlilik Politikası- Kişisel verilere erişimi kazanan, konunun rızası olmadan veya diğer yasal gerekçelerin rızası olmadan yayımlarını önleme gerekliliği için atanan sorumlu kişiye uymak zorunludur.
1.4. Kişisel Verilerin Dağılımı- Kişisel verileri belirli bir insan çemberine (kişisel verilerin transferi) aktarmayı amaçlayan eylemler, medyadaki kişisel verilerin yayınlanması da dahil olmak üzere sınırsız bir kişinin kişisel verilerini, bilgi ve telekomünikasyon ağlarında konaklama veya sağlama dahil olmak üzere Kişisel Verilere Erişim - Farklı bir şekilde.
1.5. Kişisel Verileri Kullanma- Kişisel verilerin karar vermesinde veya kişisel verilerin konularıyla ilgili yasal etkileri oluşturan veya başkalarının haklarını ve özgürlüklerini veya haklarını ve özgürlüğünü etkileyen diğer eylemleri taahhüt eder.
1.6. Kişisel Verileri Engelleme- Geçici toplama, sistematizasyon, birikim, kullanım, kullanımı, transferleri de dahil olmak üzere kişisel verilerin yayılmasının sonlandırılması.
1.7. Kişisel verilerin imhası- Eylemler, kişisel verilerin bilgi sisteminde kişisel verilerin içeriğini veya bunun bir sonucu olarak, hangi malzeme taşıyıcılarının tahrip edildiğinin imkansız olduğu bir sonucu olarak.
1.8. Kişisel verilerin tanımı- Eylemler, bunun bir sonucu olarak, kişisel verilerin belirli bir konuya ait ilişkinin belirlenmesi için ek bilgi kullanılmadan imkansızdır.
1.9. Genel kişisel veriler- Kişisel veriler, konunun rızası ile sağlanan veya federal yasalara uygun olarak federal yasalara uygun olarak verilen bir insanın erişiminin erişimi gizlilik gerekliliği için geçerli değildir.
1.10. Bilgi- Veriler (mesajlar, veriler), sunumlarının formundan bağımsız olarak.
1.11. Müşteri (Kişisel Veri Konusu)- Fiziksel Kişi Tüketici Hizmetleri Ortes Finans, Daha Fazla "Organizasyon".
1.12. Şebeke- Devlet bedeni, belediye gövdesi, yasal veya bireysel, bağımsız olarak veya diğer kişilerle birlikte veya (veya) kişisel verilerin işlenmesinin yanı sıra kişisel veri işleme hedeflerinin belirlenmesinin yanı sıra, kişisel verilerin işlenmesi (işlemler) ile yapılması gerekenler, eylemler (işlemler) Kişisel veri. Bu hüküm altında, operatör, Ortes-Finance Sınırlı Sorumluluk Şirketi'ni tanır;
2. Genel Hükümler.
2.1. Bu tür kişisel verilerin işlenmesi (tesisatçılığa göre), Rusya Federasyonu'nun anayasasına, Rusya Federasyonu'nun Medeni Kanunu, "Bilgi, Bilgi Teknolojisi ve Bilgi Koruma Hukuku" uyarınca geliştirildi. Federal Kanun 152-FZ "Kişisel Verilerde", diğer federal yasalar.
2.2. Durumu geliştirmenin amacı, kuruluşun tüm organizasyonlarının kişisel verilerinin işlenmesi ve korunması prosedürünü, verilerinin işleneceği, operatörün yetkileri temelinde işlenecek şekilde belirlemektir; İnsan haklarını ve özgürlüklerinin ve vatandaşların, kişisel verilerinin gizliliğinin, kişisel ve aile sırlarının haklarının korunması ve ayrıca kişisel verilere erişimi olan yetkililerin sorumluluğunun kurulmasını sağlamak, kişisel verilerin düzenlenmesi ve korunması kurallarının gereksizliğini yerine getirme.
2.3. Pozisyonu devreye alma ve değiştirme prosedürü.
2.3.1. Bu düzenleme, Kuruluşun Genel Müdürü tarafından onayı anından itibaren yürürlüğe girer ve yeni bir durumla değiştirmeden önce süresiz olarak hareket eder.
2.3.2. Yönetmelikte yapılan değişiklikler, Kuruluş Genel Müdürünün emirleri temelinde yapılır.
3. Kişisel verilerin bileşimi.
3.1. Aşağıdakiler de dahil olmak üzere, müşterilerin kişisel verilerinin bileşimi:
3.1.1. Ad Soyad.
3.1.2. Doğum yılı.
3.1.3. Doğum ayı.
3.1.4. Doğum tarihi.
3.1.5. Doğum yeri.
3.1.6. Pasaport detayları
3.1.7. E.
3.1.8. Telefon numarası (ev, hücresel).
3.2. Kuruluşlar yaratılabilir (oluşturulabilir, toplandı) ve aşağıdaki belgeler ve bilgiler, müşteri verilerini içeren elektronik form dahil olmak üzere depolanır:
3.2.1. Bir bireyi bağlama olasılığı hakkında inceleme için başvuru.
3.2.2. Antlaşma (halka arz).
3.2.3. Sözleşmeye katılımın onaylanması.
3.2.5. Kimlik belgelerini, müşteri tarafından sağlanan diğer belgeleri ve kişisel verileri içeren diğer belgeleri kopyalar.
3.2.6. Ödeme ve müşterinin diğer ayrıntılarını içeren siparişlerin (mal / hizmetler) suçlamaları hakkında bilgi.
4. Kişisel veri işleme amacı.
4.1. Kişisel verilerin işlenmesinin amacı, aşağıdakiler de dahil olmak üzere bir hedefe ulaşmayı amaçlayan bir dizi eylemin uygulanmasıdır:
4.1.1. Danışma ve bilgi hizmetleri sunmak.
4.1.2. Yukarıdaki işlemleri yerine getirmek için gerekli olan kişisel verilere sahip bir dizi eylemin yanı sıra yasa ile yasaklanmayan diğer işlemler.
4.1.3. Rusya Federasyonu mevzuatının gereklerini yerine getirmek için.
4.2. Kişisel verilerin işlenmesini durdurma koşulu, kuruluşun ortadan kaldırılması ve uygun müşteri gereksinimidir.
5. Kişisel verilerin toplanması, işlenmesi ve korunması.
5.1. Kişisel verileri elde etme prosedürü (toplama):
5.1.1. Müşterinin tüm kişisel verileri, bu terimlerin 5.1.4 ve 5.1.6'sında belirtilen davalar dışında, bu şartların ve Rusya Federasyonu Kanunları tarafından sağlanan diğer davalarda belirtilenler dışında, yazılı rızasıyla kendinden edinilmelidir.
5.1.2. Müşterinin kişisel verilerinin kullanımına rızası, organizasyonda kağıt ve / veya elektronik formda tutulur.
5.1.3. Kişinin kişisel verilerin işlenmesi konusundaki rızası, sözleşmenin tamamı boyunca geçerlidir. 5 yıl boyuncamüşterinin sözleşme ilişkisinin kuruluşuyla feshi tarihinden itibaren. Belirtilen sürenin sona ermesi üzerine, Anlaşma, hatırlaması hakkında bilgi yokluğunda her önümüzdeki beş yıl boyunca muaf tutulur.
5.1.4. Müşterinin kişisel verileri yalnızca üçüncü bir taraftan elde edilebiliyorsa, müşteriden önceden bildirilmeli ve yazılı rızası ondan alınmalıdır. Müşterinin kişisel verilerini sağlayan üçüncü kişi, kuruluşun kişisel verilerinin transferine tabi tutumuna sahip olmalıdır. Organizasyon, kişisel verilerin rızasına iletildiği müşteri kişisel verilerini ileten bir üçüncü taraftan onay almakla yükümlüdür. Müşterilerin kişisel verilerine ilişkin bilgilerin gizliliği konusunda bir anlaşma yapmak için üçüncü şahıslarla etkileşime girerken organizasyon gereklidir.
5.1.5. Kuruluş, müşteriyi, kişisel verileri elde etmek için amaçlanan kaynakların ve yöntemlerin, elde edilecek kişisel verilerin doğasını ve müşterinin makbuzlarına yazılı olarak rıza göstermemesi için bilgilendirmekle yükümlüdür.
5.1.6. Müşterilerin kişisel verilerinin rızası olmadan işlenmesi, aşağıdaki durumlarda gerçekleştirilir:
5.1.6.1. Kişisel veriler halka açıktır.
5.1.6.2. Federal Hukuk tarafından verilen davalarda yetkili devlet kuruluşlarının talebi üzerine.
5.1.6.3. Kişisel veri işlemesi, amacını oluşturan bir federal yasa temelinde, kişisel verileri işleme tabi tutulması ve operatörün güçlerini belirleyen konuların yanı sıra, kişisel verilerini ve denek çemberi.
5.1.6.4. Kişisel verilerin işlenmesi, taraflardan biri olan bir sözleşmenin kişisel verilerinin konusu olan bir sözleşmeyi sonuçlandırmak ve yürütmek için gerçekleştirilir.
5.1.6.5. Kişisel veri işlemleri, kişisel verilerin zorunlu olarak tükenmesine tabi istatistiksel amaçlar için gerçekleştirilir.
5.1.6.6. Yasa tarafından sağlanan diğer durumlarda.
5.1.7. Organizasyon, müşterisinin ırksal, milliyeti, politik görüşleri, dini veya felsefi inançları, sağlık, samimi yaşamıyla ilgili kişisel verilerini alma ve idare etme hakkına sahiptir.
5.2. Kişisel verileri işleme prosedürü:
5.2.1. Kişisel Veri İşletmesi, organizasyonları kendileri hakkında güvenilir bilgi sağlar.
5.2.2. Sadece kuruluşun çalışanları müşterinin kişisel verilerinde çalışmasına izin verilir, müşterilerin kişisel verilerini işlemek ve müşterinin kişisel verilerini imzaladılar.
5.2.3. Müşterinin kuruluştaki kişisel verilerine erişme hakkı vardır:
Kuruluşun Genel Müdürü;
Finansal hesaplamalardan sorumlu çalışanlar (Müdür, Muhasebeci).
Müşteri Hizmetleri Çalışanları (Satış Departmanı Başkanı, Müdür).
Çalışanları (teknik direktör, sistem yöneticisi).
Kişisel veri varlığı olarak müşteri.
5.2.3.1. Müşterilerin kişisel verilerine erişimi olan kuruluşun çalışanlarının tahmini listesi, Kuruluş Genel Müdürünün sırasına göre belirlenir.
5.2.4. Müşterinin kişisel verilerinin işlenmesi, yalnızca yerleşik pozisyonun amaçları ve yasalara ve Rusya Federasyonu'nun diğer düzenleyici yasal eylemlerine uygunluğun amaçları için gerçekleştirilebilir.
5.2.5. İşlenmiş kişisel verilerin hacmini ve içeriğini belirlemede, kuruluş, Rusya Federasyonu, Kişisel Veriler Kanunu ve diğer federal yasaların anayasası tarafından yönlendirilir.
5.3. Kişisel Bilgilerin Korunması:
5.3.1. Müşteri kişisel verilerinin korunması altında, onlara yasadışı veya rastgele erişimi engellemeyi amaçlayan bir önlemler kompleks (organizasyonel ve idari, teknik, yasal), imha, değişiklikler, engelleme, kopyalama, kişisel verilerin yanı sıra diğer yasadışı hareketler.
5.3.2. Müşterinin kişisel verilerinin korunması, kuruluşun pahasına, Rusya Federasyonu federal yasası tarafından öngörülen şekilde yapılmaktadır.
5.3.3. Müşterilerin kişisel verilerinin korunmasındaki organizasyon, aşağıdakiler de dahil olmak üzere gerekli tüm organizasyonel ve idari, yasal ve teknik önlemleri alır:
Antivirüs koruması.
Koruma analizi.
Tespit ve istila önleme.
Erişim kontrolü.
Kayıt ve muhasebe.
Dite Bütünlüğün sağlanması.
Kişisel veri korumasını düzenleyen düzenleyici ve metodolojik yerel yasaların organizasyonu.
5.3.4. Müşterilerin kişisel verilerinin korunmasının genel kuruluşu, Kuruluş Genel Müdürü tarafından yürütülmektedir.
5.3.5. Müşterinin kişisel verilerine erişim, organizasyonun işçilerinin işgücünün performansı ile bağlantılı olarak gerekli olduğu organizasyonun çalışanlarına sahiptir.
5.3.6. Müşterilerin kişisel verilerinin makbuz, işlenmesi ve korunması ile ilgili tüm çalışanlar, müşterilerin kişisel verilerinin ifşa edilmemesi konusunda bir anlaşma imzalaması gerekir.
5.3.7. Müşterinin kişisel verilerine erişim yapma prosedürü şunları içerir:
Bu Yönetmelik ile çalışanın resmin altındaki tanıdık. Başka düzenleyici eylemler (siparişler, siparişler, talimatlar vb.) Varsa, müşterinin kişisel verilerinin işlenmesini ve korunmasını düzenlemek, bu eylemlerle aynı zamanda tabloya aşina olur.
Müşterilerin kişisel verilerinin gizliliğine uymak ve işlenmelerinin kurallarına uygun olarak, gizli bilgileri yöneten kuruluşun iç yerel eylemlerine uygun olarak, bir çalışanın (Genel Müdürü Genel Müdürü) hesaplanması. güvenlik sorunları.
5.3.8. İstihdam görevlerinin yürütülmesi ile bağlantılı olarak müşterilerin kişisel verilerine erişimi olan bir kuruluşun çalışanı:
The Müşterinin kişisel verilerini içeren bilgilerin depolanmasını sağlar, bunlara üçüncü taraf erişimini ortadan kaldırır.
Bir çalışanın yokluğunda, işyerinde müşterilerin kişisel verilerini içeren belge olmamalıdır.
Bir iş seyahati sırasında ve işyerinde bir çalışanın uzun bir eksikliğinin diğer vakalarında ayrılmaya bırakılırken, yerel toplumun yerel eyleminin kişisel verilerini içeren belgeleri ve diğer taşıyıcıları aktarmak zorundadır. (siparişe göre, siparişler) emek görevlerinin yürütülmesiyle emanet edilecektir.
Eğer böyle bir kişi atanmazsa, müşterilerin kişisel verilerini içeren belgeler ve diğer taşıyıcılar, müşterilerin kişisel verilerine erişimi olan, Kuruluşun Genel Müdürünü belirtmek için başka bir çalışana iletilir.
Müşterilerin kişisel verilerine erişimi olan bir çalışanı işten çıkarırken, kişisel müşteri verilerini içeren belgeler ve diğer medya, müşterilerin kişisel verilerine erişimi olan diğer bir çalışana yönlendirir.
Off Atanan görevi yerine getirmek için ve bir ofis notu temelinde, Genel Müdürün olumlu çözünürlüğüne göre, müşterinin kişisel verilerine erişim, farklı bir çalışanla sağlanabilir. Müşterinin, yeterince dekore edilmiş bir erişime sahip olmayan kuruluşun diğer çalışanlarının kişisel verilerine kabul edilmek yasaktır.
5.3.9. Personel çalışması yöneticisi sağlar:
Bu düzenleme ile tablo altındaki çalışanların aşinası.
Müşterinin kişisel verilerinin (açıklama sözleşmesi) gizliliğine uygun olarak yazılı çalışanlarla hesaplanması ve işleme kurallarına uygunluk.
Müşteri kişisel verilerini korumak için çalışanlara uygunluk konusunda genel kontrol.
5.3.10. Kuruluşun elektronik veritabanlarında depolanan müşterilerin kişisel verilerinin korunması, yetkisiz erişim, bozulma ve bilginin imha edilmesinden ve diğer yasa dışı eylemlerden, sistem yöneticisi tarafından sağlanır.
5.4. Kişisel Verilerin Depolanması:
5.4.1. Müşterilerin kişisel verileri kasalarda saklanır.
5.4.2. Elektronik formdaki kişisel müşteriler, kuruluşun yerel bilgisayar ağında, elektronik klasörlerde ve Müşterinin kişisel bilgilerinin işlenmesiyle izin verilen personelin kişisel bilgisayarlarındaki elektronik klasörlerde ve dosyalarda depolanır.
5.4.3. Müşterilerin kişisel verilerini içeren belgeler, yetkisiz erişime karşı koruma sağlayan kilitlenebilir dolaplarda (kasalar) depolanır. İş gününün sonunda, müşterilerin kişisel verilerini içeren tüm belgeler, yetkisiz erişime karşı koruma sağlayan dolaplara (kasa) yerleştirilir.
5.4.4. Kişisel müşteri verileri içeren elektronik veritabanlarına erişimin korunması sağlanmıştır:
Lisanslı Antivirüs ve Kurumsal Kurumun yerel ağına yetkisiz girişe izin vermeyen anti-chriVer programlarının kullanılması.
Account Bir hesap kullanarak erişim haklarını hatırlamak.
İki kademeli şifre sistemi: Yerel bilgisayar ağ düzeyinde ve veritabanı seviyesinde. Şifreler, kuruluşun sistem yöneticisi tarafından kurulur ve kişisel olarak müşterilerin kişisel verilerine erişimi olan çalışanlara bireysel olarak iletişim kurar.
5.4.4.1. Müşterilerin kişisel verilerini içeren PC'lere yetkisiz giriş, sistem yöneticisi tarafından yüklenen ve açıklamaya tabi olmayan bir şifre ile engellenir.
5.4.4.2. Kişisel müşteri verilerini içeren tüm elektronik klasörler ve dosyalar, kuruluşun PC çalışanıdan sorumlu olan ve sistem yöneticisine bildirilen bir şifre ile korunmaktadır.
5.4.4.3. Sistem yöneticisi tarafından şifreleri değiştirmek, 3 ayda en az 1 kez gerçekleştirilir.
5.4.5. Müşterinin kişisel verilerinin kopyalanması ve yapılması, yalnızca kuruluş genel müdürünün yazılı izniyle yalnızca resmi amaçlar için izin verilir.
5.4.6. Müşteri kişisel verileri hakkındaki diğer kuruluşlar ve kurumlar için yazılı taleplere verilen cevaplar, yalnızca yasalarca oluşturulmadıkça, müşterinin yazılı rızası ile verilmektedir. Cevaplar, örgütün formunda ve müşterinin aşırı miktarda kişisel verilerini ifşa etmemesini sağlayan birimde yazılı olarak yapılır.
6. Kilit, silme, kişisel verilerin imha edilmesi
6.1. Kişisel verilerin engellenmesi ve kilidini açma:
6.1.1. Müşterilerin kişisel verilerini engellemek, istemcinin yazılı bir uygulamasıyla gerçekleştirilir.
6.1.2. Kişisel veri blokajı:
6.1.2.2. Kişisel verilerin dağıtımının herhangi bir şekilde (e-posta, hücresel iletişim, malzeme taşıyıcıları) ile dağıtılması.
6.1.2.4. Müşteri ile ilgili kağıt belgelerinin geri çekilmesi ve kişisel verilerini organizasyonun iç iş akışından ve kullanımlarının yasaklanması.
6.1.3. Rusya Federasyonu'nun mevzuatına uyması gerekiyorsa, müşterinin kişisel veri bloğu geçici olarak kaldırılabilir.
6.1.4. Müşterinin kişisel verilerinin kilidini açmak, yazılı rızası ile (bir rıza almanız gereken bir ihtiyaç varsa) veya istemcinin uygulanmasıyla gerçekleştirilir.
6.1.5. Müşterinin kişisel verilerini işleme koyması için (gerekirse alınırsa) kişisel verilerinin kilidini açmayı gerektirir.
6.2. Kişisel verilerin yinelenmesi ve imhası için prosedür:
6.2.1. Müşterinin kişisel verilerinin tükenmesi, tüm sözleşmeye bağlı ilişkilerin tamamlanması ve en az 5 yıl son tarihte geçmesi şartıyla, müşterinin yazılı ifadesinde gerçekleşir.
6.2.2. Silme durumunda, bilgi sistemlerdeki kişisel veriler, kişisel verilerin kişiliği tarafından belirli bir müşteriye olarak belirlenemeyen bir karakter kümesiyle değiştirilir.
6.2.3. Kişisel veri tükenmesi için kağıt hoparlörler yok edilir.
6.2.4. Kuruluş, geliştiricinin topraklarındaki bilgi sistemlerini test etmek için gerekli ise, kişisel verilere göre gizlilik sağlamak ve geliştiriciye iletilen bilgi sistemlerinde kişisel verileri yavaşlatması zorundadır.
6.2.5. Müşteri kişisel verilerinin imhası, müşterinin kişisel verilerine herhangi bir erişimin sonlandırılmasının sona ermesi anlamına gelir.
6.2.6. Müşterinin kişisel verilerini yok ederken, kuruluşun çalışanları, bilgi sistemlerinde konunun kişisel verilerine erişemez.
6.2.7. Kişisel verilerin imha edilmesindeki kağıt kağıt hoparlörler yok edilir, bilgi sistemlerdeki kişisel veriler de dengesizdir. Kişisel veri kurtarma konusu değildir.
6.2.8. Kişisel verilerin imhasının çalışması geri dönüşümsüzdür.
6.2.9. Müşterinin kişisel verilerinin imha edilmesinin mümkün olduğu dönem, bu Yönetmeliğin 7.3. Paragrafında belirtilen sürenin sona ermesiyle belirlenir.
7. Kişisel Verilerin Aktarılması ve Depolanması
7.1. Kişisel veri aktarımı:
7.1.1. Konunun kişisel verilerinin iletimi, iletişim kanalları ve malzeme taşıyıcılarındaki bilgilerin yayılması anlamına gelir.
7.1.2. Kişisel verileri aktarırken, kuruluşun çalışanları aşağıdaki gerekliliklere uymak zorundadır:
7.1.2.1. Müşteri kişisel verilerini ticari amaçlarla bilgilendirmeyin.
7.1.2.2. Rusya Federasyonu Federal Hukuku tarafından kurulan davalar dışında, müşterinin kişisel verilerini üçüncü bir tarafça üçüncü bir tarafça söylemeyin.
7.1.2.3. Müşterinin kişisel verilerini alan kişileri bu verilerin yalnızca rapor edildikleri amaçlar için kullanılabilecekleri ve bu kişilerin bu kuralın uyulmasını gerektiğini;
7.1.2.4. Müşterilerden yalnızca yetkili kişilere kişisel verilere erişime izin verin, bu kişilerin yalnızca belirli işlevleri yerine getirmek için gerekli olan müşterilerin kişisel verilerini alma hakkına sahip olmalıdır.
7.1.2.5. Müşterinin kişisel verilerini kuruluş içindeki bu düzenleme, düzenleyici ve teknolojik dokümantasyon ve iş tanımlarına uygun olarak aktarın.
7.1.2.6. İletişim kurarken veya bir istemci isteği alırken kişisel verilerine müşteri erişimini sağlayın. Örgüt, müşteri bilgilerini kendisiyle ilgili kişisel verilerin mevcudiyeti hakkındaki bilgilerini bilgilendirmekle yükümlüdür, ayrıca onlarla onlarla temyiz anından itibaren onlarla onlarla tanışmak için fırsatı sunmak zorundadır.
7.1.2.7. Müşterinin kişisel verilerini müşteri temsilcilerine, yasa ve düzenleyici ve teknolojik dokümantasyon tarafından öngörülen şekilde aktarmak ve bu bilgiyi yalnızca işlevlerinin belirtilen temsilcilerini yerine getirmek için gerekli olan konunun kişisel verileri ile sınırlandırın.
7.2. Kişisel verilerin depolanması ve kullanımı:
7.2.1. Kişisel verilerin depolanması altında, bilgi sistemlerinde ve malzeme taşıyıcılardaki girişlerin varlığı anlamına gelir.
7.2.2. Kişisel müşteriler, bilgi sistemlerinde ve kuruluştaki kağıda işlenir ve saklanır. Kişisel müşteri verileri de elektronik formda depolanır: Kuruluşun yerel bilgisayar ağında, elektronik klasörlerde ve Direktörün PC'sindeki dosyalarda ve çalışanların kişisel verilerinin işlenmesinde yapılan işçiler.
7.2.3. Müşterinin kişisel verilerinin depolanması, Rusya Federasyonu'nun federal yasaları tarafından aksi belirtilmedikçe, işlem hedefinden artık yapılamaz.
7.3. Kişisel verilerin depolanması şartları:
7.3.1. Müşterilerin kişisel verilerini içeren medeni hukuk anlaşmalarının depolanmasının yanı sıra sonuçları, belgelerin yürütülmesi - sözleşmelerin sonundan 5 yıl.
7.3.2. Depolama süresi boyunca kişisel veriler kişisel olmayan veya yok edilemez.
7.3.3. Depolamanın sona ermesi üzerine, kişisel veriler bilgi sistemlerinde kişiliksiz olabilir ve Rusya Federasyonu'nun konumunda ve mevcut mevzuatında belirlenen prosedüre uygun olarak kağıt üzerinde yok edildi. (Kişisel verilerin imhası üzerinde uygulama)
8. Kişisel veri operatörü hakları
Organizasyon şunları hakkına sahiptir:
8.1. İlgi alanlarınızı mahkemede savun.
8.2. Mevcut mevzuat (vergi, kolluk kuvvetleri vb.) Tarafından sağlanırsa, müşterilerin kişisel verilerini üçüncü şahıslara verin.
8.3. Kanun ile sağlanan durumlarda kişisel verileri sağlamayı reddetmek.
8.4. Rusya Federasyonu mevzuatının sağladığı yasalar durumunda, müşteri kişisel verilerini rızası olmadan kullanın.
9. Müşteri Hakları
Müşterinin hakkı vardır:
9.1. Kişisel verilerinin açıklanmasını gerektirir, kişisel veriler eksik, modası geçmiş, güvenilmez, yasadışı bir şekilde alınmış veya ilan edilen işleme hedefi için gerekli değildir, aynı zamanda haklarını korumak için yasanın avantajını sağlamak;
9.2. Organizasyonda var olan işlenmiş kişisel verilerin bir listesini ve makbuzlarının kaynağını gerektirir.
9.3. Depolarının zamanlaması dahil, kişisel veri işlemenin zamanlaması hakkında bilgi edinir.
9.4. Daha önce yanlış veya eksik kişisel verileri bildiren herkes, içinde yapılan tüm istisnalar, düzeltmeler veya eklemeler hakkında bildirilmesini gerektirir.
9.5. Kişisel veri kuruluşlarının haklarını korumak için yetkili bir bedene veya kişisel verilerinin işlenmesindeki yasadışı eylemler veya eylemsizlikten temineme.
10. Kişisel verilerin işlenmesini ve korunmasını düzenleyen normların ihlal edilme sorumluluğu
10.1. Kuruluş çalışanları, normların ihlal edilmesi, kişisel verilerin makbuzunu, işlenmesi ve korunması, Rusya Federasyonu'nun mevcut mevzuatına uygun olarak disiplin, idari, hukuki veya cezai yükümlülüğü taşır.
1. Teorik Temel Bilgiler Güvenlik Kişisel Verileri
1.1 Rusya Federasyonu'ndaki kişisel verilerin korunma fonları
1.3.1 Kişisel verilerin bilgi sisteminde yetkisiz erişim tehdidi kaynaklarının genel özellikleri.
1.3.2 Kişisel veri bilgi sisteminin çalışma ortamına doğrudan erişimin genel özelliği
1.3.3 Bağlantı protokolleri kullanılarak uygulanan kişisel verilerin güvenliğine yönelik tehditlerin genel özellikleri
1.4 Bankanın özellikleri ve faaliyetleri
1.5 Kişisel Verilerin Bazları
1.5.1 Kurumun Çalışanlarının Kişisel Verilerinin Bilgi Sistemi
1.5.2 Kişisel veri kontrolü ve erişim kontrol sistemlerinin bilgi sistemi
1.5.3 Otomatik Bankacılık Sisteminin Kişisel Verilerinin Bilgi Sistemi
1.6 Yerel cihaz ve tehditler bilgi işlem ağı Banka
1.7 Bilgi Güvenlik Araçları
2.2 Yazılım ve Donanım Koruması
2.3 Temel Güvenlik Politikası
2.3.1 Bilgi güvenliği konularında çalışanların farkındalığını arttırma sistemi
2.3.4 Çalışanların e-postayla çalışması
2.3.5 Şifre Politikası Bankası
3. Projenin ekonomik gerekçesi
Sonuç
Uygulamalar.
Giriş
20. yüzyılın sonunda başlayan her yerde bulunan bilgisayarlaştırma bugün devam ediyor. İşletmelerdeki süreçlerin otomasyonu, işçilerin verimliliğini arttırır. Bilgi sistemlerinin kullanıcıları, resmi görevlerini yerine getirmek için gerekli verileri hızlı bir şekilde alabilir. Aynı zamanda, veri erişiminin kolaylaştırılmasıyla birlikte, bu verilerin korunmasında sorunlar var. Çeşitli bilgi sistemlerine erişmek, saldırganlar onları paralı askerler için kullanabilir: onları kara pazarda satmak için veri toplama, müşterilerin kuruluşundan gelen fonların çalınması, kuruluşun ticari sırlarının çalınması.
Bu nedenle, kuruluşlar için kritik önemli bilgileri koruma sorunu çok akutdır. Giderek giderek, finansal kurumların bilgi sistemlerini hackleyerek fonların çeşitli teknikleri veya yöntemleri hakkında medyadan bilinir. Kişisel verilerin bilgi sistemlerine erişimi olan, saldırgan, finansal kuruluşların müşterilerinin verilerini, mali işlemleriyle ilgili bilgileri, bankayı bankaya finansal ve saygın hasar olarak uygulayabilir. Ayrıca, istemci hakkındaki verileri öğrendikten sonra, sahtekarlar, bankaların çalışanları tarafından sunulan ve uzak bankacılık sistemlerinden şifreleri öğrenmek ve müşterinin hesabından para getirme ve sosyal mühendislik tekniğini kullanan müşteriyi doğrudan çağırabilir.
Ülkemizde, hırsızlık sorunu ve kişisel verilerin yasadışı dağılımı çok akut. İnternette, örneğin bir cep telefonu numarası tarafından, pasaport detayları, konaklama adresleri, fotoğraflar da dahil olmak üzere kişi hakkında çok detaylı bilgi bulabilirsiniz, kişisel verilerin temel veritabanlarının bulunduğu çok sayıda kaynak var. ve dahası.
Bu diploma projesinde, PJSC "Sitibank" bölümündeki kişisel verileri korumak için bir sistem oluşturma sürecini araştırıyorum.
1. Kişisel veri güvenliğinin temelleri
1.1 Yasama temelleri Kişisel verilerin korunması
Bugüne kadar, kişisel verilerin güvenliği alanındaki devlet düzenlemesi Rusya'da yapılmaktadır. Rusya Federasyonu'ndaki kişisel verilerin korunma sistemini düzenleyen temel yasal yasal eylemler, Rusya Federasyonu'nun anayasası ve 27 Temmuz 2006 No. 152 FZ'nin "Kişisel Verilerde" Federal Hukuku. Bu iki ana yasal eylem, Rusya Federasyonu'ndaki kişisel verilerle ilgili ana özetleri belirler:
Her vatandaşın gizlilik, kişisel ve aile gizemi, onurunun korunması ve iyi isminin hakkı vardır;
Herkesin yazışma, telefon görüşmeleri, posta, telgraf ve diğer mesajların sırrı hakkı vardır. Bu hakın kısıtlaması sadece bir mahkeme kararına dayanarak izin verilir;
KİŞİSİN GİZLİLİĞİ HAKKINDA BİLGİLERİN KOLEKSİYONU, DEPOLAMA, KULLANIMI VE YÖNETMESİ İzinsizdir;
Kişisel veri işleme meşru ve adil bir şekilde yapılmalıdır;
Kişisel verilerin işlenmesi, belirli, önceden belirlenmiş ve meşru amaçlara ulaşmak için sınırlı olmalıdır. Kişisel verilerin kişisel veri toplama amacıyla uyumsuz olmasına izin verilmemektedir.
Kişisel verileri içeren veritabanlarına izin verilmez, işlenmesi uyumsuz amaçlar için gerçekleştirilir.
Yalnızca işlemlerinin hedeflerini karşılayan kişisel veriler işleme tabi tutulur.
Kişisel verilerin işlenmesi durumunda, kişisel verilerin doğruluğu, yeterlilikleri ve gerekli durumlarda ve kişisel verilerin işlenmesi amacıyla ilgili olarak alaka düzeyi sağlanmalıdır. Operatör, eksik veya yanlış verileri silmek veya netleştirmek için evlat edinmelerini sağlamak için gerekli önlemleri almalıdır.
Kişisel verilerin depolanması, kişisel verilerin işlenmesi amacından daha uzun olmayan, kişisel verilerin raf ömrü federal yasa, sözleşme, Faydalanıcının veya Kavarcı, kişisel bir veridir. İşlenen kişisel veriler, işleme hedeflerine ulaşmak için yok veya yalıtılacak veya Federal Hukuk tarafından aksi belirtilmedikçe, bu hedeflere ulaşma ihtiyacının kaybı durumunda yok edilmelidir.
Rusya Federasyonu'nun bankacılık sektörünün kuruluşlarında kişisel verilerin korunması üzerinde yasal etki sağlayan diğer düzenleyici eylemler şunlardır:
27 Temmuz 2006 tarihli Rusya Federasyonu Federal Hukuku Federal Hukukun "Bilgi, Bilgi Teknolojileri ve Bilgi Koruması";
Rusya Federasyonu İş Kodu (Bölüm 14);
1119.11.2012 sayılı Rusya Federasyonu'nun hükümetinin, 1119 sayılı "Kişisel verilerin bilgi sistemlerinde işlem yaparken kişisel verilerin korunması için gerekliliklerin onaylanması";
02/18/2013 sayılı Rusya'nın FSTEC'sinin Siparişi, Kişisel Veri Bilgileri Sistemlerinde işlendiklerinde kişisel verilerin güvenliğini sağlamak için örgütsel ve teknik önlemlerin bileşiminin ve bakımının onaylanması üzerine. "
Mevzuatta kullanılan ana tanımları düşünün.
Kişisel Veriler - Fiziksel Kişi (Kişisel Veriler Konusu) ile doğrudan veya dolaylı olarak tanımlanmış veya belirlenen herhangi bir bilgi.
Kişisel veri operatörü, bir devlet kuruluşu, bir belediye yetkisi, bir yasal veya bireysel, bağımsız olarak, kişisel verilerin işlenmesi ve (veya) kişisel verilerin işlenmesi, kişisel veri işleme amacıyla kişisel verilerin bileşimini belirlemenin yanı sıra diğer kişilerle bağımsız olarak veya bireyseldir. kişisel verilerle işlenen eylemler (işlemler) işlenebilir;
Kişisel Verilerin İşlenmesi - Otomasyon Araçları'nı (Operasyon) veya bir dizi eylem (işlem), otomasyon araçları kullanılarak veya toplama, kayıt, sistematikleştirme, birikim, depolama, iyileştirme (Güncelleme, Değişiklik) dahil olmak üzere kişisel verilerle birlikte kullanılmayan bir dizi (işlem). , ekstraksiyon, kullanım, iletim (dağıtım, karşılık, erişim), azaltma, engelleme, silme, kişisel verilerin imha edilmesi;
Kişisel Verilerin Otomatik İşlenmesi - Bilgisayar Ekipmanlarını Kullanarak Kişisel Verilerin İşlenmesi;
Kişisel Verilerin Dağılımı - Kişisel Verilerin Belirsiz Bir Kişi Çemberine Açıklamayı amaçlayan eylemler;
Kişisel verilerin sağlanması - Kişisel verilerin belirli bir kişiye veya belirli bir kişiye ifşa etmeyi amaçlayan eylemler;
Kişisel verilerin engellenmesi - Kişisel veri işlemenin geçici sonlandırılması (Kişisel verileri netleştirmek için işleme gerekliyse);
Kişisel veri bilgi sisteminde kişisel verilerin içeriğini ve (veya) kişisel verilerin hangi malzeme taşıyıcılarının imha edildiği bir sonucu olarak kişisel verilerin içeriğini geri yüklemek imkansız olan kişisel verilerin imha edilmesi;
Kişisel verilerin tükenmesi - eylemlerin tükenmesi, bunun bir sonucu olarak, kişisel verilerin belirli bir kişisel veri konusundaki kişisel verilerin ilişkisini belirlemek için ek bilgi kullanmadan imkansız hale gelir;
Kişisel Veri Bilgileri Sistemi, kişisel veri veritabanlarında bir ortak tutucudur ve işleme bilgi teknolojilerini ve teknik yollarını sağlamak;
Kişisel verilerin sınır ötesi iletimi, Pasco-Vergi verilerinin yabancı bir devletin topraklarına, yabancı devletin otoritesi, yabancı bir fiziksel yüz veya yabancı bir tüzel kişiliğin transferidir.
Biyometrik Kişisel Veriler - Bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden bilgiler, kimliğinin (biyometrik kişisel verileri) oluşturmanın mümkün olduğu ve kişisel verilerin kişiliğini tanımlamak için operatör tarafından kullanılan.
Kişisel Verilerin Güvenliği - Kişisel verilerin kişisel verilerinin kişisel verilerinin işlenmesi durumunda kişisel verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için kullanıcıların, teknik araçların ve bilgi teknolojilerinin özelliği ile karakterize edilen kişisel verilerin güvenliğinin durumu
1.2 Kişisel verilerin bilgi güvenliği tehditlerinin sınıflandırılması.
Bilgi güvenliği tehdidi altında, bilgi güvenliğinin özelliklerini ihlal etme tehdidi anlamına gelir - kuruluşun bilgi varlıklarının mevcudiyeti, bütünlüğü veya gizliliği.
Bir tehdit listesi, uygulamalarının olasılığını değerlendirme, ayrıca ihlal eden model, tehdit riskini analiz etmek ve otomatik sistem koruma sistemi için gereksinimleri formüle etme temelini oluşturur. Olası tehditleri belirlemenin yanı sıra, bir dizi işaret için sınıflandırmalarına göre belirlenen tehditleri analiz etmek gerekir. Her sınıflandırma belirtisine karşılık gelen tehditler, bu özelliğin yansıdığı gereksinimi detaylandırmanıza olanak sağlar.
Modern konuşmacılardaki depolanan ve işlenmiş bilgiler son derece çok sayıda faktöre maruz kaldığından, tam bir tehdit kümesini tanımlama görevini resmileştirmek imkansız hale gelir. Bu nedenle, korumalı bir sistem için, genellikle bir tehdit listesi değil, tehdit sınıflarının bir listesi belirlenir.
Bilgi Güvenliği AC'nin olası tehditlerin sınıflandırılması, aşağıdaki temel özelliklere göre gerçekleştirilebilir:
Doğa olayına göre:
AU nesnel fiziksel süreçleri veya doğal fenomen üzerindeki etkilerin neden olduğu oralty tehditleri;
Mesleki güvenlik tehditleri, insanın faaliyetinden kaynaklanan AC'ler.
Tezahürün niyetinin derecesine göre:
Koruyucu ekipmanların yanlış kullanımı gibi hataların veya ihmal personelinin neden olduğu odrozonlar, verilerle çalışırken ihmali;
Kasıtlı eylemin, örneğin, davetsiz misafirler tarafından otomatik bir sistemi hackleyerek, bu kurumun çalışanları tarafından işveren tarafından intikamıyla yıkılması.
Doğrudan tehdit kaynağı ile:
Doğal afetler, insan yapımı felaketler gibi ısınılabilir tehditler;
Ocheolojik tehditler, örneğin: Bilginin tahrip edilmesi, gizli verilerin açıklanması;
Ekipmanların fiziksel dağılımı, yazılım hataları, yazılım çatışmaları gibi Oracle yazılımı ve donanım;
Donanım yer imlerinin, yazılım yer imlerinin tanıtımı gibi yazılım donanımı.
Tehdit kaynağının konumuna göre:
Kontrollü bölgeye göre, örneğin, iletişim kanallarıyla iletilen verilerin durdurulması;
Kontrollü bölgenin sınırları, örneğin, bilgilerin yetkisiz kopyalanması, korumalı bölgeye yetkisiz erişim;
AC kaynaklarının yanlış kullanımı gibi otomatik bir sistemde açıkça.
AC faaliyetine bağımlılık derecesine göre:
Medyanın fiziksel hırsızlığı gibi onevo bağımlı AC aktivitesi;
Sadece kötü amaçlı yazılım bulaşması gibi veri işleme sürecinde vardır.
AC üzerindeki etki derecesine göre:
AU'nun yapısındaki ve içeriğinde uygulanmayan tehditleri, örneğin, sektif verilerini kopyalamanın tehdidinde;
Son zamanlarda, maruz kaldığında, verileri silmek, modifikasyonları gibi AC'nin yapısına ve içeriğinde değişiklikler yaptıkları tehditler.
Kullanıcıların veya programların kaynaklarına aşamaları üzerine:
Odrozens, AC kaynaklarına erişim aşamasında tezahür etti, örneğin: AC'ye yetkisiz erişim tehditleri;
Ougroms, AC kaynaklarına erişimin çözülmesinden sonra, örneğin AC kaynaklarının yanlış kullanımı.
Kaynaklara erişim yoluyla AC:
O.Grozos, AC'nin kaynaklarına standart erişim yolunu kullanarak uygulandı.
Ougromlar, AC kaynaklarına gizli olmayan standart olmayan bir erişim yolu kullanılarak gerçekleştirilir, örneğin: Yüklü yazılımın belgelendirilmemiş özelliklerini kullanarak AC kaynaklarına yetkisiz erişim.
Bilginin mevcut konumunda, AC'de depolanan ve işlenir:
Harici depolama aygıtlarındaki bilgilere erişimin permonları, örneğin: Gizli bilgilerin medya bilgilerinden kopyalanması;
RAM'deki bilgilere erişimin permonları, örneğin: RAM'den kalan bilgileri okumak, uygulamaların uygulanmasında RAM sistem alanına erişim;
İletişim hattında dolaşan bilgilere erişimin permonları, örneğin: bilgi seçimi için iletişim hatlarına yasadışı bağlantı, değiştirilmiş veri göndermek;
Otomatik sistemdeki tehlikeli etkiler rastgele ve kasıtlı olarak ayrılmıştır.
AU'nun işlemi sırasında rastgele etkilerin nedenleri şunlar olabilir:
Doğal afetler ve elektrik kesintileri nedeniyle acil durumlar;
Hizmetteki başarısızlıklar;
Yazılımdaki hatalar;
Servis personeli ve kullanıcıları çalışmalarında hatalar;
Dış ortamın etkileri nedeniyle iletişim hatlarında girişim.
Yazılım hatalarının kullanımı, bilgi güvenliği bilgi sistemlerini ihlal etmenin en yaygın yoludur. Yazılımın karmaşıklığına bağlı olarak, hata sayısı artmaktadır. Malefactors, kuruluşun bilgi sistemine erişmek için bu güvenlik açıklarını ve aralarında bulabilirler. Bu tehditleri en aza indirmek için, yazılım sürümlerinin uygunluğunu sürekli olarak korumak gerekir.
Kasıtlı tehditler, saldırganların hedefli eylemleriyle ilişkilidir. Saldırganlar iki türe ayrılır: bir iç saldırgan ve bir dış saldırgan. İç saldırgan, otomatik sistemin kontrollü bölgesinde iken yasadışı eylemler yapar ve otomatik sisteme yetkili erişim için resmi güçleri kullanabilir. Dış saldırganın kontrollü bölgenin sınırlarına erişimi yoktur, ancak hedeflerine ulaşmak için iç saldırganın eşzamanlı olarak hareket edebilir.
Doğrudan korumalı bilgiye gönderilen üç ana bilgi güvenliği tehdidi vardır:
Gizlilik ihlali - Gizli bilgiler değişmez, ancak üçüncü taraflara uygun hale gelir. Bu tehdidi uygularken, finansal veya itibarlı hasar gerektirebilecek çalınan bilgilerin saldırganı ile yüksek bir açıklama olasılığı vardır. Korumalı bilgilerin bütünlüğünün ihlali bozulma, bilginin değiştirilmesi veya imha edilmesidir. Bilgi bütünlüğü bilerek değil, ancak işletmenin bir çalışanın yetersizliği veya ihmali sonucunda ihlal edilebilir. Ayrıca, bütünlük kendi hedeflerine ulaşmak için bir saldırgan tarafından kırılabilir. Örneğin, otomatik bir bankacılık sisteminde hesap ayrıntılarında bir değişiklik, kuruluşun müşteri işbirliğiyle ilgili bilgi edinmek için kuruluşun kişisel verilerinin saldırganı veya ikame edilmesi için bir değişiklik.
Korunan bilgilerin mevcudiyetinin ihlali veya bakımın reddedilmesi - yetkili bir kullanıcının bu tür nedenlerle korunan bilgilere erişemediği eylemler: ekipman, yazılımın başarısızlığı, yerel bir bilgisayar ağının başarısızlığı.
Otomatik sistemlerin tehditlerini göz önünde bulundurduktan sonra, kişisel veri bilgi sisteminin tehditlerini analiz etmeye devam edebilirsiniz.
Kişisel Veri Bilgisi sistemi, veritabanlarında bulunan ve işleme bilgileri teknolojisini ve teknik araçlarını sağlayan bir dizi kişisel verilerdir.
Kişisel verilerin bilgi sistemleri, kişisel verilerin işlenmesinde kullanılan bilgi teknolojilerinin yanı sıra bilgi ve yazılım ve donanım elemanlarının bir kombinasyonudur.
Ana unsurlar keenns vardır:
Veritabanlarında yer alan kişisel veriler;
PDN'lerin işlenmesinde kullanılan bilgi teknolojileri;
Teknik araçlar Kişisel verileri (bilgi işlem ekipmanı, bilgi ve bilgi işlem kompleksleri ve ağları, araçlar ve sistemler, kişisel verilerin alımı ve işlenmesi, ses kaydının araçları ve sistemleri, ses, ses üretimi, imalat araçları, belgelerin çoğaltılması ve Diğer teknik araçlar işleme, grafik, video ve alfasayısal bilgi);
Yazılım (işletim sistemleri, veritabanı kontrol sistemleri vb.);
Bilgi Cadn'in Korunması Gibi;
Yardımcı teknik araçlar ve sistemler - Teknik araçlar ve sistemler, kişisel verilerin işlenmesi amaçlanmayan iletişimleri, ancak keennlerin bulunduğu tesislere yerleştirilmiş olan iletişimleri.
Kişisel verilerin güvenliği, rastgele, kişisel verilere, kişisel verilerin yanı sıra, kişisel verilerin imha edilmesi, engellenmesi, kopyalanması, kopyalamasının yanı sıra, rastgele, kişisel verilere erişimi de dahil olmak üzere yetkisiz tehlikeyi oluşturan bir dizi koşul ve faktördür. Bilgi Kişisel Veri Sistemini İşlemlerken Eylemler.
Kişisel Veri Bilgileri Sisteminin özellikleri, UBPDN'nin ortaya çıkması nedeniyle, Bilgi Sisteminde işlenen kişisel verilerin kategorisine ve kişisel veri bilgi sisteminin yapısı olan kişisel verilerin miktarına bağlanabilir, bağlantıların kullanılabilirliği etkilenmiştir. Genel kullanım ağları ve (veya) Uluslararası Bilgi Değişim Ağları, Alt Sistem Özellikleri Kişisel Veri İşleme Modlarına işlenen kişisel verilerin güvenliği, Kullanıcı erişiminin kullanıcılarının kullanıcıları, Konum ve Koşulların Teknik anlamına gelir.
Korunan bilgiler içeren bilgilendirici sinyallerin dağıtım ortamının özellikleri, PDN'lerin dağıtıldığı fiziksel ortam türü ile karakterize edilir ve UBDN'yi uygulama olasılığını değerlendirirken belirlenir. UPPDN kaynaklarının olanakları, bir gizliliğin mümkün olduğu (kopyalanma, yasa dışı dağıtım), bütünlük (engelleme, değişiklik) ve erişilebilirlik (engelleme) neticesinde yetkisiz ve (veya) rastgele erişim yöntemlerinin kombinasyonundan kaynaklanmaktadır. pd.
Kişisel verilerin güvenliği için tehdit, CBBDNA kanalının, PDN'nin güvenliğini ihlal etmek için koşulları yaratan, Tehditin kaynağı ile PDN'nin taşıyıcısı (kaynak) arasındaki CBBDNA kanalının oluşumu sonucu uygulanır.
CBPDN kanalı uygulamasının ana elemanları (Şekil 1) şunlardır:
Kaynak UCPDN - konu, malzeme nesnesi veya fiziksel fenomen UBRDN oluşturma;
PDN'nin dağıtım ortamı veya fiziksel alanın, bir sinyalin, verilerin veya programların, kişisel verilerin korumalı özelliklerinden dağıtılabileceği ve etkilenebileceği etkileri;
Kişisel Veri Taşıyıcı, PDN'nin semboller, görüntüler, sinyaller, teknik çözümler ve işlemler, fiziksel miktarların nicel özellikleri biçiminde yansıtıldığı fiziksel alan da dahil olmak üzere bireysel veya malzeme bir nesnesidir.
Şekil 1. Kişisel veri güvenliği kanalı için genelleştirilmiş kanal sistemi
PDN taşıyıcıları aşağıdaki türlerde sunulan bilgi içerebilir:
Akustik (ses), doğrudan kullanıcının söylenen bilgilerinin, kişisel veri bilgi sisteminde PDN ses girişi işlevi veya PDN akustik araçları tarafından gerçekleştirildiğinde (PD işlem teknolojisi için bu tür fonksiyonlar verilirse), Elektromanyetik alanlarda bulunan ve akustik bilgilerin dönüşümlerinden kaynaklanan elektriksel sinyaller;
Tür Bilgileri (VI), bilgi işlem ekipmanı, bilgi ve bilgi işlem komplekslerinin bilgilerini görüntülemek için çeşitli cihazların metin ve görüntüleri olarak temsil edilen, Grafik, video ve alfasayısal bilgilerin CAD kompozisyonuna dahil edilmesinin teknik araçları;
Elektrik, elektromanyetik, optik sinyaller biçiminde, dodge içine (dolaşan) işlenen bilgiler;
Kaltağa işlenen bilgiler, bit, bayt, dosyalar ve diğer mantıksal yapılar şeklinde sunulmuştur.
Sistematikleştirilmiş bir ICPDN listesi oluşturmak için, CPT'ye ve özel modellere dayanan gelişimi yaptıklarında, tehditler aşağıdaki işaretlere göre sınıflandırılır (Şekil 2):
PDN içeren UBRDN'den korunan bilgi türüne göre;
UBPDN'nin olası kaynaklarının türleri ile;
UBPDN'nin uygulanmasına yönelik olan ölen türüne göre;
UBRDN'yi uygulama yöntemiyle;
Bilgi mülkiyetinin ihlal edilmesine göre (PDN'lerle yapılan izinsiz eylemlerin türü);
Kullanılan güvenlik açığına göre;
Maruz kalma nesnesine göre.
UCPDN'nin olası kaynaklarının türüne göre, aşağıdakiler tahsis edilir
Tehdit dersleri:
Kişisel veri bilgi sisteminin kullanıcıları dahil, doğrudan yerli (iç davetsiz misafir) tehditlerini uygulayan, kişisel veri bilgi sisteminin kullanıcıları dahil olmak üzere, konutlara erişimi olan kişilerin kasıtlı veya kasıtsız eylemleriyle ilişkili tehditler;
Harici Halkla İlişkiler Ağları ve (veya) Uluslararası Bilgi Değişimi Ağları (Dış Muhasebe) ağlarındaki UGR-Gülleri uygulayan konutlara erişimi olmayan kişilerin kasıtlı veya kasıtsız eylemleri ile ilişkili tehditler.
Ek olarak, donanım yer imlerinin ve kötü amaçlı programların tanıtılması sonucu tehditler ortaya çıkabilir.
Türe göre, aşağıdaki tehdit sınıfları UBRDN'nin uygulanmasına tahsis edilir;
UBPDN, otonom otomatik bir çalışma alanı (AWP) temelinde veritabanına işlendi;
UBPDN, kamu ağına (uluslararası bilgi alışverişi ağına) bağlı olarak, AWP temelinde veritabanına işlendi;
UBPDN, ortak bir ağa bağlanmadan (uluslararası bilgi alışverişi ağına) yerel bilgi sistemlerine dayanarak veritabanına işlendi;
UBPDN, halka açık ağ ile bağlantılı yerel bilgi sistemleri temelinde veritabanına işlendi (uluslararası bilgi metabolizması ağına);
UBPDN, ortak bir ağa bağlanmadan dağıtılmış bilgi sistemleri temelinde veritabanına işlendi (uluslararası bilgi alışverişi ağına);
UBPDN, veritabanında, kamu ağı ile bağlantılı olarak dağıtılmış bilgi sistemleri temelinde işlenmiştir (uluslararası bilgi alışverişi ağına).
UBRDN'yi uygulama yöntemlerine göre, aşağıdaki tehdit sınıfları tahsis edilir:
NSDS ile ilişkili tehditler (kötü amaçlı programların uygulanmasına yönelik tehditler dahil);
Teknik Sızıntı Kanallarında Kişisel Verilerin Kaçak Tehditleri;
Nokta üzerinde özel etkilerin tehditleri.
PDNS ile yapılan izinsiz eylemler şeklinde, aşağıdaki tehdit sınıfları tahsis edilir:
Bilginin içeriğinden doğrudan etkilenmeyen PDNS (Co-Testere veya İzinsiz Dağıtım) mahremiyetinin ihlal edilmesine yol açan tehditler;
PD'lerin veya yıkımdaki değişimin yapıldığı, bilginin içeriği üzerinde rastgele, bilginin içeriği üzerindeki etkisi de dahil olmak üzere yetkisiz olan tehditler;
PDN blokajının yapıldığı, PDN'nin rastgele, yazılıma veya yazılım ve donanım unsurları dahil olmak üzere yetkisiz olan tehditler.
Kullanılan güvenlik açığına göre, aşağıdaki tehdit sınıfları tahsis edilir:
Sistem yazılımı güvenlik açıkları kullanılarak uygulanan tehditler;
Uygulamalı yazılımın kırılganlığı kullanılarak uygulanan tehditler;
AU Donanım Bookmark'ın varlığından kaynaklanan güvenlik açıklarından kaynaklanan tehditler;
Ağ Etkileşimi Protokolleri Güvenlik Açıkları ve Veri İletim Kanalları kullanılarak uygulanan tehditler;
NSD'den Kuruluşun Dezavantajlarından kaynaklanan kırılganlık kullanımından kaynaklanan tehditler;
Teknik kanal sızıntısı kanallarının kullanılabilirliğinden kaynaklanan güvenlik açıkları kullanılarak uygulanan tehditler;
SZI güvenlik açıkları kullanılarak uygulanan tehditler.
Aşağıdaki tehdit sınıfları, maruz kalma nesnesine tahsis edilir:
PDN'nin güvenliğinin koluna işlediği tehditler;
Vurgulanan işleme araçlarında işlenen PDN güvenlik tehditleri (yazıcılar, çiziciler, çizelgeler, oluşturulmuş monitörler, video projektörler, ses üreme araçları vb.);
PDN Güvenlik Tehditleri İletişim Ağları üzerinden iletildi;
PDN'nin işlendiği uygulamalara yönelik tehditler;
CDN'nin işleyişini sağlayan sistem yazılımı olan tehditler.
Listelenen sınıfların UBRD'lerinden birinin uygulanması veya eklemleri, PD varlıkları için aşağıdaki sonuç türlerine yol açabilir:
PD varlıkları için önemli olumsuz sonuçlar;
PD varlıkları için olumsuz sonuçlar;
PD varlıkları için küçük olumsuz sonuçlar.
Teknik kanallarda kişisel veri sızıntısının tehditleri, bilgi kaynağının özellikleri, res-yanıp sönen ortam ve bilgilendirici bir sinyalin alıcısı ile tanımlanmıştır, yani PDN'lerin teknik kanal sızıntısının özellikleri belirlenir. .
Yetkisiz Erişim (NSD'ler) ile ilişkili tehditler, bir dizi genelleştirilmiş NSD tehditleri, yazılım ve donanım CDN'nin güvenlik açıkları, tehditlerin uygulanması için yöntemler, etki nesneleri (korumalı bilgi, dizin, dizinlerin taşıyıcıları) şeklinde bir dizi genelleştirilmiş sınıflar şeklinde sunulur. , PDN'leri veya kendileri PDN'li dosyalar) ve olası yıkıcı eylemler. Böyle bir bakış açısı aşağıdaki resmi kayıtlarla açıklanmaktadır (Şekil 2).
1.3 Kişisel veri bilgi sistemlerinde tehdit kaynaklarının iletişimsel özellikleri
NSD'deki NSD'nin yazılım ve yazılım ve donanım kullanımı ile birlikte tehditleri, PDN'lerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yapıldığı ve şunları içeren, rastgele, erişim de dahil olmak üzere yetkisiz uygulanmasında uygulanır ve aşağıdakileri içerir:
Standart yazılımı kullanarak bilgisayarın çalışma ortamına izinsiz erişimin tehdidi (işletim sistemi araçları veya uygulamalı uygulama programları);
Anormal yazılım modları oluşturma tehditleri (Yazılım ve Donanım) Fonlar Servis verilerindeki kasıtlı değişiklikler nedeniyle, personel koşullarında verilen sınırlamaları, verilerin kendilerinin bozulması (modifikasyonları), vb.;
Şekil 2 Kişisel Veri Bilgi Sistemlerinde İşlenen Ubrds'in Sınıflandırılması
Kötü niyetli programlar uygulama tehditleri (yazılım ve matematiksel etki).
NSD tehditlerinin tanımının tanımının bileşimi, ölmekte olan bilgilere, Şekil 3'te gösterilmektedir.
Ayrıca, bu tehditlerin birleşimi olan kombine tehditler mümkündür. Örneğin, kötü amaçlı programların uygulanmasından dolayı, NSD için, geleneksel olmayan erişim bilgi kanalları da dahil olmak üzere, bilgisayarın çalışma ortamına koşullar oluşturulabilir.
Standart yazılım kullanımı ile işletme ortamına yetkisiz erişim tehditleri, doğrudan ve uzaktan erişim için tehditlere ayrılmıştır. Doğrudan erişim tehditleri, bilgisayar giriş / çıktısının yazılım ve yazılımı ve donanımı kullanılarak gerçekleştirilir. Ağ etkileşimi protokolleri kullanılarak uzaktan erişim tehditleri uygulanır.
Bu tür tehditler, kamu iletişim ağına dahil edilmeyen ve uluslararası bilgi alışverişinin halkla ilişkilerine ve ağlarına bağlanmak için tüm sabırsızlarla ilgili olarak, otomatik işyerinin temelinde veritabanına göre uygulanmaktadır.
Şekil 3 Kişisel veri bilgi sistemlerinde işlenen Ubrd'lerin sınıflandırılması
1.3.1 Kişisel verilerin bilgi sisteminde yetkisiz erişim tehdidi kaynaklarının genel özellikleri.
Kişisel verilerin bilgi sisteminde tehdit kaynakları şunlar olabilir:
İhlalci;
Kötü amaçlı yazılım taşıyıcısı;
Donanım sekmesi.
Donanım yer imlerinin uygulanmasıyla ilişkili PDN güvenlik tehditleri, Rusya Federasyonu'nun federal güvenlik hizmetinin yasal belgelerine uygun olarak belirlenir.
Kalıcı veya bir kerelik erişim haklarının kontrollü bölgeye varlığına göre, davetsiz misafirler iki türe ayrılır:
Dış halka açık iletişim ağları ve (veya) uluslararası bilgi alışverişi ağlarındaki tehditleri uygulayan konutlara erişimi olmayan ihlalatörler dış davetsiz misafirlerdir;
DOTGE'ye, DOT kullanıcıları dahil, doğrudan iç davetsiz misafirlere tehdit uygulayan ihlalatörler.
Dış ihlaller şunlar olabilir:
Rekabet eden organizasyonlar;
Haksız ortaklar;
Dış konular (bireyler).
Harici davetsiz misafir aşağıdaki özelliklere sahiptir:
HİZMET BİLDİRİMİNİN DOĞRU DEĞİLDİR, iletişim kanallarına yetkisiz erişin;
Kamu İletişim Ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlı otomatik işler aracılığıyla yetkisiz erişimi yapın;
Yazılım virüsleri, kötü amaçlı yazılımlar, algoritmik veya yazılım yer imleri aracılığıyla özel yazılım etkileri kullanarak bilgiye yetkisiz erişin;
Yaşam döngüsü (modernleşme, bakım, onarım, geri dönüşüm) sürecinde, kişisel verilerin bilgi altyapısının bilgi altyapısının unsurları ile yetkisiz erişme;
Etkileşimli erişimin etkileşimi, etkileşimli bölümlerin, kuruluşların ve kurumların CD'ye bağlandıklarında bilgi sistemleri ile etkiler.
Yurt içi potansiyel ihlalatörler, erişim yöntemine ve PDNS'ye erişim iznine bağlı olarak sekiz kategoriye ayrılır.
İlk kategori, atlatmak için yetkili erişim olan kişileri içerir, ancak PDNS'ye erişime sahip değildir. Bu tür ihlal edenler, normal olmayan işleyişi sağlayan yetkilileri içerir.
PDN'ler içeren bilgi parçalarına erişin ve CDM'nin iç iletişim kanallarıyla uzanır;
CDN'nin Topolojisi ve Kullanılan Haberleşme Protokolleri ve Kullanılan Haberleşme Protokolleri hakkında bilgi parçaları;
İsimleri yerleştirin ve kayıtlı kullanıcıların şifrelerini tanımlamak;
Yazılım ve donanım yer imleri yapmak için teknik araçlar CDN'sinin yapılandırmasını değiştirin ve doğrudan CD'nin doğrudan bağlantısını kullanarak bilgi sağlar.
İlk kategorideki kişilerin tüm olanaklarına sahiptir;
En az bir yasal erişim adını bilir;
Belirli bir PDN alt kümesine erişim sağlayan gerekli tüm özelliklere sahiptir;
Erişimin hangi gizli verilere sahiptir.
Bir PDN'lerin belirli bir alt kümesine erişimi, kimlik doğrulaması ve erişim hakları, erişimin silinmesine olan ilgili erişime tabi tutulmalıdır.
Birinci ve ikinci kategorilerin tüm olanaklarına sahip;
Veritabanının topolojisi, erişimin yapıldığı yerel ve (veya) dağıtılmış bir bilgi sistemi temelinde ve CDN'nin teknik araçlarının bileşimi hakkında bilgi sahibidir;
Teknik, CDN'nin parçalarına doğrudan (fiziksel) erişim yeteneğine sahiptir.
CDM'nin segmentinde (fragmanında) kullanılan sistem ve uygulama yazılımı hakkında tam bilgi sahibidir;
CDN'nin segmentinin (fragmanının) teknik araçları ve konfigürasyonu hakkında tam bilgi sahibidir;
Bilgi güvenliğine ve günlüğüne ve ayrı elemanlarsegmentte (fragman) CDN'de kullanılır;
CETET'lerin tüm teknik segmentlerine (fragman) erişimi vardır;
CDN'nin segmentinin (fragman) teknik araçlarının belirli bir alt kümesinin yapılandırma ve idari yapılandırması hakkına sahiptir.
Sistem Yöneticisi CDN'sinin yetkileri.
Önceki kategorilerin tüm olanaklarına sahip;
Sistem ve uygulamalı kaynak yazılımı hakkında tam bilgi sahibidir;
Teknik araçlar ve yapılandırmalar hakkında tam bilgi sahibidir.
Bilgi ve Veri İmtiyazlarının tüm teknik araçlarına erişimi vardır;
Konfigürasyon ve teknik araçların idari ayarlarının haklarına sahiptir.
Sistem yöneticisi, korumalı nesnenin güvenliğinden sorumlu ekipmanlar dahil olmak üzere yazılım ve ekipmanların yapılandırmasını ve yönetimini gerçekleştirir: Bilginin, izleme, kayıt, arşivleme, Koruma'nın NSD'ye karşı korumanın şifreleme aracı.
Önceki kategorilerin tüm olanaklarına sahip;
Dodge hakkında tam bilgi var;
Bilgiyi koruma ve günlüğe kaydetme ve CDN'nin kilit unsurlarının bir kısmına erişimine sahiptir;
Kontrol (denetim) hariç, ağ teknik araçlarının yapılandırmasına erişimi yoktur.
Dodge için algoritmalar ve bilgi işlem programları hakkında bilgi sahibi olur;
Hata yapma, ilan edilmemiş yetenekleri, yazılım yer imleri, kötü amaçlı yazılımın geliştirilmesi, tanıtımı ve bakımı aşamasında CDN yazılımını yapma olanaklarına sahiptir;
DNT'nin topolojisi ve CAD'ye işlenen PD'lerin işlenmesinin ve korunmasının teknik araçları hakkında herhangi bir bilgi parçasına sahip olabilir.
Konum impalarını, geliştirme, uygulama ve bakımının aşamasında doktora imkanı ile ilgili olanakları vardır;
Onurun topolojisi ile ilgili herhangi bir bilgi parçasına ve konuttaki bilgileri işleme ve koruma araçları hakkında bilgi sahibi olabilir.
Kötü amaçlı bir programın taşıyıcısı, bilgisayar donanım öğesi veya bir yazılım kabı olabilir. Kötü amaçlı program herhangi bir uygulama programıyla ilişkili değilse, taşıyıcısı dikkate alındığında:
Yabancılaştırılabilir ortam, yani, bir disket, optik disk, flash bellek;
Dahili medya (sabit sürücüler, ram mikro ikincilleri, işlemci, mikrokirkifler sistem kartı, sistem birimine gömülü cihazların mikrokakları, - video adaptörü, ağ kartı, ses kartı, modem, manyetik katı ve optik disklerin, güç kaynağı, vb. Giriş / çıkış aygıtları, doğrudan erişim mikrokakları, veri iletim lastikleri, giriş portları / çıktı);
Harici cihazların devreleri (monitör, klavye, yazıcı, modem, tarayıcı vb.).
Kötü niyetli bir program herhangi bir uygulama programıyla ilişkilendirilirse, dosyalar belirli uzantılar veya diğer özellikler, ağ üzerinden iletilen mesajlarla, ardından taşıyıcıları şunlardır:
Bilgisayar ağ mesajları tarafından iletilen paketler;
Dosyalar (metin, grafik, çalıştırılabilir vb.).
1.3.2 Kişisel veri bilgi sisteminin çalışma ortamına doğrudan erişimin genel özelliği
Bilgisayarın çalışma ortamına yetkisiz erişimin tehditleri ve PDN'ye yetkisiz erişime erişim ile ilgilidir:
Çekirdek / çıkış / çıkış sisteminde depolanan bilgi ve komutlara, işletim sisteminin yönetimini engelleme ve güvenilir kullanıcının haklarını almak için;
İşletim ortamında, yani ayrı bir teknik aracın yerel işletim sisteminin işleyişinde, işletim sisteminin personelini veya bu tür eylemleri uygulayan özel geliştirilen programların başlatılmasıyla yetkisiz erişimin yapılması olasılığıdır. ;
Uygulama programlarının işleyişinde (örneğin, yerel veritabanı yönetim sistemine);
Doğrudan kullanıcı bilgilerine (dosyalara, metinsel, ses ve grafik Bilgisi, elektronik veritabanlardaki alanlar ve girişler) ve gizliliğini, bütünlüğünü ve erişilebilirliğini ihlal etme olasılığından kaynaklanmaktadır.
Bu tehditler, konuta fiziksel erişimin veya en azından CD'deki bilgileri girmenin araçlarına uygulanması durumunda uygulanabilir. Uygulama şartları altında üç gruba birleştirilebilirler.
İlk grup, işletim sistemi önyükleme sırasında uygulanan tehditler içerir. Bu bilgi güvenliği tehditleri, NSD'yi operasyonel Çarşamba günlüğünü almak için gerekli teknolojik bilgilerdeki bir değişiklikle, yazılım girişi / çıkış yazılımı sistemini değiştirerek şifreleri veya tanımlayıcıları durdurmayı amaçlamaktadır. En sık, bu tür tehditler yabancılaşmış medya kullanılarak uygulanır.
İkinci grup - hangi uygulama programının başlatıldığına bakılmaksızın çalışma ortamını yükledikten sonra uygulanan tehditler. Bu tehditler genellikle bilgiye doğrudan yetkisiz erişimi yapmayı amaçlar. Çalışma ortamına erişimin alınması üzerine, ihlal eden, hem standart işletim sistemi işlevlerini veya herhangi bir kamu uygulama programını (örneğin, veritabanı yönetim sistemleri) kullanabilir ve programlarla yetkisiz bir erişim yapmak için özel olarak oluşturulabilir, örneğin:
Kayıt defterinin programı görüntüleme ve değiştirilmesi;
Anahtar kelimeler ve kopyalama ile metin dosyalarında metin arama programları;
Özel Görüntüleme Programları ve Veritabanlarındaki Girişleri Kopyala;
Grafik dosyaların hızlı görüntüleme, düzenleme veya kopyalama;
Yazılım ortamının yeniden yapılandırılması için program destek programları (Ayarlar davetsiz misafirlerin çıkarlarında tutulur).
Son olarak, üçüncü grup, uygulama programlarından hangisinin kullanıcı tarafından başlatıldığı ve uygulama programlarından herhangi birinin başlatılmasının gerçeği olarak belirlenen tehditler içermektedir. Bu tehditlerin çoğu, kötü amaçlı programların tanıtımına yönelik tehditlerdir.
1.3.3 Bağlantı protokolleri kullanılarak uygulanan kişisel verilerin güvenliğine yönelik tehditlerin genel özellikleri
Veritabanı, yerel veya dağıtılmış bir bilgi sisteminin temelinde uygulanırsa, güvenlik tehditlerinde ara bağlantı protokollerinin kullanımına uygulanabilir. NSD'nin PDN'lere veya bakımı reddetme tehdidine kadar sağlanabilir. Öldüğünde tehditler özellikle tehlikelidir, genel kullanım ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlı dağıtılmış bir bilgi sistemidir. Ağ üzerinden uygulanan tehditlerin sınıflandırma şeması Şekil 4'te gösterilmiştir. Aşağıdaki birincil sınıflandırma belirtilerinin yediğine dayanmaktadır.
Şekil 4 Track InterAction Protokollerini Kullanarak Tehditlerin Sınıflandırma Şeması
1. Tehditin doğası. Bu temelde, tehdit pasif ve aktif olabilir. Pasif tehdit, CDN'nin çalışması üzerinde doğrudan bir etkisi olmadığı, ancak PDNS veya ağ kaynaklarına erişimin ayrılması kuralları ihlal edilebileceği bir tehdittir. Bu tür tehditlerin bir örneği, iletişim kanallarını dinlemeyi ve iletilen bilgileri engellemeyi amaçlayan "ağ trafiği analizi" nin tehdididir. Aktif tehdit, CDN'nin kaynakları üzerindeki etkileri ile ilgili bir tehdittir; bunun, uygulamanın, sistemin çalışması üzerinde doğrudan bir etkiye geçtiği (yapılandırmada değişiklik, performansın vb. Değersizliği) ve PDNS veya ağ kaynaklarına erişimi ayırt etmek için belirlenmiş kuralların ihlal edilmesiyle. Bu tür tehditlerin bir örneği, "TCP sorgu fırtınası" olarak uygulanan "Bakım Reddetme" tehdididir.
2. Tehditin gerçekleştirilmesinin amacı. Bu temelde, tehdit, Gizliliği, Bütünlüğü ve Bilginin kullanılabilirliğini ihlal etmeye yönelik olabilir (CAD veya unsurlarının performansının ihlali dahil).
3. Durum, tehdidi gerçekleştirme sürecini uygulamaya başlamıştır. Bu temelde, tehdit uygulanabilir:
Tehditin uygulandığı bir nesnenin istek üzerine. Bu durumda, ihlal eden, yetkisiz erişimin başlangıcının durumu olacak, belirli bir tür bir talebin bulaşmasını bekler;
Tesisteki beklenen etkinliğin ortaya çıkması, tehdidin uygulandığı görecelidir. Bu durumda, ihlal eden, işletim sistemi Cadov'un durumunun kalıcı izlemesini gerçekleştirir ve bu sistemde belirli bir olay meydana geldiğinde, yetkisiz erişim başlangıcıdır;
Koşulsuz etki. Bu durumda, yetkisiz erişimin uygulanmasının başlangıcı, erişim hedefine göre koşulsuzdur, yani tehdit derhal uygulanır ve sistem durumuna önemsizdir.
4. CPF'den geri bildirimlerin varlığı. Bu temelde, tehdidi uygulama süreci geri bildirim ve geri bildirim olmadan olabilir. Kişisel verilerin bilgi sistemine geri bildirimin varlığında gerçekleştirilen tehdit, yoğunluğa iletilen bazı taleplerin bir cevap almak için talimatın gerekli olduğu ile karakterizedir. Sonuç olarak, ihlal eden kişinin ihlal eden ve bilgi sistemi arasında, talimörün CDM'de meydana gelen tüm değişikliklere yeterince yanıt vermesini sağlayan bir geribildirim vardır. Kişisel verilerin bilgi sisteminden gelen geri bildirimlerin varlığında uygulanan tehditlerin aksine, geri bildirim olmadan tehditler uygularken, CDN'de meydana gelen herhangi bir değişiklike cevap vermek gerekli değildir.
5. Davetsiz misafirlerin konumu nispeten boyanmıştır. Bu işarete göre, tehdit hem mücevher hem de integnetite uygulanır.
Ağ segmenti, ana bilgisayarların fiziksel bir ilişkisidir (ağ adresine sahip olan Dodge veya İletişim Öğeleri). Örneğin, kişisel verilerin bilgi sisteminin segmenti, "Toplam Otobüs" şemasına göre sunucuya bağlı bir dizi ana bilgisayar oluşturur. Verimli bir tehdidin gerçekleştiği durumlarda, talimatın CAD'nin donanım unsurlarına fiziksel erişimine sahiptir. Bir kesişme tehdidi gerçekleşirse, davetsiz misafir onurun dışında bulunur, başka bir ağdan veya kişisel verilerin bilgi sisteminin bir başka bölümünden bir tehdit uygulayın.
6. Seviye referans model Tehditin uygulandığı açık sistemlerin (ISO / OSI) etkileşimleri. Bu temelde, tehdit, ISO / OSI modelinin fiziksel, kanal, ağ, nakliye, oturum, temsili ve uygulama düzeyinde uygulanabilir.
7. Tehditin uygulandığı, ihlal edenlerin sayısının ve onurun unsurlarının oranı. Bu işarete göre, tehdit, bir ihlal eden tarafından CDN'nin bir teknik aracı ile ilgili olarak uygulanan tehditler sınıfına ("bire bire" tehdidi), derhal CAD'nin birkaç teknik yoluna göre (tehdit "bir ila çok") veya birkaç ihlal eden farklı bilgisayarlar Bir veya daha fazla teknik yolla ilgili olarak, keenns (dağıtılmış veya kombine tehditler).
Yapılan sınıflandırmayı dikkate alarak, Kişisel Veri Bilgi Sistemine ait ana saldırı türlerini seçin:
1. Ağ trafiğinin analizi.
Bu tehdit, özel bir paket analiz yazılımı kullanılarak uygulanır, ağ segmentinden iletilen tüm paketleri yakalayın ve bunlar arasında kullanıcı kimliğinin ve şifreninin iletildiği kişiler arasında tahsis edilir. Tehditin uygulanması sırasında, ihlal eden, ağ operasyonunun mantığını çalıştırır - yani, sistemde meydana gelen olayların belirsiz bir şekilde bir uyumunu elde etmeyi amaçlamaktadır ve olay verileri sırasında tüm bu ana bilgisayarlarla birlikte verilen komutlar ortaya çıkıyor. Gelecekte, bu, bir saldırganın, sistemdeki eylemlerin eylemlerine, ayrıcalıklı hakların görevini temel alarak veya içindeki güçlerini genişletecek, ağ işletim sisteminin bileşenlerini ekstrakte etmek için iletilen iletilen verilerin akışını engellemeye izin verir. Gizli veya kimlik bilgileri, ikamesi ve modifikasyonları.
2. Günlük Ağı.
Tehditi uygulama sürecinin özü, ana bilgisayar anahtarlarının ağ hizmetlerine olan istekleri aktarmak ve cevapları onlardan analiz etmektir. Amaç - Kullanılan protokollerin tanımlanması mevcut bağlantı noktaları ağ hizmetleri, Bağlantıların tanımlayıcılarının oluşumu, aktif ağ hizmetlerini tanımlama, kullanıcı tanımlayıcıları ve şifreleri seçimi.
3. Parola algılama.
Tehditin uygulanmasının amacı, şifre korumasının üstesinden gelerek bir NSD elde etmektir. Bir saldırgan, basit bir büstü, özel sözlükleri kullanarak basit bir büst, kaba bir güç gibi bir dizi yöntemle bir tehdit uygulayabilir, bir şifreyi yakalamak için kötü amaçlı bir program kurmak, güvenilir bir ağ nesnesinin ikame ve engelleme paketleri. Esas olarak tehditlerin uygulanması için, ana bilgisayara tutarlı bir şifre seçimiyle erişmeye çalışan özel programlar tarafından kullanılır. Başarı durumunda, saldırgan, ana bilgisayardaki erişim şifresini değiştirmeniz gerekse bile, hareket edecek gelecekteki erişim için bir giriş noktası oluşturabilir.
4. Güvenilir bir ağ nesnesinin boş ve erişim haklarının atanması ile adına mesajların iletişim kanallarıyla iletilir.
Böyle bir tehdit, dengesiz kimlik algoritmalarının ve ana bilgisayar ve kullanıcı kimlik doğrulama algoritmalarının uygulandığı sistemlerde etkili bir şekilde uygulanmaktadır. Güvenilir nesnenin altında, sunucuya yasal olarak bağlı olan ağ nesnesi (bilgisayar, güvenlik duvarı, yönlendirici vb.) Olarak anlaşılmaktadır. Belirtilen tehdidi uygulama sürecinin iki çeşit izole edilebilir: kuruluşla ve sanal bir bağlantının kurulması olmadan. Sanal bir bileşiğin kurulmasıyla yapılan uygulama süreci, ihlalatçının güvenilir işletme adına ağın nesnesiyle bir oturum yapmasına izin veren güvenilir bir etkileşim haklarını atamaktır. Bu tür tehdidin uygulanması, kimlik sisteminin üstesinden gelmeyi ve mesaj kimlik doğrulamasını gerektirir. Sanal bağlantı kurmadan tehdidini uygulama süreci, iletilen mesajları yalnızca gönderenin ağ adresi aracılığıyla tanımlayan ağlarda oluşabilir. İşletme, rota verilerini değiştirmede şebeke kontrol aygıtları (örneğin, yönlendiriciler adına) adına hizmet mesajlarının transferidir.
Bir tehdit tehdidinin bir sonucu olarak, ihlal eden, kullanıcı tarafından güvenilir bir abone için nüfus sayımının teknik araçlarına ait erişim haklarını alır.
5. Ağın yanlış rotasını takma.
Bu tehdit iki şekilde uygulanır: Verimli ve intra intra veya intersegment dayatmasıyla. Yanlış bir yol getirme yeteneği, yönlendirme algoritmalarında (özellikle, özellikle ağ kontrol cihazlarını tanımlama sorunu nedeniyle), örneğin, ana bilgisayara veya içeride bulunmanın mümkün olduğu bir dezavantajlardan kaynaklanmaktadır. Bir saldırganın ağı, teknik araçların çalışma ortamını CDN çalışma ortamında girebileceğiniz. Tehditin uygulanması, Derecelendirme tablolarında değişiklik yapmak için ağ yönlendirme ve ağ yönetimi protokollerinin yetkisiz kullanımına dayanmaktadır. Bu durumda, ihlal eden, ağ kontrol cihazı adına (örneğin, bir yönlendirici) kontrol mesajı adına gönderilmelidir.
6. Sahte ağ nesnesinin görüntüsü.
Bu tehdit, uzaktan arama algoritmalarının eksikliklerinin kullanımına dayanmaktadır. Ağ nesnelerinin başlangıçta birbirleriyle ilgili adres bilgisine sahip olmadığı takdirde, özel istek ağına iletilir ve bunlara bilgi arayışı ile cevaplar almak için çeşitli uzak arama protokolleri kullanılır. Bu durumda, arama sorgusunun ihlal ettiği ve kullanımı, rota adres verilerinde istenen değişikliğe yol açacak olan yanlış bir cevap vermek mümkündür. Gelecekte, nesne fedakarlığı ile ilişkili tüm bilgi akışı, ağın yanlış nesnesinden geçecektir.
7. Hizmetdeki Güçler.
Bu tehditler, ağ yazılımının eksikliklerine dayanmaktadır, işletim sistemi gelen paketleri işleme koyamadığında, ihlalatçının koşullar yaratmasına izin veren güvenlik açıkları. Bu tür tehditlerin çeşitli çeşitleri izole edilebilir:
Gizli Bakımın, Saldırganın, iletişim kanallarının bant genişliğinde, ağ cihazlarının bant genişliğinde bir azalma ile birlikte gelen paketleri işlemek için, kaynak kanallarının, ağ cihazlarının bant genişliğinde, istekleri talep eden paketleri ele almak için bakımın sağlanmasından kaynaklanan bakımın reddedilmesi. Bu tür tehditlerin uygulanmasının örnekleri: ICMP protokolü tarafından ECHO talepleri tarafından yönlendirilmiş, TCP bağlantılarının kurulması için isteklerin fırtınası, FTP sunucusuna bir fırtına sorgusu;
Kaynakların tükenmesinden kaynaklanan, saldırganın (tüm bant genişliği bant genişliğini işgal edilmesi, servis sorgu sıraları), iletimin kullanılamaması nedeniyle yasal taleplerin ağ üzerinden iletilemeyen paketleri işlerken, kaynakların bitinmesinin neden olduğu açık bir reddetme Orta veya taşma sorgu sıraları, bellek disk alanı vb. nedeniyle bakımda bir başarısızlık alın. Bu tür tehdit örnekleri, bir fırtına, fırtına mesajları tarafından posta sunucusuna yönlendirilen bir fırtına, fırtına mesajları tarafından yönlendirilen bir yayınlama fırtınası olarak görev yapabilir;
Rota adresi verilerinde veya kimlik doğrulama bilgilerindeki bir değişikliğe yol açan ağ cihazları adına bir kontrol mesajı ihlal ederken, CPF'nin teknik araçları arasında mantıksal bir bağlantı ihlalini korumayı açıkça reddetmek;
Saldırgan tarafından saldırganın, standart olmayan özelliklere sahip olmayan veya izin verilen maksimum boyutu aşan bir uzunluğa sahip olan, sorgu işleme işleminde bulunan programlarda hata oluştuğunu sağlayabilen, ağı uygulayan programlarda hataların olmasına yol açabilen bir uzunluğa sahip olan bir uzunluğa sahip olan bakımın açık bir reddetmesi. değişim protokolleri. Bu tehdidin uygulanmasının bir sonucu, PDN'ye uzaktan erişim sağlanması için ilgili hizmetin performansını ihlal edebilir ve bir adresten böyle bir dizi isteğe kadar olan CADN kompozisyonundaki teknik araçlar için bir miktar talebe iletebilir. Trafik, sorgu kuyruğunun taşmasını ve birinin ağ hizmetlerinden geçmesini ve sistemin sorunsuzluğundan dolayı, sorgu işleme hariç, sistemin başka birine girmesinin imkansızlığından dolayı tüm bilgisayar durmasını gerektiren işlem görebilir.
8.Addown Başlat Uygulamaları.
Tehdit, ana bilgisayarda önceden uygulanmış bir kötü amaçlı yazılım başlatma arzusunda yatıyor: yer imi programları, virüsler, "ağ casusları", asıl amacı bir gizlilik, dürüstlük, bilgi kullanılabilirliği ve iş üzerinde tam kontrol ev sahibi. Ek olarak, uygulama programı ve diğerleri tarafından yönetilen süreçleri çalıştırmak için izinsiz bir kullanıcı uygulama programlarının izinsiz bir şekilde başlatılması mümkündür. Uygulama programı ve diğerleri tarafından yönetilen süreçleri çalıştırmak için. Üç tehdit veri alt sınıfı ile ayırt edilir:
Yetkisiz yürütülebilir kod içeren dosyaların dağılımı;
Uzaktan Uygulama Uygulama Tamponlarının Taşınmasıyla Başlatma;
Uzaktan uygulama Gizli yazılım ve donanım yer imleri tarafından sağlanan uzaktan kumanda sisteminin özelliklerini kullanarak veya standart tarafından kullanılır.
Belirtilen alt sınıfların birincisinin tipik tehditleri, bunlara yanlışlıkla erişim durumunda dağıtılan dosyaların etkinleştirilmesine dayanır. Bu tür dosyaların örnekleri hizmet edebilir: bir makrocomand formunda yürütülebilir kod içeren dosyalar (belgeler Microsoft Word., Excel), ActiveX Elements, Java Applets, yorumlanan komut dosyaları (örneğin, JavaScript'te kötü amaçlı yazılım) olarak yürütülebilir kod içeren HTML belgeleri; Yürütülebilir program kodları içeren dosyalar.
Dosyaları dağıtmak için e-posta hizmetleri, dosya aktarımı, ağ dosyası sistemi kullanılabilir.
İkinci alt sınıfın tehditlerinde, ağ hizmetlerini uygulayan programların dezavantajları (özellikle, kontrol taşması kontrolü yok) kullanılır. Sistem kayıtlarının belirlenmesi, işlemciyi tampon taşması nedeniyle, tamponun yurtdışında yer alan kod yürütülmesinden kaynaklandıktan sonra işlemciyi değiştirmek mümkündür.
Üçüncü alt sınıfın tehditlerinde, suçlu, gizli bileşenler veya düzenli kontroller ve bilgisayar ağlarının yönetimi tarafından sağlanan sistemi uzaktan yönetme yeteneğini kullanır. Kullanımlarının bir sonucu olarak, ağdaki istasyonun üzerinde uzaktan kumandayı elde etmek mümkündür. Şematik olarak, bu programların çalışmasının ana aşamaları aşağıdaki gibi görünüyor: Bellekte kurulum; İstemci programının çalıştığı uzak bir ana bilgisayar sorgusu bekliyorum ve onunla hazırlık mesajlarının değişimi; Kalan bilgiyi müşteriye aktarma veya saldırgan bilgisayar üzerinde kontrol sağlama. Çeşitli sınıfların tehditlerinin satışının olası sonuçları Tablo 1'de gösterilmektedir.
Tablo 1. Çeşitli sınıfların tehditlerinin uygulanmasının olası sonuçları
|
№
p / P. |
Saldırı türü | Olası sonuçlar | |
| 1 | Ağ trafiği analizi | Ağ trafiği özellikleri, tanımlayıcı ve şifre kullanıcıları dahil, iletilen verilerin durdurulması çalışması | |
| 2 | Tarama ağı | Şebeke Servisleri Bağlantı Noktaları için mevcut protokollerin tanımı, Bağlantıların tanımlayıcıları, aktif ağ hizmetleri, tanımlayıcılar ve kullanıcı şifreleri oluşturma yasaları | |
| 3 | "Şifre" saldırısı | Yetkisiz erişimin elde edilmesiyle ilgili herhangi bir yıkıcı eylemi gerçekleştirmek | |
| 4 | Güvenilir bir ağ nesnesinin değiştirilmesi | Mesajların geçişini değiştirme, rota verilerinde yetkisiz değişiklik. Yanlış bilgi dayatmak, ağ kaynaklarına yetkisiz erişim | |
| 5 | Sahte bir rota dayatmak | Rota verilerinde yetkisiz değişiklik, iletilen verilerin analizi ve değiştirilmesi, yanlış mesajlar getirme | |
| 6 | Yanlış ağ nesnesinin uygulanması | Müdahale ve trafiği görüntüleme. Yanlış bilgi dayatmak, ağ kaynaklarına yetkisiz erişim | |
| 7 | Hizmet verme | Kaynakların kısmi tükenmesi | İletişim kanallarının bant genişliğini azaltmak, ağ cihazları. Azaltılmış sunucu uygulamaları. |
| Kaynakların tam tükenmesi | İletim ortamına erişim eksikliği nedeniyle mesaj iletememe, bağlantı kurmayı reddetme. Hizmet vermeyi reddetme. | ||
| Öznitelikler, veri, nesneler arasındaki mantıksal bağlantının ihlali | Doğru rota adres verilerinin eksikliği nedeniyle mesaj aktarılamaması. Tanımlamacıların, şifrelerin, vb. İzinsiz modifikasyon nedeniyle hizmet edinmenin imkansızlığı | ||
| Programlarda hataların kullanımı | Ağ cihazlarının ihlali. | ||
| 8 | Uygulamaların silme | Yıkıcı çalıştırılabilir kod içeren dosyaları göndererek, virüs enfeksiyonu. | Gizlilik ihlali, dürüstlük, bilgi kullanılabilirliği. |
| Sunucu uygulamasının tamponunu taşarak | |||
| Gizli yazılım ve donanım yer imleri tarafından sağlanan sistemin uzaktan kumandasının olanaklarını kullanarak veya personel tarafından kullanılarak | Gizli yönetim sistemi. | ||
Genel durumdaki tehdidi uygulama süreci dört aşamadan oluşur:
Bilgi koleksiyonu;
İstila (çalışma ortamına nüfuz etme);
Yetkisiz erişimin uygulanması;
Yetkisiz erişim izlerini ortadan kaldırmak.
Bilgi toplama aşamasında, ihlal edenler aşağıdakiler de dahil olmak üzere yoğunluk hakkında çeşitli bilgilerle ilgilenebilir:
Ağın çalıştığı ağın topolojisinde. Bu, ağın etrafındaki alanı keşfedebilir (örneğin, davetsiz misafir, güvenilir, ancak daha az korunan ana bilgisayarların adresleriyle ilgilenebilir). Kısa bir süre içinde ana bilgisayarların erişilebilirliği için büyük adres alanını tarayabilen ana bilgisayarların paralel erişimi tanımını gerçekleştiren yardımcı programlar vardır.;
CPF'de işletim sistemi türünde (OS). Tip işletim sistemini belirleme yöntemini not edebilirsiniz. en basit istek Sonuç olarak, ana bilgisayar türünün türü, cevabın "görünüşü" ile belirlenebildiği bir sonuç olarak, uzaktan erişim protokolü aracılığıyla bağlantı kurmak. Belirli hizmetlerin varlığı, ana bilgisayar işletim sisteminin türünü belirlemek için ek bir özellik olarak da hizmet verebilir;
Hosts üzerinde çalışan hizmetler. Ev sahibi üzerinde yapılan hizmetlerin tanımı, ana bilgisayarın erişilebilirliği hakkında bilgi toplamayı amaçlayan "açık portları" tespit etme yöntemine dayanmaktadır.
İstila aşamasında, sistemin uygulanmasındaki sistem hizmetlerinde veya hatalardaki tipik güvenlik açıklarının varlığı incelenmiştir. Güvenlik açıklarının kullanımının başarılı bir sonucu, genellikle ayrıcalıklı bir yürütme modu (ayrıcalıklı işlemci moduna erişim), yasadışı kullanıcının bir hesabının hesabını girerek, şifre dosyası veya saldırgan ev sahibinin çalışma kapasitesinin hesabını girerek elde edilir. .
Tehditin gelişiminin bu aşaması genellikle çok fazlıdır. Tehditin uygulama sürecinin aşamaları, örneğin: Tehditin gerçekleştiği ana bilgisayarla iletişim kurulması; güvenlik açığının tanımlanması; Kötü niyetli bir programın, genişleyen hakların ve başkalarının çıkarlarına dahil edilmesi.
Son aşamada uygulanan tehditler TCP / IP protokolü yığın seviyesine ayrılır, çünkü kullanılmış istila mekanizmasına bağlı olarak bir ağda, taşıma veya uygulamalı düzeyde oluşur. Ağ ve taşıma seviyelerinde uygulanan tip tehditler aşağıdakileri içerir:
Güvenilir bir nesnenin değiştirilmesine yönelik tehdit;
Ağda sahte bir yol oluşturmayı amaçlayan tehdit;
Uzaktan arama algoritmalarının eksikliklerini kullanarak sahte bir nesne oluşturmayı amaçlayan tehditler;
"Bakımın Reddedilmesi" nin tehditleri.
Uygulama düzeyinde uygulanan tipik tehditler, uygulamaların yetkisiz piyasaya sürülmesine yönelik tehditler, uygulama, uygulama, uygulama yer imlerinin uygulanmasıyla, ağa veya belirli bir ana bilgisayara erişim şifrelerinin algılanması ile ilişkili olan tehditler, Tehditin gerçekleştirilmesi, sistemdeki en yüksek erişim haklarının ihlalatçısını getirmediyse, bu hakları mümkün olan en yüksek seviyeye genişletmeye çalışır. Bunun için sadece ağ servislerinin değil, aynı zamanda sistem yazılımı ana bilgisayarlarının güvenlik açığının da kullanılamaz.
Yetkisiz erişimin uygulanmasında, bir tehdit elde edilir:
Gizlilik ihlali (kopyalama, yasadışı dağılım);
Dürüstlük ihlali (imha, değişim);
Kullanılabilirlik ihlali (engelleme).
Aynı aşamada, bu eylemlerden sonra, kural olarak, sözde "siyah giriş" olarak adlandırılan, bazı bağlantı noktalarına hizmet veren ve davetsiz misafir komutlarını yürüten hizmetlerden biri biçiminde oluşturulur. "Black Login", teminatın çıkarlarına göre sistemde kalır: Yönetici tehdidi başarılı bir şekilde uygulamak için kullanılan güvenlik açığını ortadan kaldırsa bile, ana bilgisayara erişme fırsatları; Ana bilgisayara mümkün olduğunca düşük erişme fırsatları; Host'a hızlı bir şekilde erişme fırsatları (tehdidin gerçekleştirilme sürecini tekrarlamadan). "Siyah girişi", ihlalatçının bir ağa veya belirli bir ana bilgisayara kötü amaçlı bir program uygulamasına izin verir, örneğin, bir "şifre analizörü", üst düzey protokoller çalışırken, kullanıcı tanımlayıcıları ve şifreleri ağ trafiğinden tahsis eden bir programdır) . Kötü amaçlı yazılım uygulamaları nesneleri kimlik doğrulama ve kimlik programları, ağ hizmetleri, işletim sistemi çekirdeği, dosya sistemi, kitaplıklar vb. Olabilir.
Son olarak, tehdidin izlerinin ortadan kaldırılması aşamasında, ihlal edenlerin izlerini yok etmek için bir girişimde bulunulur. Aynı zamanda, uygun girişler, bilgi toplama gerçeği hakkında kayıtlar dahil olmak üzere tüm olası denetim günlüğelerinden silinir.
1.4 Bankanın özellikleri ve faaliyetleri
PJSC "SitesiBank", Rusya Federasyonu'nun bankacılık sisteminin finansal ve kredi organizasyonu, para ve menkul kıymetlerle finansal işlemleri gerçekleştiriyor. Banka, bireylere ve tüzel kişilere finansal hizmetler sunmaktadır.
Ana faaliyetler tüzel kişilere ve bireylere, kurumlara hizmet vermek, mevduatlara para çekmek, para birimi ve bankalardaki operasyonlar, tahviller ve faturalardaki yatırımlar.
Banka, 356 sayılı Bankacılık faaliyetleri için Rusya Bankası'nın genel lisansına dayanan 1 Ağustos 1990'dan itibaren finansal faaliyetlerini yürütmektedir.
Banka'nın kişisel verilerin üç bilgi sistemine sahiptir:
Banka çalışanlarının kişisel verilerinin bilgi sistemi - kişisel verilerin 243 kişisini tanımlamanıza izin verir;
Kontrol ve Erişim Kontrol Sisteminin Kişisel Verilerinin Bilgi Sistemi - Kişisel Verilerin 243 Konuyu'nı tanımlamanıza izin verir;
Otomatik Bankacılık Sisteminin kişisel verilerinin bilgi sistemi - 9681 kişisel veriyi tanımlamanıza izin verir.
1.5 Kişisel Veri Tabanı
Bankada, bir kerede birkaç bilgi kişisel veriyi savunmak gerekir:
Banka çalışanlarının kişisel verilerinin bilgi sistemi;
Kontrol ve Erişim Kontrol Sistemlerinin Kişisel Verilerinin Bilgi Sistemi;
Otomatik bankacılık sisteminin kişisel verilerinin bilgi sistemi.
1.5.1 Kurumun Çalışanlarının Kişisel Verilerinin Bilgi Sistemi
Banka çalışanlarının iptali, Banka Bankası'nın çalışanlarını, personelin personeli personelinin otomasyonu, Banka'nın muhasebe personelinin otomasyonu ve diğer personel ve muhasebe sorunlarını çözmek için kullanılır. Ağdaki işyerine bağlanma olasılığı olan ayrı bir otomatik işyerinde bulunan 1C "maaş ve personel yönetimi" veritabanından oluşur. AWP personel departmanı ofisinde bulunmaktadır. Otomatik bir işyerinde kurulmuş işletim sistemi Microsoft Windows. Xp. Ağla bağlantı yok.
Ad Soyad;
Doğum tarihi;
Seri ve pasaport numarası;
Telefon numarası;
Maaş ve personel yönetimi ve personel yönetimi yazılımı ve kişisel veri veritabanıyla çalışma hakkı:
Baş Muhasebeci;
Şef Muhasebecinin Asistanı;
İnsan Kaynakları Bölümü Başkanı;
Banka çalışanlarına ücret ödemekten sorumlu bir çalışan.
Manuel veri değişikliği;
1.5.2 Kişisel veri kontrolü ve erişim kontrol sistemlerinin bilgi sistemi
Kişisel veri kontrolü ve erişim kontrol sistemlerinin bilgi sistemi, çalışanların ve ziyaretçilerin kişisel verilerini Banka'nın çeşitli binalarına erişimi olan bankaya saklamak için kullanılır. Kontrol ve erişim kontrol sisteminin dağılımı, Banka Güvenliği Departmanı tarafından kullanılır. Veritabanı veritabanı, güvenlik odasında güvenlik odasında olan AWP olarak ayarlanmıştır. Microsoft Windows 7 işletim sistemi, teknikte kurulurken, Microsoft SQL Server 2012 DBMS bir veritabanı kontrol sistemi olarak kullanılır. Sanat DVD'sinin yerel ağa erişimi yoktur ve ayrıca internete erişimi yoktur.
Aşağıdaki kişisel veriler DM'de depolanır
Ad Soyad;
Çalışan fotoğrafçılığı.
Kontrol ve erişim kontrol sisteminin saygınlığı ile çalışma hakkı:
Banka'nın güvenlik departmanının başkanı;
Banka'nın Güvenlik Bölümü Başkan Yardımcısı;
Banka'nın güvenlik departmanının çalışanları.
Otomatik iş istasyonuna ve erişim kontrol sistemine erişim:
Sistem yöneticileri, otomatik işyerini ve yazılımı 1C maaş ve personel yönetimini ve kişisel veritabanlarını yönetmek için;
Bankanın bilgi güvenliğinden Süpürünme Bilgi Güvenlik Sistemini yönetmek için Sorumlu Bölüm çalışanları.
Banka çalışanlarının saygınlığında aşağıdaki işlevler yapılabilir:
Kişisel verilerin otomatik olarak çıkarılması;
Kişisel verilerin manuel olarak çıkarılması;
Manuel veri değişikliği;
Manuel ekleme kişisel veri;
Kişisel veriler için otomatik arama.
Kişisel Veri Bilgisi Sistemi, bankanın 243 çalışanı tanımlamanızı sağlayan verileri depolar.
Çalışanın kişisel verilerini işleme hedeflerine ulaştıktan sonra, kişisel verileri CD'den kaldırılır.
1.5.3 Otomatik Bankacılık Sisteminin Kişisel Verilerinin Bilgi Sistemi
Otomatik bankacılık sisteminin kişisel verilerinin bilgi sistemi, çoğu banka çalışanının çalışmalarını otomatikleştirmek için tasarlanmıştır. Çalışanların verimliliğini artırmanıza izin verir. Finansal teknolojiler merkezinin merkezi tarafından üretilen "CFT-Bank" kompleksi olan otomatik bir bankacılık sistemi olarak kullanılır. Bir veritabanı yönetim sistemi olarak, Oracle yazılımı kullanılır. Caiden banka sunucusunda konuşlandırılmıştır, sunucuya yüklenen işletim sistemi Microsoft Windows Server 2008 R2'dir. Otomatik bankacılık sisteminin konulduğu, Banka'nın yerel bilgisayar ağına bağlanır, ancak internete erişimi yoktur. Kullanıcıları, veritabanının veritabanına bağlamak, seçilen sanal terminallerden "CFT-Bank" yazılım ürünleri kullanılarak yapılır. Her kullanıcının kendi kullanıcı adı ve şifresi vardır.
Dodge'da işlenen kişisel veriler:
Ad Soyad;
Doğum tarihi;
Seri ve pasaport numarası;
Telefon numarası;
"CTT-Bank" yazılımı ve kişisel veri veritabanıyla çalışma hakkı:
Muhasebe personeli;
Kredi Departmanının Çalışanları;
Risk Yönetimi Bölümü çalışanları;
Bölümlerin Memurları;
Kişisel yöneticiler;
Müşteri yöneticileri;
Güvenlik Departmanı.
Otomatik işyerine erişim:
Sistem yöneticileri, sunucuyu, kişisel veri veritabanını ve "CFT-Bank" yazılımını yönetmek için;
Bankanın bilgi güvenliğinden sorumlu olan bölümlerin çalışanları, sunucuyu, kişisel verilerin veritabanını ve "CFT-Bank" yazılımını yönetmek için sorumludur.
Banka çalışanlarının saygınlığında aşağıdaki işlevler yapılabilir:
Kişisel verilerin otomatik olarak çıkarılması;
Kişisel verilerin manuel olarak çıkarılması;
Manuel Kişisel Veriler Ekleme;
Manuel veri değişikliği;
Kişisel veriler için otomatik arama.
Kişisel verilerin bilgi sistemi, 243 banka çalışanını ve 9438 banka müşterisini tanımlamanıza olanak tanıyan verilerdir.
Çalışanın kişisel verilerini işleme hedeflerine ulaştıktan sonra, kişisel verileri CD'den kaldırılır.
1.6 Cihaz ve Banka'nın yerel bilgisayar ağının tehditleri
Bir ağ türü ağ tipi istemci sunucusu dağıtılır. Kullanıcı iş istasyonlarının vitabank.ru olduğu alan adı. Bankada toplam 243 Otomatik kullanıcı işleri, 10 sanal sunucular ve 15 sanal iş istasyonu. Ağ, Sistem İdaresi Bölümü tarafından izlenir. Ağ, ağırlıklı olarak Cisco Corporation Network teçhizatı üzerine inşa edilmiştir. Ek ofislerle iletişim, mevcut ve yedekleme İnternet Sağlayıcı kanalları aracılığıyla İnternet'i kullanarak VPN kanalları kullanılarak desteklenir. Merkez Bankası ile bilgi alışverişi, özel kanaldan ve geleneksel iletişim kanallarıyla birlikte oluşur.
İnternet erişiminin tüm kullanıcıları yerel iş istasyonlarında bulunmaktadır, ancak bankanın belgelerinin ve bilgi sistemleriyle çalışmak yalnızca yalnızca yerel banka kaynaklarının sınırlı olduğu ve yüklendiği ve yüklendiği sanal iş istasyonları kullanılarak gerçekleştirilir.
Yerel iş istasyonlarından internete erişim erişim grupları ile ayrılır:
Minimum Erişim - Yalnızca Federal Hizmetlerin Kaynakları, Rusya Sitesi Bankası'na erişim;
Normal erişim - Eğlence, sosyal ağlar hariç tüm kaynaklara izin verilir, video ve indirme dosyalarını görüntülemek yasaktır.
Tam erişim - tüm kaynaklar ve indirme dosyalarına izin verilir;
Erişim gruplarındaki kaynakları filtreleme Proxy Server tarafından uygulanır.
Aşağıda PJSC SitesiBank şebekesinin şeması (Şek. 5).
1.7 Bilgi Güvenlik Araçları
Bilgi Güvenlik Araçları, mühendislik, elektrik, elektronik, optik ve diğer aygıtlar ve cihazların, cihazların ve teknik sistemlerin yanı sıra, sızıntı uyarıları ve güvenli bilgi güvenliği de dahil olmak üzere çeşitli bilgi koruma görevlerini çözmek için kullanılan diğer elemanların bir kombinasyonudur..
Bilgi Koruma Araçları Uygulama yöntemine bağlı olarak kasıtlı eylemlerin önlenmesi açısından gruplara ayrılabilir:
Teknik (donanım) fonları. Bunlar, donanımın bilgi koruma görevlerini çözdüğü cihazın türünde (mekanik, elektromekanik, elektronik vb.) Farklıdır. Maskelemesini kullanarak bilgiye erişime müdahale ederler. Donanım şunları içerir: Gürültü jeneratörleri, ağ filtreleri, tarama radyosu ve diğer birçok cihaz, "örtüşen" potansiyel kanal sızıntısı kanalları veya onları tespit etmek için. Teknik araçların avantajları, güvenilirlikleriyle ilişkilidir, öznel faktörlerden bağımsızlık, değiştirmeye karşı oldukça dirençlidir. Zayıflıklar yetersiz esneklik, nispeten büyük miktar ve ağırlık, yüksek maliyet.
Şekil 5 Situbank PJSC Ağı
Yazılım araçları, kullanıcıları, kontrolünü, şifreleme bilgisini, geçici dosyalar, test kontrol sistemi, vb. Gibi kalan bilgileri tanımlamak için programları içerir. Yazılımın yararları - Çok yönlülük, esneklik, güvenilirlik, kurulum basitliği, değiştirme yeteneği ve geliş. Dezavantajları - sınırlı ağ işlevselliği, kaynak sunucusunun ve iş istasyonlarının bir kısmının kullanımı, rastgele veya kasıtlı değişikliklere yüksek hassasiyet, bilgisayarlara (donanımları) olası bağımlılık.
Karışık donanım ve yazılım, donanımın ve yazılımın ayrı ayrı ve ara özelliklere sahip olduğu işlevleri uygular.
Tüm Banka'nın ofis tesisleri, yönetim ve erişim kontrol sistemini ve video gözetim sistemlerini kullanarak güvenlik hizmeti tarafından kontrol edilir. Banka'nın ofis tesislerinin girişi, kontrol ve erişim kontrol sisteminde uygun izinlerin varlığında gerçekleştirilir. Bir çalışanın, iş için bir cihazla veya bankaya bir ziyaretçi olan, gerekirse, bankanın ofis binasına erişim, kullanıcı kimliğini kaydeden ve servis odasına girmeye çalışırken, bu tanımlayıcıyı kaydeden temassız yakınlık kartları verilir. Kontrol ve Erişim Kontrol Sistemine iletilir. Sistem, kullanıcının kartının girişinin bulunduğu odaya girişinin bulunduğu odaların listesini karşılaştırır ve odaya geçişi izin vermek veya sınırlandırmak.
Kaspersky Endpoint Security 10, 3025 sayılı Rusya'ya uygunluk sertifikası olan Anti-Virüs yazılımı, 25 Kasım 2019 tarihine kadar geçerli olan Banka'nın iş istasyonlarına, virüs imzası veritabanlarının güncellenmesi ile gerçekleştirildi. Bankadaki sunucuya kurulu antivirüsün merkezi bir sunucu parçası.
Merkez Bankası organlarıyla elektronik belge yönetimi düzenlemek için Banka özel bir bağlantı yaptı.
Federal hizmetler ile elektronik belge yönetimi organizasyonu için (Federal Vergi Servisi, Rusya'nın emeklilik fonu, finansal izleme hizmeti vb.) Elektronik imza kullanır. Federal hizmetler ile belge akışından sorumlu sanatçıların yerel iş istasyonlarında elektronik imza ile çalışmak için, uzmanlaşmış yazılımlar kurulmuştur:
Crypto-pro csp;
Kripto kolu;
Skji verba-ow;
Kayak validat;
Sinyal-CSP.
Yüklenici tarafından belirli bir yazılımın kullanımı, belirli bir federal vücudun gereksinimlerine bağlıdır.
Banka'nın yerel ağının sınırında, Cisco Corporation'ın üretimi olan Cisco ASA 5512 güvenlik duvarı kuruldu. Ayrıca, kritik bankacılık sistemleri (Rusya Bankası'nın ARS müşterisi, Swift, Banka'nın dağılımı), yerel Cisco güvenlik duvarlarının yerel ağından ayrılır. VPN Tünelleri Ek bir ofis ile iletişim için Cisco güvenlik duvarları kullanılarak düzenlenir.
1.8 Örgütsel Koruma Önlemleri
İngiliz Denetim-Danışmanlık Şirketi Ernst & Yong tarafından 2014 yılında yapılan çalışmaya göre, araştırma şirketlerinin yüzde 69'u, şirket çalışanlarının ana bilgi güvenliği tehditlerinin temel kaynağını düşünüyor.
Şirket çalışanları, cehaletin ihtiyaç duyduğu kritik bilgileri veya organizasyonun hedefli saldırılarını taahhüt etmek için gerekli bilgi güvenliği alanındaki yetersizliği ile ilgili eleştirel bilgileri ifşa edebilir. Ayrıca, saldırganlar, iç içe geçmiş kötü amaçlı yazılımlarla kimlik avı mesajları göndererek, davetsiz misafirlerin çalışanın işyeri üzerinde ve bu işyerinin Banka'nın bilgi sistemlerine bir saldırı yapmasına izin vermesini sağlar.
Bu nedenle, Bilgi Güvenliği Departmanı Bankası, Banka'nın eğitim çalışanları hakkında bilgi güvenliğinin temel ilkelerine çalışma çalışmaları yapmak, işyerlerinde çalışırken, bankanın çalışanlarını yeni bilgi güvenliği tehditleri hakkında bilgilendirmek için Karşılaşabilirler.
PJSC'de "Citibank" olarak, tüm çalışanlar bir işte çalışırken tanıtım talimatlar geçirir. Ayrıca, yeni çalışanlar, diğer yapısal bölümlerden gelen çalışanlar, Bilgi Güvenliği Departmanında birincil brifing uygulanır, burada çalışanların, Banka Bilgi Sistemleri ile çalışırken güvenlik kuralları, güvenlik kuralları ile çalışırken güvenlik kuralları, E-posta Bankası, Banka'nın şifre politikası.
Banka'nın Bilgi Güvenliği Bakanlığı çalışanları, yeni banka bilgi sistemlerinin tüm sistem geliştirme seviyelerinde geliştirilmesine ve uygulanmasına katılmaktadır.
Sistemin tasarımında ve teknik görevin bilgi sisteminin geliştirilmesi üzerine hazırlanması, bilgi güvenliği departmanı sistem için güvenlik gereksinimlerini yer alır.
Bilgi sisteminin geliştirilmesi aşamasında, Bilgi Güvenliği Bakanlığı çalışanları, geçerli belgeleri, program kodundaki olası güvenlik açıkları için test yazılımını inceliyor.
Test ve Devreye Alma Aşamasında, Bilgi Güvenliği Dairesi, bilgi sistemini test etmede aktif olarak yer almakta, bilgi sistemine nüfuz etmek ve testlere başvurmak için testler yapmak, ayrıca bilgi sistemine erişim haklarını dağıtır.
Zaten görevlendirilen bilgi sisteminin işleyişi aşamasında, bilgi güvenliği departmanı izleme yapıyor, şüpheli faaliyetleri tanımlar.
Bilgi sisteminin tamamlanmasında, bilgi sisteminin çalışması sırasında elde edilen verilere dayanan Bilgi Güvenliği Departmanı, bilgi sistemi için yeni gereksinimler oluşturur.
PJSC "Sitibank" Bilgi Güvenliği Departmanı, internetteki kaynaklara erişim için tüm başvuruları ve ayrıca bankanın iç kaynaklarına yönelik tüm uygulamaları koordine eder.
1.9 Kişisel Veri İşleme Döngüsü
Bankada depolanan kişisel veriler sadece meşru bir yol aldı.
Banka çalışanı'nın alınan kişisel verileri, yalnızca bir çalışanla sözleşmedeki görevlerini yerine getirmek için işlenir. Banka çalışanının kişisel verileri çalışanın kendisinden aldı. Tüm Banka çalışanları, Banka'nın personelinin kişisel verilerini işleme prosedürünü ve bu alandaki hak ve yükümlülüklerini işleme prosedürünü oluşturan Banka'nın belgelerine sahip bankalara aşina olmaktadır.
Kontrol ve Erişim Kontrol Sisteminin saygınlığında depolanan banka çalışanlarının kişisel verileri, bir çalışanın işyerine kabul etmeyi amaçlamaktadır.
Banka'nın otomatik bankacılık sisteminin konutlarında depolanan müşterilerinin kişisel verileri, yalnızca Banka'nın müşterisiyle sonuçlanan sözleşmenin altındaki görevleri yerine getirmek için işlenir. Ayrıca, otomatik bankacılık sisteminin konuldığında, Banka ile bir anlaşma yapamayan kişilerin kişisel verileri işlendi, ancak örneğin yasal olarak elde edilen kişisel veriler, Federal Hukukun Taleminde Elde Edilen ve İşletilen Kişisel Veriler . 115-FZ, 7 Ağustos 2001 tarihinde, suçlu ve finansman terörizmi tarafından elde edilen gelirlerin yasallaştırılması (aklanması).
Kişisel veri işleme hedeflerine ulaştıktan sonra, yok edildiler veya delilere tabidir.
2. Bankadaki kişisel veri koruma önlemlerinin geliştirilmesi
PJSC "Sitibank" da, Kişisel Veri Koruma Sistemi, devlet düzeyinin yasaları ve yerel düzenleyici eylemler tarafından düzenlenir (örneğin, Ek 1'deki "SitesiBank" PJSC'deki "SitesiBank" içindeki Tüzel Kişi Varlıkları ve Bireysel Girişimciler Kuralları) .
PJSC "SitesiBank" Kişisel veri koruma sistemi, şifreleyen virüslerle iş istasyonlarının kimlik avı ve enfeksiyonunun basit saldırılarını önlemek için yeterince yeterlidir, ancak kişisel verilerin çalınmasını amaçlayan hedefli saldırılara dayanamıyor.
Kişisel verileri koruma sistemini yeniden inşa etmek ve yükseltmek için iş yaptım.
2.1 Banka'nın yerel bilgisayar ağının korunması ve kişisel verilerin bilgi sistemi
PJSC'nin "Citibank" ağında, saldırganların bankanın ağına tam erişimini ve bunun üzerine kontrolü engelleyebilecekleri, daha sonra müşterilerin veya banka çalışanlarının kişisel verilerini değiştirebileceği, değiştirebileceği veya silebilecekleri belirgin zayıflıklar vardır.
Banka'nın ağı tek bir segment olduğundan, davetsiz misafirlerin Banka ağına risklerini en aza indirmek için, sanal ağ teknolojisi kullanılarak birkaç segmente ayrılmalıdır.
Sanal Ağlar (VLAN) oluşturma teknolojisi kavramı, ağ yöneticisinin, ağın hangi alanına bağlı olup olmadıklarına bakılmaksızın mantıksal kullanıcı grupları oluşturabilmesidir. Kullanıcıları mantıksal çalışma gruplarına, örneğin, gerçekleştirilen veya ortak olarak çözülmüş iş topluluğunun belirtileri üzerine birleştirebilirsiniz. Aynı zamanda, kullanıcı grupları birbirleriyle etkileşime girebilir veya birbirleri için tamamen görünmez olabilir. Gruptaki üyelik değiştirilebilir ve kullanıcı birkaç mantıksal grubun bir üyesi olabilir. Sanal Ağlar, yayın paketlerinin ağ üzerinden geçişinin yanı sıra yönlendiricilerin yanı sıra, ağ bölümleri arasında yayın trafiğini yalıtkan olan mantıksal yayın alanlarını oluşturur. Böylece, sanal ağ yayın fırtınalarının ortaya çıkmasını önler, çünkü yayın mesajları sanal ağın üyeleri ile sınırlıdır ve diğer sanal ağların üyeleri tarafından alınamıyor. Sanal ağlar, dosya sunucuları veya uygulama sunucuları gibi ortak kaynaklara veya genel görevin, kredi ve yerleşim bölünmeleri gibi çeşitli hizmetlerin etkileşimini gerektirdiği durumlarda başka bir sanal ağın üyelerine erişmesine izin verebilir. Sanal ağlar, şalter bağlantı noktaları, ağa dahil edilen cihazların fiziksel adresleri ve OSI modelinin üçüncü seviye protokollerinin mantıksal adresleri kullanılarak oluşturulabilir. Sanal ağların avantajı, modern anahtarlar, OSI modelinin ikinci seviyesinde özel olarak tasarlanmış anahtarlama görevleri özel olarak tasarlanmış bir entegre devreye sahip bir dizi entegre devreye sahip bir sette bulunur. Kurulumdaki en büyük ilkel ağlarda üçüncü düzey sanal ağlar, ağ istemcisi yeniden yapılandırması gerekli değilse, çoğunlukla uygulama içinde geçti, çünkü İstemci ağıyla ilgili herhangi bir işlem, müşterinin kendisinin veya yönlendiricinin yeniden yapılandırılmasını gerektirir veya en az bükülme, yönlendirme, sistemin maliyetini artırır ve performansını azaltır ve performansını azaltır.
Böylece, bankadaki sanal ağların oluşturulması ARP-sahte atak türünü önleyecektir. Saldırganlar, sunucu ile istemci arasında geçen bilgileri engelleyemeyeceklerdir. Ağa nüfuz ederken, saldırganlar Banka'nın tüm ağını tarayamayacaklar, ancak yalnızca eriştikleri ağ segmenti.
Banka bankaya nüfuz ettiğinde, saldırganlar önce kritik ağ düğümlerini aramak için ağı tarayacaktır. Bu düğümler:
Etki alanı denetleyicisi;
Proxy sunucu;
Posta sunucusu;
Dosya sunucusu;
Uygulamalar sunucusu.
Bankada çünkü yerel ağ sanal ağ teknolojisi kullanılarak düzenlenecek, saldırganlar bu düğümleri ek eylemler olmadan algılayamazlar. Saldırganları yerel ağın kritik birimlerini bulmak ve karıştırmak için onları karıştırmak için ve gelecekte ağlara bir saldırı yaparken davetsiz misafirlerin stratejisini incelemek için davetsiz misafirleri çekecek yanlış nesneleri kullanmanız gerekir. Bu nesnelerin Honeypot denir.
Honeypot'un görevi, daha sonra davetsiz misafirlerin stratejisini incelemesine izin verecek bir saldırı veya yetkisiz çalışmaya maruz kalmaktır. Honeypot'un uygulanması, hem özel bir özel sunucu hem de görevi bilgisayar korsanlarının dikkatini çekmek için bir ağ servisi olabilir.
Honeypot, üzerinde hiçbir etkisi olmadan hiçbir şey yapmayan bir kaynaktır. Honeypot, hacker kullanan yöntemlerin istatistiklerini analiz ettikten sonra küçük bir bilgi toplar ve ayrıca bunlara karşı mücadelede uygulanacak olan yeni çözümlerin varlığı ile de belirlenir.
Örneğin, bir adı olmayan ve neredeyse hiç kimseye sahip olmayan bir web sunucusu, sırasıyla, ve misafirlerine gelmemelidir, bu nedenle, bu nedenle nüfuz etmeye çalışan tüm kişiler potansiyel bilgisayar korsanlarıdır. Honeypot, bu bilgisayar korsanlarının davranışının niteliği ve sunucu üzerindeki etki biçimleri hakkında bilgi toplar. Bundan sonra, Uzmanlar Bilgi Güvenliği Bakanlığı, saldırganlara saldırganlara saldırmakla ilgili bilgi toplar ve gelecekteki saldırıların yansıması için stratejiler geliştirir.
Ağdan gelen bilgileri kontrol etmek ve ağ üzerinden transfer aşamasında bilgi güvenliği tehditlerini tespit etmek, ayrıca Banka'nın yerel ağına girmiş saldırganların aktivitesinin tespit edilmesi gereklidir. Ağın sınırında bir saldırı önleme sistemi oluşturun.
Saldırı önleme sistemi, bir işgali veya güvenlik bozukluğu tespit eden ve otomatik olarak koruyan bir ağ ve bilgisayar güvenliğinin bir yazılım veya donanım sistemidir.
İzinsiz giriş sistemleri, izinsiz saldırıların görevi aynı kaldığından, izinsiz giriş algılama sistemlerinin devamı olarak kabul edilebilir. Aynı zamanda, izinsiz girişim önleme sisteminin gerçek zamanlı olarak hareket ettiği ve saldırıların önlenmesi için eylemleri hızla uyguladığı gerçeğinde farklılık gösterir.
Tespit ve izinsiz giriş koruma sistemlerine ayrılmıştır:
Ağ Saldırısı Önleme Sistemleri - Ağda geçen bir kuruluşun ağına yönelik trafiği analiz edin veya belirli bir bilgisayarı hedefleyin. İzinsiz giriş tespiti ve önleme sistemleri, yazılım veya yazılım ve donanım yöntemleri tarafından uygulanabilir, kurumsal ağın çevresinde ve bazen içinde kurulur.
Kişisel saldırı önleme sistemleri, iş istasyonlarına veya sunuculara yüklenen ve uygulama faaliyetlerini izlemenizi ve izlemenize izin veren yazılımdır. ağ etkinliği Olası saldırılar için.
Banka bankasına dağıtmak için, bir ağ saldırısı önleme sistemi seçildi.
Bu sistemlerin üreticilerinin ilan edilen işlevselliği olan IBM'nin ağ saldırısı, Check Point, Fortinet, Palo Alto, Check-Point, Fortinet, Palo Alto, Banka'nın bilgi güvenliği bölümünün gereklerine yaklaştı.
Test standlarını dağıttıktan ve giriş önleme sistemlerini test ettikten sonra, en iyi hızı gösterdiği için, yerel ağ üzerinden iletilen viral yazılımın tespiti için en iyi alt sistemi, en iyi alt sistemi, önemli olayları ve satın alma fiyatını protafe etmek ve gündeme getirmek için en iyi subsistem gösterildiği için seçildi.
IBM Saldırı Önleme Sistemi, bir izinsiz giriş sistemi satın almak için Bilgi Güvenliği Departmanının bütçesini aşan cihazların maliyeti nedeniyle iyileştirildi.
Fortinet Saldırı Önleme Sistemi, enfekte olmuş dosyaların iletilmesi için Bilgi Güvenliği Departmanı çalışanlarını yürütürken ve önemli olaylar için yeterli bilgilendirici araçlar için yeterli bilgilendirici araçların yürütülürken yarı zamanlı yanıt nedeniyle belirtilmiştir.
Palo Alto'nun izinsiz girişi önleme sistemi, önemli olaylara yönelik yetersiz bilgilendirici araçlar, sistemle çalışmanın aşırı zorluğu ve yönlendirici olarak daha büyük bir dereceye kadar çalışmaktan dolayı pişirildi.
Yerel bir ağa tanıtmak için, bir Çek Noktası izinsiz giriş sistemi seçildi. Bu sistem, yüksek düzeyde bir bilgi güvenliği tehdidi tespiti, esnek ayarlar, ek yazılım modülleri satın alarak işlevselliği genişletme yeteneği, önemli olayların güçlü bir kaydı sistemine sahip, önemli olayların güçlü bir tomruk sistemine ve olası raporları sağlamak için güçlü bir araç seti vardır. meydana gelen bilgi güvenliği olaylarını araştırmak daha kolay.
Modifiye edilmiş bir mimari ile PJSC "Citibank" şebekesinin şeması, Şekil 6'da sunulmuştur.
2.2 Yazılım ve Donanım Koruması
Kişisel verilerin güvenliği yalnızca ağ tarafından korunamadığından, çünkü davetsiz misafirler, şebekeyi korumak için alınan tüm önlemlere rağmen, Banka'nın ağına erişebilir.
Şekil 6 Ek koruma sistemlerine sahip Pao SitesiBank Ağ şeması
Daha fazla saldırıya dayanıklı koruma için, yerel iş istasyonlarının, sanal iş istasyonlarının, sanal ve geleneksel sunucuların ağını, yazılımını ve donanım koruma cihazlarını korumak için tasarlanmış cihazlara eklemelisiniz.
Bildiğiniz gibi, antivirüs programları, imza analizi ilkesine göre çalışırken, kötü amaçlı yazılımlara karşı tam olarak koruma yapmazlar. Anti-virüs yazılımı geliştiricisi, internetteki viral aktiviteyi izleyen kendi personelinde uzmanlara sahiptir, viral yazılımın test istasyonlarındaki davranışını inceleyen ve daha sonra virüsten koruma yazılımı imza veritabanlarını güncelleyerek kullanıcıların bilgisayarlarına gönderilen imzalar oluşturur. Antivirüs, güncellenmiş bir anti-virüs yazılımı imzası veritabanı aldıktan sonra, kullanıcının iş istasyonundaki dosyaları kontrol eder ve bu özellikler doğrulama sırasında bu özellikler tespit edilirse, virüsten koruma bunu yanıp söner ve yüklü olan ayarlara uygun olarak işlev görür. kullanıcı veya antivirüs yöneticisi tarafından. Böylece, eğer kötü amaçlı yazılımlar, anti-virüs yazılımı şirketinin uzmanları tarafından algılanmaz ve analiz edilmezse, virüsten koruma kötü amaçlı yazılımı tanımlayamayacak ve kanıtlanmış dosya güvenliğini sayarak herhangi bir işlem yapmayacaktır. Bu nedenle, Bankada, kötü amaçlı yazılımların atlama ve başlatma olasılığını azaltmak için, ikinci bir virüsten koruma koruma devresi kuruldu. Anti-virüs yazılımı geliştiricileri çoğunlukla birbirinden ayrı olarak çalıştığından, henüz bir anti-virüs yazılımı geliştiricisi tarafından tespit edilmeyen kötü amaçlı yazılımlar başka bir şirket geliştirici tarafından tespit edilebilir ve imzalar algılanan bir tehdit üzerinde oluşturulabilir.
Böyle bir şemayı uygulamak için, 19 Eylül 2017 tarihine kadar geçerli olan Rusya No. 2446 sayılı Rusya'nın FSTEC'in Uygunluğu Sertifikasına sahip olan Doktor Web Kurumsal Güvenlik Takım Anti-virüsünün kurulduğu sanal bir iş istasyonu oluşturuldu. Banka çalışanlarının çalışmaları sırasında yüklediği tüm dosyalar bu istasyona düşer ve antivirüs tarafından kontrol edilir. Kötü amaçlı yazılım algılaması durumunda, anti-virüs, bilgi güvenliği departmanının çalışanlarına tehdidin adıyla ve enfekte olmuş dosyanın nerede saklandığı bir mektup gönderir. Bilgi Güvenliği Departmanı çalışanları, kötü amaçlı yazılımı kaldırmak için önlemler almaktadır. Kullanıcılar tarafından yüklenen kullanıcılar anti-virüs yazılımı tarafından test edilirse, dosyayı indiren kullanıcı bilgi güvenliği departmanına bir başvuru yapar ve departman çalışanları indirilen dosyaya kullanıcıya dayanır.
Ayrıca, çok sayıda kötü amaçlı yazılım banka çalışanlarına e-posta ile geliyor. Geleneksel şifreleme virüsleri ve kötü amaçlı yazılım, davetsiz misafirlerin uzak bir bağlantı kullanarak banka çalışanın enfektif bilgisayarına nüfuz etmesine izin verebilir.
Banka'nın posta sunucusuna bu tür tehditlerin risklerini en aza indirmek için, Clamew Anti-virüs yazılımı kuruldu, korunacak posta sunucuları.
İç davetsiz misafirlerin yetkisiz erişimine karşı korumak için, kişisel veri bilgi sistemlerine erişimi olan bir yerel istasyonun kullanıcı şifresini öğrenen herhangi bir şekilde, kişisel verilerin bilgi sistemleri ile çalışan kullanıcıları, sistem koruma sistemine izinsiz olarak yüklemeniz gerekir. Giriş.
.Banka çalışanlarının eğitimi, Bilgi Güvenliği Bölümü Uzmanı tarafından yürütülmektedir.
Bilgi Güvenliği Departmanının çalışanı, Banka'nın bölünmesinin belirli bir planında eğitim yürütmektedir. Mezun olduktan sonra, bölüm çalışanları öğrenmede kazanılan bilgiyi onayladıkları testlerde bulunurlar.
Temel güvenlik politikası, her birimde yılda en az dört kez öğrenerek düzenlenir.
Ayrıca, çalışanların eğitimine paralel olarak, Bilgi Güvenliği Departmanı çalışanları, temel güvenlik kurallarını, bu şekilde bulunursa, temel güvenlik kurallarını, yeni tehditleri tanımlayan tüm çalışanlara bilgi mektupları göndermek için en az ayda bir kez mecbur ediyorlar.
2.3.2 İnternet Kaynakları için Çalışan Erişim Prosedürü
Bankada 3 internet erişim grubu grubu oluşturulmuştur, ancak böyle bir erişimin ayrılması yetersizdir, çünkü bir çalışanın resmi görevlerini yerine getirme ihtiyacı olan, tam erişim grubunda bulunan ağ kaynağından bilgi edinme ihtiyacı, Sonra güvensiz olan internete tam erişim sağlamak zorunda kalacak.
Grup 6: Arşiv İndirme - Grup, İnternet kaynaklarına herhangi bir erişim sağlamaz;Grup 7: Çalıştırılabilir dosyaları indirin - Grup, internet kaynaklarına erişim sağlamaz;
Grup 8: İnternete tam erişim - İnternet kaynaklarına tam erişim, herhangi bir dosyayı indirin.
İnternet kaynaklarına erişmek için, bir çalışan servicedesk sistemi aracılığıyla bir başvuru oluşturur ve baş veya yönetim subayı ve bir bilgi güvenliği görevlisi tarafından onaylandıktan sonra, istediği gruba göre İnternet kaynaklarına erişim sağlanır.
2.3.3 İntrabank Kaynakları için Çalışan Erişim Prosedürleri
Çalışan çalışmalarındaki temel belgeler yerel bir işyerinde veya çalıştığı otomatik sistemdedir. Ayrıca, Banka Dosyası sunucusundaki her bir banka bölümü, birimin birkaç çalışanının ihtiyaç duyduğu ve bankanın e-postası ile iletim için büyük olan bir bölümü vardır.
Yeni bir çalışan bankada çalışacak şekilde düzenlendiğinde, doğrudan lideri, intrabank kaynağına erişim sağlamak için Sistem İdare Bölümüne Servicedesk sistemi aracılığıyla bir istek gönderir ve bir çalışanı olan bir bilgi güvenliği görevlisi tarafından başvurunun onaylanmasından sonra. Sistem İdare Bölümü, istenen kaynağa yeni bir çalışan erişimi açar.
Banka'nın birkaç bölümünün işlenmesinin ve bu bölümlerin banka dosyası sunucusunda ayrı birine ihtiyaç duyduğu durumlarda sık sık durumlar vardır.
Bu bölümü oluşturmak için Proje Yöneticisi, projedeki projeye dahil olan bölümlerden birinin başı, servicedesk sistemi aracılığıyla paylaşılan bir kaynak oluşturmak ve birleştiriciliğinde çalışan birimlerinin belirli çalışanlarının bu kaynağına erişim için bir uygulama oluşturur. Proje ve projenin proje çerçevesinde işbirliği yaptığı birimin başı. Bilgi departmanının bir çalışanı tarafından onaylandıktan sonra, Sistem İdaresi Departmanı'nın bir çalışanı istenen kaynağı yaratır ve belirtilen çalışanlara erişim sağlar. Projeye katılan bölümün her bir başkanı, yalnızca subordinasyondaki çalışanlara erişebilir.
2.3.4 Çalışanların e-postayla çalışması
Önceden, temel bir güvenlik politikası oluşturmadan önce, her çalışanın kendisi, harici posta sunucularından e-posta ile gelen harflerin ve dosyaların tehlikesi derecesini belirledi.
Temel bir güvenlik politikası oluşturduktan sonra, her kullanıcı, harici posta sunucularından gelen her bir dosya tarafından, kötü amaçlı yazılımlar için kontrol etmek için bilgi güvenliği departmanına göndermek için, bir çalışanın bağımsız olarak belirlediği mektupların tehlikesi derecesi için göndermek için her bir dosya tarafından gönderilir. Banka çalışanı, gelen mesajda bir spam veya kimlik avı olduğundan şüpheleniyorsa, Gönderen, posta kutusu ve IP adresiyle ilgili tüm hizmet bilgilerini, Bilgi Güvenlik Departmanı'na, tamamen bir mektup göndermekle yükümlüdür. Şüpheli bir mektubu analiz ettikten sonra, bu mektubun tehdidini teyit ederken, bilgi güvenliği gönderirken, Mektubun Gönderenin adresini Sistem İdare Bölümüne gönderir ve sistem yönetimi bölümünün çalışanı mektubun gönderenin adresine girer. kara listeye.
Tartışırken her zaman işyerini engelleyin.
2.3.6 Kişisel Veriler İçin Çalışan Erişim Kuralları
Rusya Federasyonu İş Kanunu'nun 14. Bölümünün 89. maddesine göre, Banka'nın çalışanının kişisel verilerine erişme hakkına sahiptir, ancak kişisel verilerin diğer banka çalışanlarından veya banka müşterilerinden yalnızca resmi görevlerini yerine getirmesi sağlanmasına izin verilir.
Kişisel verilerin bilgi sistemlerinde erişimin kontrolünü sağlamak için, kişisel verilerin bilgi sistemlerine erişmek için aşağıdaki kurallar Banka'da kurulur:
Yalnızca iş görevleri kişisel veri işleme dahil olan çalışanlar Dodge'a erişebilir;
Dwell'e erişim, yalnızca kişisel verilerle çalışan çalışanların yerel iş yerinden izin verilir;
Banka'da, kişisel olarak çalışanların kişisel verilerine ve müşterilerinin kişisel verilerine erişimi olan kişisel olarak çalışanları kişisel veri bilgi sisteminin ve çalışanların izin verilen kişisel verilerin bir listesini belirleyen bir belge oluşturulmuştur.
3. Projenin ekonomik gerekçesi
Kişisel veri koruma sistemini uygulamak için satın almak gerekir:
Bankanın ağını korumak için ekipman;
Donanım Bilgi Koruması;
Bilgi Güvenliği Yazılımı.
Kuruluşun ağını yeniden inşa etmek için, Cisco Catalyst 2960 anahtarlarını 3 kopya miktarında satın almak gerekir. Banka'nın çekirdek düzeyinde çalışmak için bir anahtar gerekir, 2 başkası dağıtım düzeyinde çalışmak için. Ağ ekipmanı, yeniden yapılandırmadan önce bir bankada çalıştı.
Toplam maliyet (ovma.) 9389159 613
Doktor Web Enterprise Suit15005500
Toplam Maliyet1 371 615
Sonuç
Mezuniyet projesinde, kişisel verilerin korunması için düzenleyici çerçeveyi gözden geçirdim. Kişisel veri güvenliği tehditlerinin ana kaynaklarını gözden geçirdim.
Analiz ettiğim kişisel olarak kabul edilen tehditlere dayanarak mevcut sistem PJSC'deki Kişisel Verilerin Korunması "Citibank" ve ciddi bir iyileştirme ihtiyacı olduğu sonucuna varıldı.
Mezuniyet projesi sürecinde, Banka'nın yerel ağında zayıflıklar bulundu. Banka'nın yerel ağındaki tespit edilen zayıf noktaları dikkate alarak, Banka'nın ağının bilgi güvenliğinin risklerini en aza indirmeye yönelik önlemler belirlenir.
Ayrıca, çalışanların ve banka müşterilerinin kişisel verilerini işleyen çalışanların yerel iş yerlerini korumak için seçilen cihazlar ve yazılımlar.
Katılımımla, Bilgi güvenliğinde çalışanlara ilişkin farkındalık yaratma sistemi yaratıldı.
Banka çalışanlarının internete erişimin sırası, internet erişim grubu yeniden tasarlandı. Yeni İnternet erişim grupları, dosya indirme işlemlerinin sınırlı kullanıcıları nedeniyle bilgi güvenliği risklerini önemli ölçüde en aza indirmenize izin verir, inanılmaz kaynaklar girin.
Hesaplamalar, ağın yeniden oluşturulması ve bilgi güvenliği tehditlerinin çoğunu yansıtabilecek kişisel verileri korumak için uygun bir sistem oluşturma maliyeti verilir.
Kullanılmış edebiyat listesi
1. "Rusya Federasyonu Anayasası" (ulusal oy 12.12.1993 tarafından kabul edilen) (Rusya Federasyonu Kanunları tarafından yapılan değişiklikler, 30.12.2008 N6-FKZ Federasyonu Anayasası'nda yapılan değişiklikler nedeniyle yapılan değişiklikler dikkate alarak) , 30.12.2008 N 7-FKZ'den, 07.21.2014 N 11-FKZ) 'dan itibaren 07.21.2014 N 11-FKZ) // Resmi İnternet'te yayınlanan 21.07.2014 tarihinde Rusya Federasyonu Anayasasının resmi metni Yasal Bilgiler Portal http://www.pravo.gov.ru, 08/01/2014
2. "Kişisel verilerin bilgi sistemlerinde işlem yaparken kişisel verilerin güvenliği için temel tehdit modeli" (özü) (Onaylandı. FSTEC RF 15.02.2008)
3.Federal 27 Temmuz 2006 n 149-FZ (Ed. 06.07.2016 tarihli) "Bilgi, Bilgi Teknolojileri ve Bilgi Koruması" // Bu formda, belge yayınlanmadı. Belgenin seri metni, Rus Gazetesi'nde yayınlanmaktadır, N 165, 29.07.2006
4. "Rusya Federasyonu İş Kodu" 30 Aralık 2001 N 197-FZ (ED. 0.07.2016) (değiştirilmiş ve eklenmiştir., 10.10.2016 için giriş) // Bu formda, belge yayınlanmadı , belgenin ilk metni Rus Gazeta, N 256, 12/31/2001'de yayınlandı.
5. "01.11.2012 N 1119" Rusya Federasyonu'nun hükümetinin, kişisel verilerin bilgi sistemlerinde işlem yaparken kişisel verilerin korunması için gerekliliklerin onaylanması "//" Rus Gazeta ", N 256, 07.11.2012
6. Rusya'nın FSTEC'si 18.02.2013 No. 21 ", kişisel verilerin bilgi sistemlerinde işlendiğinde kişisel verilerin güvenliğini sağlamak için örgütsel ve teknik önlemlerin kompozisyonunun onaylanması ve bakımı" (Rusya Adalet Bakanlığında kayıtlı). 05/14/2013 N 28375) // "Rus gazetesi", N 107, 05/22/2013
7. Rusya Federasyonu Bankacılık Sisteminin organizasyonlarının bilgi güvenliğini sağlamak için "Standart Rusya Bankası". Genel Hükümler "STR BR IBBS-1.0-2014" (17.05.2014 N R-399 tarihli Rusya Bankası'nın sırasına göre kabul edildi ve yürürlüğe girdi) // "Rusya Merkez Bankası Bülteni", N 48-49, 05/30/2014
8. "Nakit transferlerinin uygulanmasında ve Rusya Bankası Bankası'nın uygulanmasında, nakit transferlerinin uygulanmasında bilgi koruma sağlama gerekliliklerine uygunluk konusunda bilgi koruma prosedürüne ilişkin gereklilikler hakkında Yönetmelikler" (onaylandı. Rusya Merkez Bankası 09.06.2012 n 382-P) (Ed. 14.08.2014) (Rusya Adalet Bakanlığı'nda kayıtlı 14.06.2012 n 24575) // Bu formda, belge yayınlanmadı, ilk metni Belge "Rusya Bankası Bülteni" nde yayınlandı, n 32, 22.06.2012
9. "Kredi kurumları tarafından, federal hukukun" ceza aracı ve finansman finansmanı tarafından karşılanan gelirlerin yasallaştırılmasında (aklama) (Rusya'nın yasallaştırılması (aklama) tarafından sağlanan yetkili bir bilgi bedenine sunma prosedürüne ilişkin düzenlemeler (Rusya Merkez Bankası tarafından onaylandı. 29.08. 2008 N 321-P) (ED. 15.10.2015) ("OES'in iletim-alımında bilgi güvenliği sırası", "OES'in oluşumu için kurallar ve OES kayıtlarının bireysel alanlarını doldurma" ) (Rusya Adalet Bakanlığında Kayıtlı (Rusya Adalet Bakanlığı 16.09.2008 N 12296) // Bu formda, belge yayınlandı, belgenin ilk metni "Rusya Merkez Bankası Bülteni" nde yayınlandı, n 54 , 26.09.2008
10. 18.02.2013 sayılı Rusya'nın Mirası 18.02.2013 No. 21 ", kişisel verilerin bilgi sistemlerinde işlenirken kişisel verilerin güvenliğini sağlamak için örgütsel ve teknik önlemlerin kompozisyonunun ve içeriğinin onaylanması" (Adalet Bakanlığında kayıtlı). of Rusya 05/14/2013 n 28375) // "Rus gazetesi", n 107, 05/22/2013
11. AVERCHENKOV V.I., RYT M.YU., GAINULIN T.R. Kurumlarda kişisel verilerin korunması. M.: Flint, 2018
12.Agapov A. B. Rusya Federasyonu'nda bilgiatçılık alanında kamu yönetiminin temelleri. M.: Avukat, 2012
13. A. A. A., Kostina A. A., Latyshev D. M., Moldova A. A. AA Aure Serinin Yazılım Kompleksleri Kişisel verilerin bilgi sistemlerini korumak için // IZV. üniversiteler. enstrüman yapımı. 2012. T. 55, № 11
14. Moldovyan A. A. Cryptography Bilgisayar bilgilerini korumak için (bölüm 1) // integral. 2014. № 4 (18)
15.RODANOV O.A., BABIN S.A., ZHDANOV S.G. Bilgi güvenliğinin organizasyonel desteği. - m.: Akademi, 2016
16. Shultz V.L., Rudchenko A.D., Yurchenko A.V. İşletme faaliyetlerinin güvenliği. M.: Yayın Evi "Yurait", 2017
Uygulamalar (iş ile bir arşiv var).
Özellikle yabancı firmaların Rusça bölümlerine olan talebin, 152-ФЗ "bölümündeki 18.-Ф" bölümünün 5'inin (Kişisel Verilerde "eklenmesi nedeniyle oldu." ... Operatör giriş, sistematikleştirme, birikim, depolama, Arıtma (güncelleme, değişiklik), özü kişisel veri Rusya Federasyonu topraklarında bulunan veritabanlarını kullanarak Rusya Federasyonu vatandaşları " . Yasada bir dizi istisna vardır, ancak regülatörü kontrol etmeniz durumunda, kozları olan bir koz kartına sahip olmak istiyorum, "ve endişeleniyoruz."
İhlalciler için ceza çok ciddi. Online Mağazalar, Sosyal Ağlar, Bilgi Siteleri, İlgili Diğer İşletmeler İnternet Denetleme makamlarından talepler durumunda, aslında kapatılabilirler. Belki de, regülatörü ilk kontrol ederken, eksiklikleri ortadan kaldırmak için zaman verilecek, ancak terim genellikle sınırlıdır. Sorun çok hızlı bir şekilde çözülmezse (önceden hazırlanmadan zor olan), kayıplar artık telafi edilmez. Kilitleme siteleri sadece satışlarda duraklatmak için değil, pazar payının kaybı anlamına gelir.
Çevrimdışı şirketler için PD üzerindeki yasaların ihlal edilmesinin "Kara Listesinde" görünüşü daha az çarpıcı bir şekildedir. Ancak, yabancı şirketler için önemli bir faktör olduğu itibar riski gerektirir. Ek olarak, şimdi kişisel verilerin korunmasına sahip olmayan neredeyse hiç aktivite yoktur. Bankalar, Ticaret, Hatta Üretim - Her şey müşteri tabanları tarafından gerçekleştirilir ve bu nedenle ilgili yasaların etkisi altına girer.
Burada, şirketler içinde sorunun yalıtımlı olduğunu düşünmenin imkansız olduğunu anlamak önemlidir. PD koruması, sunuculardaki sertifikalı koruma araçlarının kurulumunu sınırlandıramaz ve kağıt kartları kasalara kilitlemek mümkün değildir. Kişisel verilerin şirket - satış departmanlarında, İK, müşteri hizmetleri hizmetleri, bazen de eğitim merkezleri, satın alma komisyonları ve diğer birimlerde birçok giriş noktasına sahiptir. PDN'nin kontrol korumasını - etkileyen kapsamlı bir süreç O., Belge yönetimi, düzenlemeler, yasal tasarım.
Böyle bir işlemi başlatmak ve sürdürmek için neyin gerekli olacağına bakalım.
Hangi veriler kişisel olarak kabul edilir?
Kesinlikle konuşursak, doğrudan veya dolaylı olarak belirli bir fiziksel yüze olan herhangi bir bilgi kişisel verisidir. Not, insanlardan bahsediyoruz, hakkında değil tüzel kişiler. Görünüyor, bu, bunların (yanı sıra ilişkili) verilerin korunmasını başlatmak için konaklamanın adını ve adresini belirlemek yeterlidir. Bununla birlikte, imza biçiminde biriyle veya kişisel verilerle bir e-posta almak ve telefon numarası onları korumak için henüz bir neden değildir. Anahtar terim: "Kişisel verileri toplama kavramı." Bağlamı netleştirmek için, özellikle "kişisel verilerde", özellikle de tahsis etmek istiyorum.
Madde 5. Kişisel veri işleme ilkeleri. Net olması gereken net hedeflere sahip olmak gerekir, bu bilgi neden gidiyor? Aksi takdirde, diğer tüm kuralların ve kuralların tam gözetilmesiyle bile, yaptırım olasıdır.
Madde 10. Kişisel verilerin özel kategorileri. Örneğin, personel servisi, çalışanların hamileliği dahil olmak üzere iş gezileri için kısıtlamaları düzeltebilir. Tabii ki, böyle ek bilgi de tanımlanır. PDN'nin anlaşılmasını ve ayrıca dikkatin ödenmesi gereken şirketin bir departman ve bilgi depolarının bir listesinin yanı sıra genişlemektedir.
Madde 12. Kişisel verilerin sınır ötesi transferi. Rusya Federasyonu vatandaşları hakkındaki verilerle ilgili bilgi sistemi, kişisel verilerin korunması konusundaki Sözleşmeyi onaylamamıştır (örneğin, İsrail'de), Rus mevzuatı hükümleri takip edilmelidir.
Madde 22. Kişisel verilerin işlenmesinin bildirilmesi. Regülatöre aşırı dikkat çekmemek için önkoşul. PDNS ile ilgili girişimcilik faaliyetlerini yürütüyoruz - çekleri beklemeden kendiniz rapor edin.
Kişisel veriler nerede olabilir
Teknik olarak, PDS her yerde olabilir, yazdırılan ortamlarla (kağıt dosyaları) makine ortamına (sabit sürücüler, flash sürücüler, CD'ler vb.). Yani, DOT tanımına (Kişisel Veri Bilgileri Sistemleri) altına düşen herhangi bir veri deposunun dikkatine odaklanmaktır.
Konum Coğrafyası ayrı bir büyük sorudur. Bir yandan, Rusya Federasyonu topraklarında Rusların (Rusya Federasyonu vatandaşı olan bireyler) kişisel verileri tutulmalıdır. Öte yandan, şimdi durumun başarılı gerçeğinden ziyade gelişmesinin bir vektörüdür. Birçok uluslararası ve ihracat şirketi, çeşitli hedefler, ortak girişimler tarihsel olarak dağıtılmış bir altyapıya sahiptir - ve bir gecede değişmeyecektir. Neredeyse şimdi, hemen şimdi ayarlanması gereken PDN'nin depolanması ve koruma yöntemlerinden farklı olarak.
Kayıt, sistematizasyon, birikim, depolama, açıklama (güncelleme, değişim) ile ilgili bölümlerin asgari listesi PDN'yi çıkarın:
- Personel servisi.
- Satış Departmanı.
- Hukuk Departmanı.
Nadiren mükemmel siparişi hüküm sürdüğünden, gerçekte, öngörülemeyen en fazla bölünmeler bu "beklenen" listeye sıklıkla eklenebilir. Örneğin, kişisel bir tedarikçi bilgisi depoda kaydedilebilir veya güvenlik hizmeti tüm ortakların kendi ayrıntılı muhasebesini yapabilir. Böylece, bu arada, çalışanlar için PDN'nin bileşimi, müşteriler, ortaklar, müteahhitler, yanı sıra rastgele ve hatta bir başkasının ziyaretçileri ile ilgili veriler tarafından desteklenebilir - pdns atlamak için fotoğraf çekerken, bir kimliği tararken kart ve diğer bazı durumlarda. SKUD (erişim kontrolü ve erişim kontrol sistemleri), PDN'lerin korunması bağlamında kolayca bir sorun kaynağı olarak hizmet edebilir. Bu nedenle, "Nerede?" Sorusunun cevabı Yasaya uygunluk açısından, şöyle görünüyor: her yerde, her yerde hesaplanabilir bölgedeki. Daha kesin olarak, yalnızca uygun bir denetim yaparak cevaplayabilirsiniz. Bu ilk aşama proje Kişisel verilerin korunması için. Tam liste Anahtar aşamaları:
1) Şirkette mevcut durumun denetimi.
2) Teknik çözelti tasarımı.
3) Kişisel verilerin korunması için sürecin hazırlanması.
4) Teknik çözeltinin doğrulanması ve PDN'yi Rusya Federasyonu mevzuatına ve Şirket'in düzenlemelerine uygunluk için koruma sürecinin doğrulanması.
5) Teknik bir çözümün tanıtılması.
6) Kişisel verileri korumak için işlemi başlatmak.
1. Şirkette mevcut durumun denetimi
Her şeyden önce, personel hizmetini ve kişisel verilerle kağıt ortamları kullanarak diğer birimlerde belirtin:
- Kişisel veri işleme için rıza formları var mı? Doldurdukları ve imzalandı mı?
- "Kişisel verilerin işlenmesinin özellikleri üzerindeki düzenlemeleri, 15 Eylül 2008 No'lu 687 tarihinde otomasyon araçlarının kullanımı olmadan gerçekleştiriliyor mu?
CD'nin coğrafi konumunu belirler:
- Hangi ülkelerde bulunurlar?
- Hangi temelde?
- Kullanımı için herhangi bir sözleşme var mı?
- PD sızıntısını önlemek için hangi teknolojik koruma kullanılıyor?
- PDN'yi korumak için hangi örgütsel önlemler alınır?
İdeal olarak, Ruslar pds ile olan bilgi sistemi, yurtdışında olsa bile 152-FZ "kişisel verilerde" tüm gereksinimlerine uymalıdır.
Son olarak, doğrulama durumunda gerekli olan etkileyici belgelerin etkileyici belgelerine dikkat edin (bu, yalnızca ana liste):
- PD işlemenin bildirimi.
- PDN'lerin işlenmesini organize etmekten sorumlu olan belge.
- PD işlemeye kabul edilen çalışanların bir listesi.
- PDN'nin depolama konumlarını belirleyen bir belge.
- Özel ve biyometrik PD kategorilerinin işlenmesinde yardımcı olun.
- PDN'nin sınır aşan aktarımının uygulanmasına yardımcı olur.
- PDN'li belgelerin biçimlerini modelleyin.
- PDN'leri işlemek için tipik rıza şekli.
- PDN'yi üçüncü şahıslara aktarma prosedürü.
- PD varlıklarının temyizlerini dikkate almanın prosedürü.
- Kişisel Veri Bilgileri Sistemlerinin Listesi (CDN).
- Verilerin fazlalığını CPF'ye düzenleyen belgeler.
- Bilgileri korumak için kullanılan fonların listesi.
- PDNS'nin imhası için prosedür.
- Erişim matrisi.
- Model tehditleri.
- PDN Makine Taşıyıcıları Muhasebesi Dergisi.
- 1 Kasım 2012 tarihli PP-1119'a göre her bir CTD için güvenlik seviyelerini belirleyen bir belge, kişisel veri bilgi sistemlerinde işlendiklerinde kişisel verilerin korunması için gerekliliklerin onaylanması üzerine. "
2. Teknik çözüm tasarımı
PDS'yi korumak için alınacak örgütsel ve teknik önlemlerin bir açıklaması 4. "Operatörün İşletmeciliği" Kanununun 152-FZ "kişisel verilerdeki" Teknik çözelti, 21 Temmuz 2014 tarihli 242-FZ hukukunun 2. maddesinin hükümlerine dayanmalıdır.
Ancak hukuka uymak ve ölen yurtdışındayken Rusya'daki Rusya Federasyonu'nun PDN vatandaşlarını nasıl ele alınır? Burada birkaç seçenek var:
- Bilgi sisteminin ve veritabanının Rusya Federasyonu'nun topraklarına fiziksel transferi. Teknik olarak gerçekleşebilirse - en kolay olacaktır.
- Yurtdışında Caiden'den ayrılıyoruz, ancak Rusya'da bir kopyasını oluşturuyoruz ve Rusya'nın rusça federasyonun PD'lerinin PD'lerin Yabancı'ya replikasyonunu oluşturuyoruz. Aynı zamanda, yabancı sistemde, Rusya Federasyonu'nun PDN vatandaşlarını değiştirme olasılığını, tüm düzenlemelerinin yalnızca Rus Sabırsızlığı ile dışlanması gerekmektedir.
- Yurtdışında birkaç tane ve hepsini yakaladı. Transfer pahalı veya genel olarak, teknik olarak imkansız olabilir (örneğin, tabanın bir kısmını Rusya Federasyonu'nun PDN vatandaşlarıyla tahsis etmek ve onu Rusya'ya götürmek mümkün değildir). Bu durumda, karar, bir taraflı replikasyonun her bir dışsal bağlamaya uygulanacağı yerlerden, Rusya'daki sunucudaki mevcut herhangi bir platformda yeni bir Kaltın oluşturulması olabilir. Platform seçiminin şirket için kaldığını unutmayın.
Tamamen tamamen çıkarılırsa ve tekel bir şekilde Rusya'ya aktarılırsa, kimin ve ne tür bir PDN setinin gönderildiği bir sınır ötesi veri iletimi sertifikasında belirtmeyi unutmayın. İşleme bildiriminde, kişisel verilerin transferinin amacını belirlemelisiniz. Tekrar ediyorum, bu amaç meşru ve açıkça kanıtlanmalıdır.
3. Kişisel verilerin korunması için sürecin hazırlanması
Kişisel verileri koruma süreci en azından aşağıdaki noktaları belirlemelidir:
- Şirkette kişisel verilerin işlenmesinden sorumlu listesi.
- Saygınlığa erişim sağlama prosedürü. İdeal olarak, bu, her pozisyon veya belirli bir çalışan için erişim seviyesine sahip bir erişim matrisidir (okuma / okuma-yazma / modifikasyon). Her pozisyon için kullanılabilir bir PD'nin listesi. Her şey IP'nin uygulanmasına ve şirketin gereksinimlerine bağlıdır.
- Kişisel verilere erişimin denetimi ve erişim girişimlerinin erişim denemelerinin analizi.
- Kişisel verilerin erişilememesinin nedenlerinin analizi.
- PDN'lerden PDN'leriyle ilgili taleplere cevap verme prosedürü.
- Şirketin ötesinde iletilen kişisel verilerin bir listesinin revizyonu.
- Yurtdışında da dahil olmak üzere kişisel verilerin alıcılarının revizyonu.
- PDNS için tehdit modellerinin periyodik revizyonunun yanı sıra, tehdit modelindeki bir değişiklik nedeniyle kişisel verilerin güvenliği düzeyinde bir değişiklik.
- Şirketin belgelerini mevcut durumun (yukarıdaki liste ve gerekirse desteklenebilir).
Burada her bir öğeyi detaylandırabilirsiniz, ancak güvenlik seviyesine özel önem vermek istiyorum. Aşağıdaki belgelere dayanarak belirlenir (sırayla okunur):
1. "İlgili tehditleri belirleme yöntemleri güvenlik Kişisel Verilerin Bilgi Sistemlerinde İşlendiğinde Kişisel Veriler "(14 Şubat 2008 tarihinde FSTEC RF).
2. 1 Kasım 2012 sayılı Rusya Federasyonu Hükümeti, 1 Kasım 2012 tarihinden itibaren, kişisel verilerin bilgi sistemlerinde işlenirken kişisel verilerin korunması için gerekliliklerin onaylanması ".
3. KİŞİSEL VERİLERİN BİLGİSİ SİSTEMLERİNDE İŞLEME İŞLEME İŞLEME KİŞİSEL VERİLERİN GÜVENLİĞİNİ KAZANMA VE YORUMLANMIŞ VE TEKNİK ÖLÇÜMLERİN KİMİSİ VE İÇERİĞİNİN SİPARİŞİ SİPARİŞİ ".
Ayrıca, bu kadar maliyet kategorilerine ihtiyaç duyduğunu dikkate almayı unutmayın:
- Organizasyon proje takımı ve proje yönetimi.
- PhDN platformlarının her biri için geliştiriciler.
- Sunucu gücü (veri merkezinde kendi veya kiralandı).
Projenin ikinci ve üçüncü aşamalarını tamamlayarak, sahip olmalısınız:
- Hesaplama maliyetleri.
- Kalite gereksinimleri.
- Terimler ve Takvim Projesi Planı.
- Projenin teknik ve organizasyonel riskleri.
4. Teknik çözümü ve PDN'yi Rusya Federasyonu ve Şirket Yönetmeliğinin mevzuatına uygunluk için koruma sürecini kontrol edin.
Kısa bir ifade, ancak tüm planlanan tüm eylemlerin Rusya Federasyonu ve Şirketin Kuralları (örneğin, güvenlik politikaları) ihtilaflarına aykırı olmadığından emin olmanız gereken önemli bir aşama. Bu yapılmazsa, gelecekte "süpürülebilen", elde edilen sonuçların yararlarını tahrip edebilecek projenin kuruluşuna bir bomba atılacaktır.
5. Teknik bir çözümün uygulanması
Her şey burada az ya da çok açık. Spesifikasyonlar ilk duruma ve çözümlere bağlıdır. Ancak genel olarak, yaklaşık olarak aşağıdaki resim olmalıdır:
- Sunucu gücü vurgulanır.
- Ağ mühendisleri, alıcı ile PDN vericisi arasındaki kanalların yeterli bant genişliğini sağlamıştır.
- Geliştiriciler, veritabanının veritabanları arasında çoğaltma kurar.
- Yöneticiler yurtdışındaki saygınlıktaki değişiklikleri engelledi.
PDN veya "işlem sahibini" korumak için sorumlu kişi aynı yüz veya farklı olabilir. "Süreç Sahibi", tüm belgeleri hazırlamalı ve PDN'nin tüm koruma sürecini organize etmelidir. Bunu yapmak için, ilgilenen tüm kişiler bilgilendirilmelidir, çalışanlar talimat verilmelidir ve teknik veri koruma önlemlerinin uygulanmasını teşvik etmek için BT hizmeti.
6. Kişisel verileri koruma sürecini başlatmak
Bu önemli bir aşamadır ve bir anlamda, projenin tüm hedefi akışı kontrol etmektir. Teknik çözümlere ve düzenleme belgelerine ek olarak, süreç sahibinin rolü kritik öneme sahiptir. Sadece mevzuatta değil, BT altyapısında da değişiklikleri izlemelidir. Bu nedenle, uygun beceriler ve yeterlilik gereklidir.
Buna ek olarak, gerçek işlerde kritik olan PDN koruma sürecinin sahibi, tüm gerekli güçlere ve şirket yönetiminin idari desteğine ihtiyaç duyar. Aksi takdirde, kimsenin dikkatini çekmeyen bir "daha akıllı" olacaktır ve bir süre sonra proje yeniden başlatılabilir, tekrar denetimden başlayabilir.
Nüans
Görmeyi çok kolay olan birkaç dakika:
- Bir veri merkezi ile çalışıyorsanız, şirketinizin yasal gerekçelerle ilgili verileri depoladığı ve bunları kontrol ettiğine göre, sunucu kapasitelerini sağlamak için bir sözleşmeye ihtiyacınız var.
- PDN'leri toplamak, depolamak ve işlemek için kullanılan yazılım lisanslarına veya kiralanan sözleşmelere ihtiyacımız var.
- Yurtdışındaki bağışçının konumu durumunda, şirketin sahip olduğu şirkette bir sözleşmeye ihtiyaç duyulur - Rusya Federasyonu'nun Rusya'nın kişisel verileri ile ilgili olarak yasallığına uyması.
- Kişisel veriler şirketinizin yüklenicisine (örneğin, bir dış kaynaklı ortağı) iletilirse, o zaman bir dış kaynaktan PD'nin sızması durumunda, taleplerden sorumlu olacaksınız. Buna karşılık, şirketiniz dış kaynak bir iddiası yapabilir. Belki de bu faktör, dış kaynak üzerindeki çalışmanın aktarılmasının gerçeğini etkileyebilir.
Ve bir kez daha en önemli şey - kişisel verilerin korunması alınamaz ve sağlanamaz. Bu bir süreçtir. Mevzuatta daha fazla değişikliğe ve ayrıca bu normların uygulamadaki uygulamasının formatı ve sıkı olan sürekli bir yinelemeli süreç.