GirişBankanın kişisel verilerinin korunması için modern ürünler. JSC Alfa Bank'ın kişisel veri koruma sisteminin iyileştirilmesi
KONUM
kişisel verilerin korunması hakkında
Müşteriler (aboneler)
Ortes-Finance LLC'da çalışıyor
Terimler ve tanımlar
1.1. Kişisel bilgi- Soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, e-posta adresi dahil olmak üzere, bu tür bilgilere (kişisel verilerin konusu) dayalı olarak tanımlanan veya belirlenen bir kişiyle ilgili herhangi bir bilgi , telefon numarası, aile , sosyal, mülk durumu, eğitim, meslek, gelir, diğer bilgiler.
1.2. kişisel verilerin işlenmesi- toplama, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), kullanım, dağıtım (aktarım dahil), duyarsızlaştırma, engelleme dahil olmak üzere kişisel verilerle yapılan eylemler (işlemler).
1.3. Kişisel verilerin gizliliği- kişisel verilere erişim sağlayan atanmış sorumlu kişinin, kişinin rızası veya diğer yasal sebepler olmaksızın bunların dağıtımını engellemesi için zorunlu bir gereklilik.
1.4. Kişisel verilerin yayılması- kişisel verilerin medyada ifşa edilmesi, bilgi ve telekomünikasyon ağlarına yerleştirilmesi dahil olmak üzere, kişisel verilerin belirli bir kişi çevresine aktarılmasını (kişisel verilerin aktarılması) veya sınırsız sayıda kişinin kişisel verileriyle tanışmayı amaçlayan eylemler veya kişisel verilere herhangi bir şekilde veya başka bir şekilde erişim sağlama.
1.5. Kişisel verilerin kullanımı- kişisel verilerin konularıyla ilgili olarak yasal sonuçlara yol açan veya başka şekilde onların hak ve özgürlüklerini veya diğer kişilerin hak ve özgürlüklerini etkileyen kararlar vermek veya başka eylemler gerçekleştirmek amacıyla kişisel verilerle gerçekleştirilen eylemler (işlemler).
1.6. Kişisel verileri engelleme- aktarımları da dahil olmak üzere kişisel verilerin toplanmasının, sistemleştirilmesinin, biriktirilmesinin, kullanılmasının, dağıtılmasının geçici olarak askıya alınması.
1.7. Kişisel verilerin imhası- kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız olduğu veya kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler.
1.8. Kişisel verilerin duyarsızlaştırılması- kullanılmadan imkansız olan eylemler Ek Bilgiler kişisel verilerin belirli bir kişi tarafından sahipliğini belirleme.
1.9. Herkese açık kişisel veriler- kişisel veriler, öznenin rızasıyla verilen veya federal yasalara göre gizlilik şartına tabi olmayan sınırsız sayıda kişinin erişimi.
1.10. Bilgi- sunum biçimleri ne olursa olsun bilgiler (mesajlar, veriler).
1.11. Müşteri (kişisel verilerin konusu)- bundan sonra "Kuruluş" olarak anılacak olan Ortes-Finance LLC'nin hizmetlerinin bireysel tüketicisi.
1.12. Şebeke- kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenme amaçlarını, kişisel verilerin bileşimini belirleyen bir devlet organı, bir belediye organı, bir tüzel kişilik veya bir kişi, bağımsız veya diğer kişilerle ortaklaşa işlenecek veriler, kişisel verilerle gerçekleştirilen işlemler (işlemler). İşbu Yönetmelik çerçevesinde İşletici, "Ortes-Finance" Limited Şirketidir;
2. Genel Hükümler.
2.1. Kişisel verilerin işlenmesine ilişkin bu Yönetmelik (bundan sonra Yönetmelik olarak anılacaktır), Anayasa'ya uygun olarak geliştirilmiştir. Rusya Federasyonu, Rusya Federasyonu Medeni Kanunu, "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması" Federal Yasası, "Kişisel Veriler Hakkında" 152-FZ Federal Yasası, diğer federal yasalar.
2.2. Yönetmeliğin geliştirilmesinin amacı, işleticinin yetkisine dayanarak verileri işlenmeye tabi olan Kuruluşun tüm Müşterilerinin kişisel verilerinin işlenmesi ve korunmasına ilişkin prosedürü belirlemektir; mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere kişisel verilerinin işlenmesinde bir kişinin ve vatandaşın hak ve özgürlüklerinin korunmasını sağlamak ve ayrıca kişisel verilere erişimi olan yetkililerin sorumluluğunu belirlemek için kişisel verilerin işlenmesi ve korunmasına ilişkin kuralların gerekliliklerine uyulmaması.
2.3. Yönetmelikleri yürürlüğe koyma ve değiştirme prosedürü.
2.3.1. Bu Yönetmelik, Teşkilat Genel Müdürü tarafından onaylandığı andan itibaren yürürlüğe girer ve yeni bir Yönetmelik ile değiştirilinceye kadar süresiz olarak geçerlidir.
2.3.2. Tüzük değişiklikleri Teşkilat Genel Müdürünün Kararı ile yapılır.
3. Kişisel verilerin bileşimi.
3.1. Müşterilerin kişisel verilerinin bileşimi şunları içerir:
3.1.1. Ad Soyad.
3.1.2. Doğum yılı.
3.1.3. Doğum ayı.
3.1.4. Doğum tarihi.
3.1.5. Doğum yeri.
3.1.6. Pasaport verileri
3.1.7. E-posta adresi.
3.1.8. Telefon numarası (ev, cep).
3.2. Kuruluş, Müşteriler hakkında veri içeren elektronik formlar da dahil olmak üzere aşağıdaki belge ve bilgileri oluşturabilir (oluşturabilir, toplayabilir) ve saklayabilir:
3.2.1. Bir bireyi bağlama olasılığı üzerine bir anket başvurusu.
3.2.2. Anlaşma (halka arz).
3.2.3. Sözleşmeye katılımın teyidi.
3.2.5. Müşteri tarafından sağlanan ve kişisel verileri içeren diğer belgelerin yanı sıra kimlik belgelerinin kopyaları.
3.2.6. Ödeme ve Müşterinin diğer ayrıntılarını içeren siparişler (mallar/hizmetler) için yapılan ödemelere ilişkin veriler.
4. Kişisel veri işlemenin amacı.
4.1. Kişisel verilerin işlenmesinin amacı, aşağıdakiler de dahil olmak üzere, hedefe ulaşmayı amaçlayan bir dizi eylemin uygulanmasıdır:
4.1.1. Danışmanlık ve bilgi hizmetlerinin sağlanması.
4.1.2. Kanunen yasaklanmayan diğer işlemler ve ayrıca yukarıdaki işlemlerin gerçekleştirilmesi için gerekli olan kişisel verilerle ilgili bir dizi eylem.
4.1.3. Rusya Federasyonu mevzuatının gerekliliklerine uymak için.
4.2. Kişisel verilerin işlenmesini sonlandırmanın koşulu, Kuruluşun tasfiyesinin yanı sıra Müşterinin ilgili şartıdır.
5. Kişisel verilerin toplanması, işlenmesi ve korunması.
5.1. Kişisel verileri elde etme (toplama) prosedürü:
5.1.1. Müşterinin tüm kişisel verileri, bu Yönetmeliğin 5.1.4 ve 5.1.6 paragraflarında belirtilen durumlar ve Rusya Federasyonu yasalarının öngördüğü diğer durumlar dışında, şahsen yazılı onayı ile alınmalıdır.
5.1.2. Müşterinin kişisel verilerinin kullanımına ilişkin rızası, Kuruluşta kağıt ve/veya elektronik ortamda saklanmaktadır.
5.1.3. Konunun kişisel verilerin işlenmesine ilişkin rızası, sözleşmenin tüm süresi boyunca ve ayrıca 5 yıl içinde Müşteri ile Kuruluş arasındaki sözleşme ilişkisinin sona erdiği tarihten itibaren. Belirtilen sürenin sona ermesinden sonra, geri çekilmesine ilişkin bilgi bulunmadığında, onayın sonraki her beş yıl için uzatıldığı kabul edilir.
5.1.4. Müşteri'nin kişisel verilerinin yalnızca üçüncü bir kişiden elde edilmesi mümkün ise, bu husus Müşteri'ye önceden bildirilmeli ve kendisinden yazılı onay alınmalıdır. Müşterinin kişisel verilerini sağlayan bir üçüncü kişinin, kişisel verilerin Kuruluşa aktarılması için ilgili kişinin rızasına sahip olması gerekir. Kuruluş, Müşteri'nin kişisel verilerini aktaran üçüncü bir kişiden, kişisel verilerin onun onayı ile aktarıldığına dair teyit almakla yükümlüdür. Kuruluş, üçüncü taraflarla etkileşimde bulunurken, Müşterilerin kişisel verileriyle ilgili bilgilerin gizliliği konusunda onlarla bir anlaşma yapmakla yükümlüdür.
5.1.5. Kuruluş, kişisel verilerin elde edilmesinin amaçları, iddia edilen kaynakları ve yöntemleri ile elde edilecek kişisel verilerin niteliği ve Müşterinin kişisel verileri almak için yazılı onay vermek üzere vermeyi reddetmesinin sonuçları hakkında Müşteriyi bilgilendirmekle yükümlüdür. onlara.
5.1.6. Müşterilerin kişisel verilerinin rızası olmadan işlenmesi aşağıdaki durumlarda gerçekleştirilir:
5.1.6.1. Kişisel veriler herkese açıktır.
5.1.6.2. Federal yasanın öngördüğü durumlarda yetkili devlet organlarının talebi üzerine.
5.1.6.3. Kişisel verilerin işlenmesi, amacını, kişisel verileri elde etme koşullarını ve kişisel verileri işlenmeye tabi olan kişilerin çemberini belirleyen ve ayrıca operatörün yetkisini belirleyen federal bir yasa temelinde gerçekleştirilir.
5.1.6.4. Kişisel verilerin işlenmesi, taraflardan biri olan kişisel verilerin konusu olan Müşteri olan bir sözleşmenin akdedilmesi ve yürütülmesi amacıyla gerçekleştirilir.
5.1.6.5. Kişisel verilerin işlenmesi, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak istatistiksel amaçlarla gerçekleştirilir.
5.1.6.6. Kanunla öngörülen diğer durumlarda.
5.1.7. Kuruluş, Müşteri'nin ırkı, uyruğu, siyasi görüşü, dini veya felsefi inançları, sağlık durumu, mahrem hayatı ile ilgili kişisel verilerini alma ve işleme hakkına sahip değildir.
5.2. Kişisel verileri işleme prosedürü:
5.2.1. Kişisel verilerin konusu, Kuruluşa kendisi hakkında güvenilir bilgiler sağlar.
5.2.2. Yalnızca Müşterinin kişisel verileriyle çalışmasına izin verilen ve Müşterinin kişisel verilerinin Gizlilik Sözleşmesini imzalamış olan Kuruluş çalışanları, Müşterilerin kişisel verilerinin işlenmesine erişebilir.
5.2.3. Aşağıdaki kişiler, Kuruluşta Müşterinin kişisel verilerine erişme hakkına sahiptir:
Organizasyonun Genel Müdürü;
Mali ödemelerden sorumlu çalışanlar (yönetici, muhasebeci).
Müşteri İlişkileri Departmanı çalışanları (satış departmanı başkanı, müdür).
BT çalışanları (teknik direktör, sistem yöneticisi).
Kişisel verilerin öznesi olarak müşteri.
5.2.3.1. Müşterilerin kişisel verilerine erişimi olan Kuruluş çalışanlarının isim listesi, Kuruluş Genel Müdürünün emriyle belirlenir.
5.2.4. Müşterinin kişisel verilerinin işlenmesi, yalnızca Yönetmelik tarafından belirlenen amaçlar ve Rusya Federasyonu'nun kanunlarına ve diğer düzenleyici yasal düzenlemelerine uygunluk için gerçekleştirilebilir.
5.2.5. İşlenen kişisel verilerin kapsamını ve içeriğini belirlerken, Kuruluşa Rusya Federasyonu Anayasası, kişisel veriler yasası ve diğer federal yasalar rehberlik eder.
5.3. Kişisel bilgilerin korunması:
5.3.1. Müşterinin kişisel verilerinin korunması, bunlara yetkisiz veya kazara erişimi, imhayı, değişikliği, engellemeyi, kopyalamayı, öznelerin kişisel verilerinin dağıtımını önlemeyi amaçlayan bir dizi önlem (organizasyonel, idari, teknik, yasal) olarak anlaşılmaktadır. diğer yasa dışı eylemler gibi.
5.3.2. Müşterinin kişisel verilerinin korunması, Rusya Federasyonu federal yasasının öngördüğü şekilde Organizasyon pahasına gerçekleştirilir.
5.3.3. Kuruluş, Müşterilerin kişisel verilerini korurken aşağıdakiler de dahil olmak üzere gerekli tüm organizasyonel, idari, yasal ve teknik önlemleri alır:
Antivirüs koruması.
Güvenlik analizi.
İzinsiz girişi tespit etme ve önleme.
Erişim kontrolü.
Kayıt ve muhasebe.
Bütünlüğün sağlanması.
Kişisel verilerin korunmasını düzenleyen düzenleyici ve metodolojik yerel kanunların düzenlenmesi.
5.3.4. Müşterilerin kişisel verilerinin korunmasına ilişkin genel organizasyon, Kuruluş Genel Müdürü tarafından yürütülür.
5.3.5. İş görevlerinin yerine getirilmesiyle bağlantılı olarak kişisel verilere ihtiyaç duyan Kuruluş çalışanları, Müşterinin kişisel verilerine erişebilir.
5.3.6. Müşterilerin kişisel verilerinin alınması, işlenmesi ve korunması ile ilgili tüm çalışanların, Müşterilerin kişisel verileri için bir gizlilik sözleşmesi imzalaması gerekmektedir.
5.3.7. Müşterinin kişisel verilerine erişim elde etme prosedürü şunları içerir:
Çalışanın imza karşılığında bu Yönetmeliğe aşina olması. Müşterinin kişisel verilerinin işlenmesini ve korunmasını düzenleyen başka düzenleyici işlemler (emirler, talimatlar, talimatlar vb.) varsa, bu işlemler de imzaya karşı incelenir.
Bir çalışandan (Genel Müdür hariç), Müşterilerin kişisel verilerinin gizliliğini korumak ve bunların sağlanmasına ilişkin hususları düzenleyen Kuruluşun dahili yerel kanunlarına uygun olarak işlenmesine ilişkin kurallara uymak için yazılı bir yükümlülük talep etmek. gizli bilgilerin güvenliği.
5.3.8. İşçilik görevlerinin yerine getirilmesiyle bağlantılı olarak Müşterilerin kişisel verilerine erişimi olan bir Kuruluş çalışanı:
Müşterinin kişisel verilerini içeren bilgilerin, üçüncü şahısların erişimi dışında saklanmasını sağlar.
Bir çalışanın yokluğunda, işyerinde Müşterilerin kişisel verilerini içeren herhangi bir belge bulunmamalıdır.
Tatile giderken, bir iş gezisi sırasında ve bir çalışanın işyerinde uzun süre bulunmadığı diğer durumlarda, Müşterilerin kişisel verilerini içeren belgeleri ve diğer ortamları, yerel bir kanunla bir kişiye aktarmakla yükümlüdür. Şirket (sipariş, düzen), işçi görevlerinin yerine getirilmesi ile emanet edilecektir.
Böyle bir kişinin atanmaması durumunda, Müşterilerin kişisel verilerini içeren belgeler ve diğer ortamlar, Kuruluş Genel Müdürünün talimatıyla Müşterilerin kişisel verilerine erişimi olan başka bir çalışana aktarılır.
Müşterilerin kişisel verilerine erişimi olan bir çalışanın işten çıkarılması üzerine, Müşterilerin kişisel verilerini içeren belgeler ve diğer ortamlar, Genel Müdürün talimatıyla Müşterilerin kişisel verilerine erişimi olan başka bir çalışana aktarılır. .
Verilen görevin yerine getirilmesi amacıyla ve Genel Müdürün olumlu kararı ile bir muhtıraya istinaden başka bir çalışanın Müşteri'nin kişisel verilerine erişimi sağlanabilir. Müşterinin kişisel verilerine, uygun şekilde resmi erişimi olmayan diğer Kuruluş çalışanlarının erişimi yasaktır.
5.3.9. İnsan Kaynakları Yöneticisi şunları sağlar:
Çalışanların bu Yönetmeliğe imza karşılığında alıştırılması.
Çalışanlardan, Müşterinin kişisel verilerinin gizliliğini korumak (Gizlilik Sözleşmesi) ve bunların işlenmesine ilişkin kurallara uymak için yazılı bir yükümlülük talep etmek.
Çalışanların, Müşterinin kişisel verilerini korumaya yönelik önlemlere uyumu üzerinde genel kontrol.
5.3.10. Kuruluşun elektronik veritabanlarında saklanan Müşterilerin kişisel verilerinin yetkisiz erişime, bilgilerin bozulmasına ve yok edilmesine ve ayrıca diğer yasa dışı eylemlere karşı korunması Sistem Yöneticisi tarafından sağlanmaktadır.
5.4. Kişisel verilerin saklanması:
5.4.1. Müşterilerin kağıt üzerindeki kişisel verileri kasalarda saklanmaktadır.
5.4.2. Müşterilerin kişisel verileri, Kuruluşun yerel bilgisayar ağında, elektronik klasörlerde ve dosyalarda elektronik olarak saklanır. kişisel bilgisayarlar Müşterilerin kişisel verilerini işlemeye yetkili Genel Müdür ve çalışanları.
5.4.3. Müşterilerin kişisel verilerini içeren belgeler, yetkisiz erişime karşı koruma sağlayan kilitlenebilir dolaplarda (kasalarda) saklanır. Çalışma gününün sonunda, Müşterilerin kişisel verilerini içeren tüm belgeler, yetkisiz erişime karşı koruma sağlayan dolaplara (kasalara) yerleştirilir.
5.4.4. Müşterilerin kişisel verilerini içeren elektronik veritabanlarına erişimin korunması şu şekilde sağlanır:
Kuruluşun yerel ağına yetkisiz erişime izin vermeyen lisanslı anti-virüs ve anti-hacker programlarının kullanılması.
Erişim haklarının farklılaştırılması hesap.
İki aşamalı bir parola sistemi: yerel bilgisayar ağı düzeyinde ve veritabanları düzeyinde. Parolalar, Kuruluşun Sistem Yöneticisi tarafından belirlenir ve Müşterilerin kişisel verilerine erişimi olan çalışanlara bireysel olarak iletilir.
5.4.4.1. İstemcilerin kişisel verilerini içeren PC'ye yetkisiz erişim, Sistem Yöneticisi tarafından belirlenen bir parola ile engellenir ve ifşaya tabi değildir.
5.4.4.2. Müşterilerin kişisel verilerini içeren tüm elektronik klasörler ve dosyalar, PC'den sorumlu Kuruluş çalışanı tarafından belirlenen ve Sistem Yöneticisine bildirilen bir parola ile korunur.
5.4.4.3. Şifreler Sistem Yöneticisi tarafından en az 3 ayda bir değiştirilir.
5.4.5. Müşterinin kişisel verilerinin kopyalanması ve çıkarılmasına, Kuruluş Genel Müdürünün yazılı izni ile yalnızca resmi amaçlarla izin verilir.
5.4.6. Müşterilerin kişisel verileriyle ilgili olarak diğer kurum ve kuruluşlardan gelen yazılı taleplere yanıtlar, kanunen aksi öngörülmedikçe, yalnızca Müşterinin kendisinin yazılı onayı ile verilmektedir. Yanıtlar, Kuruluşun antetli kağıdına yazılı olarak ve Müşterinin aşırı miktardaki kişisel verilerinin ifşa edilmemesine izin verdiği ölçüde verilir.
6. Kişisel verilerin engellenmesi, duyarsızlaştırılması, imha edilmesi
6.1. Kişisel verileri engelleme ve engellemeyi kaldırma prosedürü:
6.1.1. Müşterilerin kişisel verilerinin bloke edilmesi, Müşterinin yazılı başvurusu ile gerçekleştirilir.
6.1.2. Kişisel verilerin engellenmesi şu anlama gelir:
6.1.2.2. Kişisel verilerin her ne suretle olursa olsun (e-posta, hücresel, malzeme taşıyıcıları).
6.1.2.4. Müşteri ile ilgili ve kişisel verilerini içeren kağıt belgelerin Kuruluşun iç iş akışından geri çekilmesi ve bunların kullanımının yasaklanması.
6.1.3. Müşterinin kişisel verilerinin bloke edilmesi, Rusya Federasyonu mevzuatına uyulması gerektiği takdirde geçici olarak kaldırılabilir.
6.1.4. Müşterinin kişisel verilerinin blokesinin kaldırılması, onun yazılı onayı (onay alınması gerekiyorsa) veya Müşterinin başvurusu ile gerçekleştirilir.
6.1.5. Müşterinin kişisel verilerinin işlenmesine (gerekirse alınmasına) yönelik tekrarlanan rızası, kişisel verilerinin blokesinin kaldırılmasını gerektirir.
6.2. Kişisel verilerin duyarsızlaştırılması ve imha edilmesi prosedürü:
6.2.1. Müşteri'nin kişisel verilerinin kişiliksizleştirilmesi, tüm sözleşme ilişkilerinin tamamlanmış olması ve son sözleşmenin sona erme tarihinden itibaren en az 5 yıl geçmiş olması kaydıyla Müşteri'nin yazılı talebi üzerine gerçekleşir.
6.2.2. Kişisel verilerin kişiselleştirilmesi sırasında bilgi sistemi ah, kişisel verilerin belirli bir Müşteriye ait olup olmadığını belirlemenin imkansız olduğu bir dizi karakterle değiştirilir.
6.2.3. Kişisel verilerin kişiselleştirilmesi sırasında belgelerin kağıt taşıyıcıları imha edilir.
6.2.4. Kuruluş, geliştiricinin topraklarında bilgi sistemlerinin test edilmesi ve geliştiriciye aktarılan bilgi sistemlerinde kişisel verilerin kişiselleştirilmesinin gerekli olması halinde, kişisel verilerle ilgili gizliliği sağlamakla yükümlüdür.
6.2.5. Müşterinin kişisel verilerinin imhası, Müşterinin kişisel verilerine herhangi bir erişimin sonlandırılması anlamına gelir.
6.2.6. Müşteri'nin kişisel verileri yok edildiğinde, Kurum çalışanları bilgi sistemlerindeki konuya ilişkin kişisel verilere ulaşamaz.
6.2.7. Kişisel veriler imha edilirken, belgelerin kağıt taşıyıcıları imha edilir, bilgi sistemlerindeki kişisel veriler kişiselleştirilmez. Kişisel veriler kurtarılamaz.
6.2.8. Kişisel verilerin imha işlemi geri alınamaz.
6.2.9. Müşterinin kişisel verilerinin imha işleminin mümkün olduğu süre, bu Yönetmeliğin 7.3. paragrafında belirtilen sürenin sonuna kadar belirlenir.
7. Kişisel verilerin aktarılması ve saklanması
7.1. Kişisel verilerin aktarımı:
7.1.1. Konunun kişisel verilerinin aktarımı, bilgilerin iletişim kanalları ve maddi ortamlar aracılığıyla yayılması olarak anlaşılmaktadır.
7.1.2. Kuruluş çalışanları, kişisel verileri aktarırken aşağıdaki gerekliliklere uymak zorundadır:
7.1.2.1. Müşterinin kişisel verilerini ticari amaçlarla ifşa etmeyin.
7.1.2.2. Rusya Federasyonu federal yasası tarafından aksi belirtilmedikçe, Müşterinin kişisel verilerini Müşterinin yazılı izni olmadan üçüncü bir tarafa ifşa etmeyin.
7.1.2.3. Müşterinin kişisel verilerini alan kişileri, bu verilerin yalnızca rapor edildikleri amaçlar için kullanılabileceği konusunda uyarın ve bu kişilerden bu kurala uyulduğunu doğrulamalarını isteyin;
7.1.2.4. Müşterilerin kişisel verilerine yalnızca özel olarak yetkilendirilmiş kişilerin erişmesine izin verilirken, bu kişilerin yalnızca belirli işlevleri yerine getirmek için gerekli olan Müşterilerin kişisel verilerini alma hakları olmalıdır.
7.1.2.5. Müşteri'nin kişisel verilerini, bu Yönetmelik'e, düzenleyici ve teknolojik belgelere ve görev tanımlarına uygun olarak Kuruluş içinde aktarın.
7.1.2.6. Müşteriyle iletişime geçtiğinde veya Müşteriden bir talep aldığında Müşteriye kişisel verilerine erişim sağlayın. Kuruluş, Müşteriye kendisi hakkında kişisel verilerin mevcudiyeti hakkında bilgi vermekle ve ayrıca talep tarihinden itibaren on iş günü içinde bunları tanıma fırsatı sağlamakla yükümlüdür.
7.1.2.7. Müşterinin kişisel verilerini kanun ve düzenleyici ve teknolojik belgelerde öngörülen şekilde Müşterinin temsilcilerine aktarın ve bu bilgileri yalnızca belirtilen temsilcilerin işlevlerini yerine getirmesi için gerekli olan kişisel verilerle sınırlandırın.
7.2. Kişisel verilerin saklanması ve kullanımı:
7.2.1. Kişisel verilerin saklanması, bilgi sistemlerinde ve fiziki ortamlarda kayıtların bulunmasını ifade eder.
7.2.2. Müşterilerin kişisel verileri, Kuruluşta kağıt üzerinde olduğu gibi bilgi sistemlerinde de işlenmekte ve saklanmaktadır. Müşterilerin kişisel verileri ayrıca elektronik biçimde de saklanır: Kuruluşun yerel bilgisayar ağında, Genel Müdürün PC'sindeki elektronik klasörlerde ve dosyalarda ve Müşterilerin kişisel verilerini işlemeye yetkili çalışanlar.
7.2.3. Müşterinin kişisel verilerinin saklanması, Rusya Federasyonu federal yasaları tarafından aksi belirtilmedikçe, işleme amaçlarının gerektirdiğinden daha uzun süre yürütülemez.
7.3. Kişisel verilerin saklanma koşulları:
7.3.1. Müşterilerin kişisel verilerini içeren medeni hukuk sözleşmelerinin ve bunların imzalanmasına, yürütülmesine eşlik eden belgelerin saklama koşulları - sözleşmelerin sona erme tarihinden itibaren 5 yıl.
7.3.2. Saklama süresi boyunca, kişisel veriler kişiselleştirilemez veya imha edilemez.
7.3.3. Saklama süresinin sona ermesinden sonra kişisel veriler, Yönetmeliklerde ve Rusya Federasyonu'nun yürürlükteki mevzuatında öngörülen şekilde bilgi sistemlerinde kişiselleştirilebilir ve kağıt üzerinde imha edilebilir. (Kişisel Verilerin İmhasına İlişkin Ek Kanun)
8. Kişisel veri operatörünün hakları
Kuruluşun hakkı vardır:
8.1. Çıkarlarınızı mahkemede savunun.
8.2. Yürürlükteki yasalarca (vergi, kolluk kuvvetleri vb.) öngörülüyorsa, Müşterilerin kişisel verilerini üçüncü taraflara sağlayın.
8.3. Yasaların öngördüğü durumlarda kişisel verileri vermeyi reddetmek.
8.4. Rusya Federasyonu mevzuatının öngördüğü durumlarda, Müşterinin kişisel verilerini rızası olmadan kullanın.
9. Müşterinin Hakları
Müşteri şu haklara sahiptir:
9.1. Kişisel verilerinin açıklığa kavuşturulmasını, kişisel verilerin eksik, güncelliğini yitirmiş, güvenilmez, hukuka aykırı olarak elde edilmiş veya belirtilen işleme amacı için gerekli olmaması halinde engellenmesini veya imha edilmesini isteme ve ayrıca haklarını korumak için yasal önlemler alma;
9.2. Kuruluşta mevcut olan işlenmiş kişisel verilerin bir listesini ve bunların alındığı kaynağı talep edin.
9.3. Saklama koşulları da dahil olmak üzere kişisel verilerin işlenme koşulları hakkında bilgi alın.
9.4. Daha önce yanlış veya eksik kişisel veriler hakkında bilgilendirilen tüm kişilere, kendilerine yapılan tüm istisnaların, düzeltmelerin veya eklemelerin bildirilmesini zorunlu kılın.
9.5. Kişisel veri sahiplerinin haklarının korunması için yetkili merciye veya kişisel verilerinin işlenmesinde yasa dışı eylemlere veya ihmallere karşı mahkemeye başvurma.
10. Kişisel verilerin işlenmesi ve korunmasına ilişkin kuralların ihlali sorumluluğu
10.1. Kişisel verilerin alınması, işlenmesi ve korunmasına ilişkin kuralları ihlal etmekten suçlu olan Kuruluş çalışanları, Rusya Federasyonu'nun yürürlükteki mevzuatına ve Kuruluşun iç yerel düzenlemelerine uygun olarak disiplin, idari, hukuki veya cezai sorumluluk taşır.
1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN TEORİK ESASLARI
1.1 Rusya Federasyonu'nda kişisel verilerin korunmasına yönelik yasal çerçeve
1.3.1 Genel özellikleri kişisel verilerin bilgi sistemine yetkisiz erişim tehdidi kaynakları.
1.3.2 Kişisel veri bilgi sisteminin işletim ortamına doğrudan erişim tehditlerinin genel özellikleri
1.3.3 Ağlar arası iletişim protokolleri kullanılarak uygulanan kişisel veri güvenliği tehditlerinin genel özellikleri
1.4 Bankanın özellikleri ve faaliyetleri
1.5 Kişisel veri tabanları
1.5.1 Kuruluş çalışanlarının kişisel verilerinin bilgi sistemi
1.5.2 Erişim kontrol ve yönetim sisteminin kişisel veri bilgi sistemi
1.5.3 Otomatik bankacılık sisteminin kişisel veri bilgi sistemi
1.6 Cihaz ve yerel tehditler bilgisayar ağı Kavanoz
1.7 Bilgi güvenliği araçları
2.2 Yazılım ve donanım korumaları
2.3 Temel güvenlik politikası
2.3.1 Çalışanlar için bilgi güvenliği farkındalık sistemi
2.3.4 Çalışanlar e-posta ile nasıl çalışır?
2.3.5 Bankanın şifre politikası
3. PROJENİN EKONOMİK GEREKÇESİ
ÇÖZÜM
Uygulamalar.
GİRİİŞ
20. yüzyılın sonunda başlayan yaygın bilgisayarlaşma günümüze kadar devam ediyor. İşletmelerdeki süreçlerin otomasyonu, çalışanların üretkenliğini artırır. Bilgi sistemleri kullanıcıları, görevlerini yerine getirmek için gerekli verileri hızlı bir şekilde elde edebilirler. Aynı zamanda verilere erişimi kolaylaştırmakla birlikte bu verilerin güvenliği ile ilgili sorunlar yaşanmaktadır. Çeşitli bilgi sistemlerine erişim sahibi olan saldırganlar, bunları kişisel kazanç için kullanabilir: karaborsada satmak için veri toplamak, çalmak Para kuruluşun müşterilerinden, kuruluşun ticari sırlarını çalmak.
Bu nedenle, koruma sorunu kritiktir önemli bilgi kuruluşlar için çok keskindir. Finans kuruluşlarının bilgi sistemlerini hackleyerek para çalmanın çeşitli teknikleri veya yöntemleri medyadan giderek daha fazla öğreniliyor. Kişisel verilerin bilgi sistemlerine erişim sağlayan bir saldırgan, finansal kuruluşların müşterilerinin verilerini çalabilir, finansal işlemleriyle ilgili bilgileri yayabilir ve bir banka müşterisine hem finansal hem de itibar açısından zarar verebilir. Ayrıca, müşteriyle ilgili verileri öğrenen dolandırıcılar, banka çalışanı kılığına girerek ve dolandırıcılık yaparak, sosyal mühendislik tekniklerini kullanarak müşteriyi doğrudan arayabilir, uzak bankacılık sistemlerinden şifreleri bulabilir ve müşterinin hesabından para çekebilir.
Ülkemizde hırsızlık ve kişisel verilerin yasa dışı dağıtımı sorunu çok şiddetlidir. İnternette, çalınan kişisel veri tabanlarını içeren çok sayıda kaynak vardır ve bunların yardımıyla, örneğin sayıya göre cep telefonu, çok bulunabilir detaylı bilgi pasaport bilgileri, ikamet adresleri, fotoğrafları ve çok daha fazlası dahil olmak üzere kişi tarafından.
Bu bitirme projesinde, PJSC Citibank'ta bir kişisel veri koruma sistemi oluşturma sürecini araştırıyorum.
1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN ESASLARI
1.1 Kişisel verilerin korunmasına ilişkin yasal dayanak
Bugün Rusya'da, kişisel verilerin güvenliğini sağlama alanında devlet düzenlemesi yapılmaktadır. Rusya Federasyonu'ndaki kişisel verilerin korunması sistemini düzenleyen ana yasal düzenlemeler, Rusya Federasyonu Anayasası ve 27 Temmuz 2006 tarih ve 152-FZ sayılı “Kişisel Veriler Hakkında” Federal Kanunu'dur. Bu iki ana yasal düzenleme, Rusya Federasyonu'ndaki kişisel verilerle ilgili ana tezleri oluşturmaktadır:
Her vatandaşın mahremiyet, kişisel ve aile sırları, onurunun ve iyi isminin korunması hakkı vardır;
Herkesin yazışma, telefon görüşmeleri, posta, telgraf ve diğer iletişimin gizliliği hakkı vardır. Bu hakkın kısıtlanmasına yalnızca mahkeme kararı temelinde izin verilir;
Kişinin özel hayatına ilişkin bilgilerin, rızası olmaksızın toplanması, saklanması, kullanılması ve yayılması yasaktır;
Kişisel verilerin işlenmesi hukuka uygun ve adil bir şekilde yapılmalıdır;
Kişisel verilerin işlenmesi, belirli, önceden belirlenmiş ve meşru amaçların gerçekleştirilmesi ile sınırlı olmalıdır. Kişisel veri toplama amaçlarıyla bağdaşmayan kişisel verilerin işlenmesine izin verilmez.
Birbiriyle bağdaşmayan amaçlarla işlenen kişisel verileri içeren veritabanlarının birleştirilmesine izin verilmez.
Yalnızca işlenme amaçlarını karşılayan kişisel veriler işlenir.
Kişisel veriler işlenirken, kişisel verilerin doğruluğu, yeterliliği ve gerektiğinde kişisel verilerin işlenme amaçlarıyla ilgili olması sağlanmalıdır. İşletmeci, eksik veya yanlış verilerin çıkarılması veya açıklığa kavuşturulması için gerekli önlemleri almalı veya alınmasını sağlamalıdır.
Kişisel verilerin saklanması, kişisel verilerin işlenmesi amaçlarının gerektirdiğinden daha uzun olmamak kaydıyla, kişisel verilerin konusunun belirlenmesine izin veren bir biçimde gerçekleştirilmelidir. kişisel verilerin konusu bir taraf, lehdar veya kefildir. İşlenen kişisel veriler, federal yasa tarafından aksi belirtilmedikçe, işleme amaçlarına ulaşıldığında veya bu hedeflere ulaşma ihtiyacının ortadan kalkması durumunda imhaya veya duyarsızlaştırmaya tabidir.
Kuruluşlarda kişisel verilerin korunması alanında hukuki etki yaratan diğer düzenlemeler bankacılık Rusya Federasyonu şunlardır:
27 Temmuz 2006 tarihli ve 149 FZ sayılı Rusya Federasyonu Federal Kanunu “Bilgi, Bilgi Teknolojileri ve Bilgi Koruma”;
Rusya Federasyonu İş Kanunu (Bölüm 14);
Rusya Federasyonu Hükümeti'nin 1 Kasım 2012 tarihli ve 1119 sayılı Kararı “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereksinimlerin onaylanması hakkında”;
Emir Rusya'nın FSTEC'i 18 Şubat 2013 tarihli No. 21 “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için organizasyonel ve teknik önlemlerin Bileşimi ve içeriğinin onaylanması üzerine”.
Mevzuatta kullanılan ana tanımları göz önünde bulundurun.
Kişisel veriler - doğrudan veya dolaylı olarak tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili herhangi bir bilgi (kişisel verilerin konusu).
Kişisel veri operatörü - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenme amaçlarını, kişisel verilerin bileşimini belirleyen diğer kişilerle bağımsız veya ortaklaşa bir devlet kurumu, belediye organı, tüzel kişi veya birey işlenecek veriler, kişisel verilerle gerçekleştirilen işlemler (işlemler);
Kişisel verilerin işlenmesi - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma dahil olmak üzere kişisel verilerle otomasyon araçları kullanılarak veya kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem) , kişisel verilerin kullanımı, aktarımı (dağıtımı, sağlanması, erişimi), duyarsızlaştırılması, engellenmesi, silinmesi, imha edilmesi;
Kişisel verilerin otomatik işlenmesi - kişisel verilerin bilgisayar teknolojisi kullanılarak işlenmesi;
Kişisel verilerin yayılması - kişisel verilerin belirsiz bir insan grubuna ifşa edilmesini amaçlayan eylemler;
Kişisel verilerin sağlanması - kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;
Kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak askıya alınması (kişisel verilerin açıklığa kavuşturulması için işlem gerekli olmadıkça);
Kişisel verilerin imhası - kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve (veya) kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;
Kişisel verilerin duyarsızlaştırılması - bunun sonucunda, ek bilgi kullanılmadan, kişisel verilerin belirli bir kişisel veri konusu tarafından sahipliğini belirlemenin imkansız hale geldiği eylemler;
Kişisel verilerin bilgi sistemi - işlenmesini sağlayan veritabanlarında ve bilgi teknolojilerinde bulunan bir dizi kişisel veri ve teknik araçlar;
Kişisel verilerin sınır ötesi aktarımı - kişisel verilerin yabancı bir devletin topraklarına yabancı bir devletin yetkili makamına, yabancı bir kişiye veya yabancı bir kişiye aktarılması tüzel kişilik.
Biyometrik kişisel veriler - bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden, kimliğini belirlemenin mümkün olduğu (biyometrik kişisel veriler) ve operatör tarafından kişisel verilerin konusunu belirlemek için kullanılan bilgiler.
Kişisel verilerin güvenliği - kullanıcıların, teknik araçların ve bilgi teknolojilerinin, kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlama yeteneği ile karakterize edilen kişisel verilerin korunma durumu
1.2 Kişisel verilerin bilgi güvenliğine yönelik tehditlerin sınıflandırılması.
Bir bilgi güvenliği tehdidi, bilgi güvenliği özelliklerinin - bir kuruluşun bilgi varlıklarının kullanılabilirliği, bütünlüğü veya gizliliği - ihlali tehdidi olarak anlaşılır.
Tehditlerin listesi, uygulanma olasılıklarının değerlendirilmesi ve davetsiz misafir modeli, tehdit riskini analiz etmek ve otomatik sistem koruma sistemi için gereksinimleri formüle etmek için temel oluşturur. Muhtemel tehditleri belirlemenin yanı sıra, tespit edilen tehditleri bir takım özelliklere göre sınıflandırmalarına göre analiz etmek gerekir. Her bir sınıflandırma özelliğine karşılık gelen tehditler, bu özelliğin yansıttığı gereksinimi iyileştirmenize olanak tanır.
Modern AS'de depolanan ve işlenen bilgiler çok sayıda faktöre maruz kaldığından, tüm tehdit setini açıklama görevini resmileştirmek imkansız hale gelir. Bu nedenle, korunan bir sistem için genellikle bir tehdit listesi değil, tehdit sınıfları listesi belirlenir.
AS'nin bilgi güvenliğine yönelik olası tehditlerin sınıflandırılması aşağıdaki temel özelliklere göre yapılabilir:
Olayın doğası gereği:
Nesnel fiziksel süreçlerin veya doğal afetlerin nükleer santral üzerindeki etkisinin neden olduğu doğal tehditler;
NGS güvenliğine yönelik insan faaliyetlerinden kaynaklanan yapay tehditler.
Tezahürün kasıtlılık derecesine göre:
Koruyucu ekipmanın kötüye kullanılması, verilerin işlenmesinde ihmalkarlık gibi insan hatası veya ihmalinden kaynaklanan tehditler;
Otomatikleştirilmiş bir sistemin davetsiz misafirler tarafından hacklenmesi, işverene misilleme yapmak için kuruluş çalışanları tarafından verilerin imha edilmesi gibi kasıtlı eylem tehditleri.
Acil tehdit kaynağına göre:
Doğal afetler, insan kaynaklı felaketler gibi doğal tehlikeler;
İnsan tehditleri, örneğin: bilgilerin yok edilmesi, gizli verilerin ifşası;
Fiziksel donanım arızası, yazılım hataları, yazılım çakışmaları gibi izin verilen üretici yazılımı;
Yetkisiz yazılım ve donanım, örneğin, donanım hataları, yazılım hataları.
Tehdit kaynağının konumuna göre:
Kontrol edilen alanın dışında, örneğin, iletişim kanalları üzerinden iletilen verilerin kesilmesi;
O kontrollü alan içinde, örneğin, bilgilerin yetkisiz kopyalanması, korunan alana yetkisiz erişim;
Doğrudan otomatik bir sistemde, örneğin AS kaynaklarının yanlış kullanımı.
AS aktivitesine bağımlılık derecesine göre:
AU'nun faaliyetinden bağımsız olarak, örneğin, depolama ortamının fiziksel olarak çalınması;
Yalnızca kötü amaçlı yazılım bulaşması gibi veri işleme sırasında.
AC üzerindeki etki derecesine göre:
Gerçekleştirildiğinde AS'nin yapısında ve içeriğinde herhangi bir değişiklik yapmayan tehlikeli tehditler, örneğin gizli verilerin kopyalanması tehdidi;
Ortaya çıktıklarında AS'nin yapısında ve içeriğinde değişiklikler yapan, örneğin verilerin silinmesi, değiştirilmesi gibi aktif tehditler.
Kullanıcıların veya programların kaynaklara erişim aşamalarına göre:
AS kaynaklarına erişim aşamasında kendini gösteren tehditler, örneğin: AS'ye yetkisiz erişim tehditleri;
AS kaynaklarına erişime izin verildikten sonra ortaya çıkan tehditler, örneğin AS kaynaklarının yanlış kullanımı.
AS kaynaklarına erişim yoluyla:
AS kaynaklarına standart erişim yolu kullanılarak gerçekleştirilen tehditler
AS kaynaklarına erişmek için standart olmayan gizli bir yol kullanılarak gerçekleştirilen tehditler, örneğin: kullanarak AS kaynaklarına yetkisiz erişim belgelenmemiş özellikler yüklü yazılım.
AS'de saklanan ve işlenen bilgilerin mevcut konumuna göre:
Harici depolama aygıtlarında bulunan bilgilere erişim tehditleri, örneğin: gizli bilgilerin depolama ortamından kopyalanması;
Bulunan bilgilere erişim tehditleri rasgele erişim belleği, örneğin: RAM'den kalan bilgileri okumak, uygulama programlarıyla RAM'in sistem alanına erişim;
İletişim hatlarında dolaşan bilgilere erişim tehditleri, örneğin: bilgileri kaldırmak için iletişim hatlarına yasa dışı bağlantı, değiştirilmiş verilerin gönderilmesi;
Otomatik bir sistem üzerindeki tehlikeli etkiler kazara ve kasıtlı olarak ayrılır.
NGS işletimi sırasında kazara meydana gelen darbelerin nedenleri şunlar olabilir:
Doğal afetler ve elektrik kesintilerinden kaynaklanan acil durumlar;
Hizmet reddi;
Yazılım hataları;
Servis personeli ve kullanıcıların çalışmalarındaki hatalar;
Çevresel etkiler nedeniyle iletişim hatlarında parazit.
Yazılımlarda hata kullanımı, bilgi sistemlerinin bilgi güvenliğini ihlal etmenin en yaygın yoludur. Yazılımın karmaşıklığına bağlı olarak hata sayısı artar. Saldırganlar bu güvenlik açıklarını bulabilir ve bunlar aracılığıyla kuruluşun bilgi sistemine erişim sağlayabilir. Bu tehditleri en aza indirmek için yazılım sürümlerini her zaman güncel tutmak gerekir.
Kasıtlı tehditler davetsiz misafirlerin hedefli eylemleriyle ilişkilendirilir. Saldırganlar, iç saldırgan ve dış saldırgan olarak ikiye ayrılır. Dahili bir davetsiz misafir, otomatik sistemin kontrollü bölgesi içindeyken yasa dışı eylemlerde bulunur ve otomatik sisteme yetkili erişim için resmi yetkiyi kullanabilir. Harici bir saldırganın kontrollü bölgeye erişimi yoktur, ancak hedeflerine ulaşmak için dahili bir saldırganla aynı anda hareket edebilir.
Doğrudan korunan bilgilere yönelik üç ana bilgi güvenliği tehdidi vardır:
Gizliliğin ihlali - gizli bilgiler değiştirilmez, ancak bu bilgilere erişmesine izin verilmeyen üçüncü şahıslar tarafından kullanılabilir hale gelir. Bu tehdit gerçekleştiğinde, saldırganın çalınan bilgileri ifşa etme olasılığı yüksektir ve bu da finansal veya itibar kaybına neden olabilir. Korunan bilgilerin bütünlüğünün ihlali - bilgilerin bozulması, değiştirilmesi veya imha edilmesi. Bilgilerin bütünlüğü kasıtlı olarak değil, bir işletme çalışanının beceriksizliği veya ihmali sonucunda ihlal edilebilir. Dürüstlük, bir saldırgan tarafından kendi hedeflerine ulaşmak için de ihlal edilebilir. Örneğin, bir saldırganın hesabına para transfer etmek için otomatik bir bankacılık sisteminde hesap ayrıntılarının değiştirilmesi veya müşterinin kuruluşla işbirliği hakkında bilgi edinmek için bir kuruluşun müşterisinin kişisel verilerinin değiştirilmesi.
Korunan bilgilerin mevcudiyetinin ihlali veya hizmet reddi - yetkili bir kullanıcının aşağıdaki gibi nedenlerle korunan bilgilere erişemediği eylemler: donanım, yazılım arızası, yerel alan ağı arızası.
Otomatik sistemlerin tehditlerini değerlendirdikten sonra, kişisel veri bilgi sistemine yönelik tehditlerin analizine geçebilirsiniz.
Kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde ve bunların işlenmesini sağlayan teknik araçlarda bulunan bir dizi kişisel veri.
Kişisel veri bilgi sistemleri, kişisel verilerin işlenmesinde kullanılan bilgi teknolojilerinin yanı sıra bir dizi bilgi ve yazılım ve donanım unsurudur.
ISPD'nin ana unsurları şunlardır:
Veritabanlarında yer alan kişisel veriler;
PD'nin işlenmesinde kullanılan bilgi teknolojileri;
Teknik, kişisel verilerin işlenmesi anlamına gelir (bilgisayar ekipmanı, bilgi ve bilgisayar sistemleri ve ağları, kişisel verileri iletmek, almak ve işlemek için araçlar ve sistemler, ses kaydı, ses yükseltme, ses çoğaltma, üretim araçları, belgeleri kopyalama ve diğer araçlar ve sistemler) teknik, konuşma, grafik, video ve alfasayısal bilgilerin işlenmesi anlamına gelir);
Yazılım(işletim sistemleri, veritabanı yönetim sistemleri vb.);
Bilgi koruma araçları ISPDn;
Yardımcı teknik araçlar ve sistemler - kişisel verilerin işlenmesine yönelik olmayan, ancak ISPD'nin bulunduğu tesislerde bulunan teknik araçlar ve sistemler, bunların iletişimleri.
Kişisel verilerin güvenliğine yönelik tehditler - kişisel verilerin imhasına, değiştirilmesine, engellenmesine, kopyalanmasına, dağıtılmasına ve bilgi kişisel veri sisteminde işlenmesi sırasında diğer yetkisiz eylemler.
UBPD'nin ortaya çıkmasına neden olan kişisel veri bilgi sisteminin özellikleri, kişisel verilerin bilgi sisteminde işlenen kişisel verilerin kategorisi ve hacmi, kişisel veri bilgi sisteminin yapısı, kamuya açık iletişim ağlarına ISPD bağlantılarının varlığı ve (veya) uluslararası bilgi değişim ağları, ISPD'de işlenen kişisel verilerin alt sistem güvenliğinin özellikleri, kişisel verilerin işlenme modları, ISPD kullanıcılarının erişim haklarının farklılaşma modları, ISPD teknik araçlarının yerleştirilmesi için yer ve koşullar.
Korunan bilgileri içeren bilgilendirici sinyallerin yayılma ortamının özellikleri, PD'nin dağıtıldığı fiziksel ortamın türü ile karakterize edilir ve UBPD'yi uygulama olasılığını değerlendirirken belirlenir. UBPD kaynaklarının yetenekleri, PD'nin gizliliğinin (kopyalama, yasa dışı dağıtım), bütünlüğünün (imha, değiştirme) ve kullanılabilirliğinin (engellenmesi) bir sonucu olarak, PD'ye yetkisiz ve (veya) kazara erişim yöntemlerinin bir kombinasyonu ile belirlenir. ihlal edilmek
Kişisel verilerin güvenliğine yönelik tehdit, tehdidin kaynağı ile PD'nin taşıyıcısı (kaynağı) arasında UBPD'nin uygulanması için bir kanalın oluşturulması sonucunda gerçekleşir ve bu da PD'nin güvenliğini ihlal etmek için koşullar yaratır. PD.
UBPD uygulama kanalının ana unsurları (Şekil 1):
UBPD'nin kaynağı - UBPD'yi oluşturan bir konu, maddi nesne veya fiziksel fenomen;
Fiziksel bir alan, sinyal, veri veya programların yayılabileceği ve kişisel verilerin korunan özelliklerini etkileyebileceği PD dağıtım ortamı veya etkileri;
Kişisel veri taşıyıcısı - PD'nin semboller, resimler, sinyaller, teknik çözümler ve süreçler, fiziksel niceliklerin nicel özellikleri şeklinde yansıtıldığı fiziksel bir alan dahil olmak üzere bir birey veya maddi bir nesne.
Şekil 1. Kişisel verilerin güvenliğine yönelik tehditlerin uygulanması için kanalın genelleştirilmiş şeması
PD taşıyıcıları, aşağıdaki formlarda sunulan bilgileri içerebilir:
ISPD kullanıcısının işlevi yerine getirdiği sırada doğrudan konuşmasında bulunan akustik (konuşma) bilgisi ses girişi Kişisel veri bilgi sistemindeki PD veya ISPD akustik araçlarıyla çoğaltılan (bu tür işlevler PD işleme teknolojisi tarafından sağlanıyorsa) ve ayrıca akustik bilgilerin dönüştürülmesi nedeniyle ortaya çıkan elektromanyetik alanlar ve elektrik sinyallerinde yer alan;
Metin ve resimler şeklinde sunulan bilgileri görüntüleyin (VI) çeşitli cihazlar bilgisayar ekipmanı, bilgi ve bilgisayar sistemlerinden gelen bilgilerin görüntülenmesi, ISPD'nin parçası olan grafik, video ve alfanümerik bilgilerin işlenmesi için teknik araçlar;
ISPD'de elektriksel, elektromanyetik, optik sinyaller şeklinde işlenen (dolaşan) bilgiler;
ISPD'de işlenen, bitler, baytlar, dosyalar ve diğer mantıksal yapılar biçiminde sunulan bilgiler.
ISPD'lerde işlenirken UBPD'lerin sistematik bir listesini oluşturmak ve belirli bir ISPD türüyle ilgili olarak özel modellerin geliştirilmesi için tehditler aşağıdaki özelliklere göre sınıflandırılır (Şekil 2):
UBPD'den korunan, PD içeren bilgilerin türüne göre;
UBPD'nin olası kaynaklarının türüne göre;
UBPD uygulamasının yönlendirildiği ISPD türüne göre;
UBPD'nin uygulama yöntemine göre;
İhlal edilen bilgi özelliğinin türüne göre (PD ile gerçekleştirilen yetkisiz eylemlerin türü);
İstismar edilen güvenlik açığı ile;
Etki nesnesine göre.
Olası UBPD kaynaklarının türlerine göre, aşağıdakiler ayırt edilir:
Tehdit sınıfları:
Kişisel veri bilgi sistemi kullanıcıları da dahil olmak üzere ISPD'ye erişimi olan kişilerin kasıtlı veya kasıtsız eylemleriyle ilişkili tehditler, tehditleri doğrudan ISPD'de uygulama (dahili ihlalci);
ISPD'ye erişimi olmayan kişilerin kasıtlı veya kasıtsız eylemleriyle ilişkili tehditler; harici ağlar kamu iletişimleri ve (veya) uluslararası bilgi alışverişi ağları (dış davetsiz misafir).
Ek olarak, donanım hatalarının ve kötü amaçlı yazılımların ortaya çıkmasından kaynaklanan tehditler ortaya çıkabilir.
UBPD'nin uygulanmasının amaçlandığı ISPD türüne göre, aşağıdaki tehdit sınıfları ayırt edilir:
ISPD'de özerk bir iş istasyonu (AWP) temelinde işlenen UBPD;
ISPD'de ortak ağa (uluslararası bilgi alışverişi ağına) bağlı otomatik bir işyeri temelinde işlenen UBPD;
UBPD, ISPD'de genel ağa (uluslararası bilgi alışverişi ağına) bağlantısı olmadan yerel bilgi sistemleri temelinde işlenir;
UBPD, ISPD'de ortak ağa (uluslararası bilgi alışverişi ağına) bağlantılı yerel bilgi sistemlerine dayalı olarak işlenir;
ISPD'de ortak ağa (uluslararası bilgi alışverişi ağına) bağlantısı olmayan dağıtılmış bilgi sistemleri temelinde işlenen UBPD;
UBPD, bir genel ağa (bir uluslararası bilgi alışverişi ağına) bağlı dağıtılmış bilgi sistemlerine dayalı olarak ISPD'de işlenir.
Aşağıdaki tehdit sınıfları, UBPD uygulama yöntemlerine göre ayırt edilir:
UA'dan PD'ye yönelik tehditler (kötü amaçlı yazılım bulaştırma tehditleri dahil);
Teknik bilgi sızıntısı kanalları yoluyla kişisel verilerin sızması tehditleri;
ISPD üzerindeki özel etkilerin tehditleri.
PD ile gerçekleştirilen yetkisiz eylemlerin türüne göre, aşağıdaki tehdit sınıfları ayırt edilir:
Uygulaması bilgilerin içeriğini doğrudan etkilemeyen, PD'nin gizliliğinin ihlaline (kopyalama veya yetkisiz dağıtım) yol açan tehditler;
PD'nin değiştirilmesinin veya yok edilmesinin bir sonucu olarak, bilgilerin içeriği üzerinde kazara da dahil olmak üzere yetkisiz etkiye yol açan tehditler;
ISPD'nin yazılım veya donanım-yazılım öğeleri üzerinde kazara da dahil olmak üzere yetkisiz etkiye yol açan ve bunun sonucunda PD'nin engellendiği tehditler.
Aşağıdaki tehdit sınıfları, istismar edilen güvenlik açığı ile ayırt edilir:
Sistem yazılımı güvenlik açıkları kullanılarak uygulanan tehditler;
Uygulama yazılımı güvenlik açıkları kullanılarak uygulanan tehditler;
AS'de bir donanım sekmesinin bulunmasından kaynaklanan bir güvenlik açığının kullanılmasından kaynaklanan tehditler;
Ağ iletişim protokollerindeki ve veri iletim kanallarındaki güvenlik açıkları kullanılarak uygulanan tehditler;
NSD'den VBI organizasyonundaki eksikliklerden kaynaklanan bir güvenlik açığının kullanılmasından kaynaklanan tehditler;
Bilgi sızıntısı için teknik kanalların varlığına neden olan güvenlik açıkları kullanılarak uygulanan tehditler;
Bilgi güvenliği açıkları kullanılarak uygulanan tehditler.
Etki nesnesine göre, aşağıdaki tehdit sınıfları ayırt edilir:
İş istasyonunda işlenen PD'nin güvenliğine yönelik tehditler;
Özel işleme araçlarında (yazıcılar, çiziciler, çiziciler, uzak monitörler, video projektörleri, ses çoğaltma araçları vb.) işlenen PD'nin güvenliğine yönelik tehditler;
İletişim ağları üzerinden iletilen PD'nin güvenliğine yönelik tehditler;
PD işleyen uygulama programlarına yönelik tehditler;
ISPD'nin çalışmasını sağlayan sistem yazılımına yönelik tehditler.
Listelenen sınıfların UBPD'lerinden birinin veya bunların kombinasyonunun uygulanması, PD konuları için aşağıdaki sonuçlara yol açabilir:
PD denekleri için önemli olumsuz sonuçlar;
PD denekleri için olumsuz sonuçlar;
PD denekleri için önemsiz olumsuz sonuçlar.
Kişisel verilerin teknik kanallar aracılığıyla sızma tehditleri, bilgi kaynağının, dağıtım ortamının ve bilgi sinyalinin alıcısının özellikleri ile açık bir şekilde tanımlanır, yani özellikler tarafından belirlenir. teknik kanal PD sızıntıları.
Yetkisiz erişim tehditleri (UAH), UA tehditlerinin, yazılım ve yazılım güvenlik açıklarının olası kaynaklarının bir dizi genelleştirilmiş sınıfı olarak sunulur. donanım ISPD, tehdit uygulama yolları, etki nesneleri (korumalı bilgi taşıyıcıları, dizinler, dizinler, PD veya PD'li dosyalar) ve olası yıkıcı eylemler. Böyle bir temsil, aşağıdaki resmileştirilmiş notasyonla açıklanmaktadır (Şekil 2).
1.3 Kişisel veri bilgi sistemlerindeki tehdit kaynaklarının genel özellikleri
Yazılım ve yazılım ve donanım kullanımıyla ISPD'de UA'ya yönelik tehditler, kazara da dahil olmak üzere yetkisiz erişim gerçekleştirildiğinde uygulanır ve bunun sonucunda PD'nin gizliliği, bütünlüğü ve kullanılabilirliği ihlal edilir ve şunları içerir:
Standart yazılım (araçlar) kullanan bir bilgisayarın işletim ortamına yetkisiz erişim tehditleri işletim sistemi veya genel uygulama programları);
Yazılımın (yazılım ve donanım) anormal çalışma modları oluşturma tehditleri, hizmet verilerindeki kasıtlı değişiklikler, normal koşullarda sağlanan işlenen bilgilerin bileşimi ve özellikleri üzerindeki kısıtlamaların göz ardı edilmesi, verilerin kendisinin bozulması (değiştirilmesi), vesaire.;
Şekil 2 Kişisel veri bilgi sistemlerinde işlenen UBPD sınıflandırması
Kötü amaçlı programlar getirme tehditleri (yazılım-matematiksel etki).
ISPD'deki bilgilere yönelik UA tehditlerinin açıklamasının öğelerinin bileşimi Şekil 3'te gösterilmektedir.
Ayrıca, bu tehditlerin bir kombinasyonu olan birleşik tehditler de mümkündür. Örneğin, kötü amaçlı programların tanıtılması nedeniyle, geleneksel olmayan programlar oluşturmak da dahil olmak üzere UA'nın bir bilgisayarın işletim ortamına girmesi için koşullar oluşturulabilir. bilgi kanalları erişim.
Standart yazılım kullanılarak ISPD işletim ortamına yetkisiz erişim tehditleri, doğrudan ve uzaktan erişim. Doğrudan erişim tehditleri, bilgisayarın yazılımı ve aygıt yazılımı G / Ç'si kullanılarak gerçekleştirilir. Uzaktan erişim tehditleri, ağ iletişim protokolleri kullanılarak uygulanır.
Bu tür tehditler, ISPD ile ilgili olarak, hem genel iletişim ağına dahil olmayan otomatikleştirilmiş bir iş yeri bazında hem de genel iletişim ağlarına ve uluslararası bilgi alışverişi ağlarına bağlı tüm ISPD ile ilgili olarak uygulanır.
Şekil 3 Kişisel veri bilgi sistemlerinde işlenen UBPD sınıflandırması
1.3.1 Kişisel verilerin bilgi sistemine yetkisiz erişim tehdidi kaynaklarının genel açıklaması.
Kişisel veri bilgi sistemindeki tehdit kaynakları şunlar olabilir:
davetsiz misafir;
Kötü amaçlı bir programın taşıyıcısı;
Donanım yer imi.
Donanım hatalarının ortaya çıkmasıyla ilişkili PD güvenlik tehditleri, Rusya Federasyonu Federal Güvenlik Servisi'nin düzenleyici belgelerine göre belirlenen şekilde belirlenir.
ISPD'nin kontrollü bölgesine kalıcı veya tek seferlik erişim hakkının varlığına göre, ihlal edenler iki türe ayrılır:
ISPD'ye erişimi olmayan, harici kamu iletişim ağlarından ve (veya) uluslararası bilgi değişim ağlarından gelen tehditleri fark eden ihlalciler, harici ihlalcilerdir;
Tehditleri doğrudan ISPD'de uygulayan ISPD kullanıcıları da dahil olmak üzere ISPD'ye erişimi olan ihlalciler, dahili ihlalcilerdir.
Dış saldırganlar şunlar olabilir:
Rakip kuruluşlar;
vicdansız ortaklar;
Dış özneler (bireyler).
Harici bir davetsiz misafir aşağıdaki yeteneklere sahiptir:
Ofis binası dışına taşan iletişim kanallarına yetkisiz erişim gerçekleştirmek;
Genel iletişim ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlı iş istasyonları aracılığıyla yetkisiz erişim gerçekleştirin;
Yazılım virüsleri, kötü amaçlı yazılım, algoritmik veya yazılım yer imleri aracılığıyla özel yazılım eylemleri kullanarak bilgilere yetkisiz erişim gerçekleştirin;
Öğeler aracılığıyla yetkisiz erişim gerçekleştirin bilgi altyapısı yaşam döngüleri boyunca (modernizasyon, bakım, onarım, imha) kontrol edilen alanın dışında kalan kişisel verilerin bilgi sistemi;
ISPD'ye bağlı olduklarında, etkileşim içinde olan departman, kurum ve kuruluşların bilgi sistemleri üzerinden yetkisiz erişim gerçekleştirmek.
Dahili potansiyel ihlalciler, erişim yöntemine ve PD'ye erişim yetkisine bağlı olarak sekiz kategoriye ayrılır.
İlk kategori, ISPD'ye yetkili erişimi olan ancak PD'ye erişimi olmayan kişileri içerir. Bu tür failler arasında, normal işleyen ISPDn.
PD içeren ve dahili ISPD iletişim kanalları aracılığıyla dağıtılan bilgi parçalarına erişim sağlayın;
ISPD'nin topolojisi ve kullanılan iletişim protokolleri ve hizmetleri hakkında bilgi parçalarına sahip olmak;
Kayıtlı kullanıcıların isimlerine sahip olun ve şifrelerinin tanımlanmasını gerçekleştirin;
ISPD donanımının yapılandırmasını değiştirin, içine yazılım ve donanım yer imlerini girin ve ISPD donanımına doğrudan bağlantı kullanarak bilgi alımını sağlayın.
Birinci kategorideki kişilerin tüm yeteneklerine sahiptir;
En az bir yasal erişim adını bilir;
Belirli bir PD alt kümesine erişim sağlayan gerekli tüm özelliklere sahiptir;
Erişebildiği gizli verilere sahiptir.
Belirli bir PD alt kümesine erişim, kimlik doğrulama ve erişim hakları, ilgili erişim kontrol kuralları tarafından düzenlenmelidir.
Birinci ve ikinci kategorideki kişilerin tüm yeteneklerine sahiptir;
Erişimin sağlandığı yerel ve (veya) dağıtılmış bir bilgi sistemine dayalı ISPD topolojisi ve ISPD teknik araçlarının bileşimi hakkında bilgi sahibidir;
ISPD teknik araçlarının parçalarına doğrudan (fiziksel) erişim olanağına sahiptir.
sahip olmak tüm bilgiler ISPD segmentinde (fragmentinde) kullanılan sistem ve uygulama yazılımları hakkında;
ISPD segmentinin (fragman) teknik araçları ve konfigürasyonu hakkında eksiksiz bilgiye sahiptir;
Bilgi güvenliği ve günlüğe kaydetme araçlarının yanı sıra bireysel elemanlar ISPD'nin segmentinde (parçasında) kullanılır;
ISPD segmentinin (fragman) tüm teknik araçlarına erişimi vardır;
ISPD segmentinin (fragman) teknik araçlarının bazı alt kümelerini yapılandırma ve yönetme haklarına sahiptir.
ISPD sistem yöneticisinin yetkileri.
Önceki kategorilerdeki kişilerin tüm yeteneklerine sahiptir;
ISPD'nin sistem ve uygulama yazılımı hakkında eksiksiz bilgiye sahiptir;
ISPD'nin teknik araçları ve konfigürasyonu hakkında eksiksiz bilgiye sahiptir;
Tüm teknik bilgi işleme araçlarına ve ISPD verilerine erişimi vardır;
ISPD teknik araçlarını yapılandırma ve yönetimsel ayar haklarına sahiptir.
Sistem yöneticisi, korunan nesnenin güvenliğinden sorumlu donanım da dahil olmak üzere yazılım ve donanımı yapılandırır ve yönetir: araçlar kriptografik koruma bilgi, izleme, kayıt, arşivleme, yetkisiz erişime karşı koruma.
Önceki kategorilerdeki kişilerin tüm yeteneklerine sahiptir;
ISPD hakkında tam bilgiye sahiptir;
Bilgi güvenliğine ve kayıt araçlarına ve ISPD'nin bazı temel unsurlarına erişimi vardır;
Kontrol (denetim) olanlar dışında, ağ donanımını yapılandırmak için erişim hakları yoktur.
ISPD'deki bilgileri işlemek için algoritmalar ve programlar hakkında bilgi sahibidir;
Hataları, bildirilmemiş özellikleri, yazılım yer imlerini, kötü amaçlı yazılımları yazılım Geliştirme, uygulama ve bakım aşamasındaki ISPD;
ISPD'nin topolojisi ve ISPD'de işlenen PD'yi işlemenin ve korumanın teknik araçları hakkında herhangi bir bilgi parçasına sahip olabilir.
Geliştirme, uygulama ve bakım aşamasında ISPD'nin teknik araçlarında yer imleri yapma becerisine sahiptir;
ISPD'nin topolojisi ve ISPD'deki bilgilerin işlenmesi ve korunmasına yönelik teknik araçlar hakkında herhangi bir bilgi parçasına sahip olabilir.
Kötü amaçlı bir programın taşıyıcısı, bir bilgisayarın donanım öğesi veya bir yazılım kabı olabilir. Kötü amaçlı yazılım herhangi biriyle ilişkili değilse uygulama programı, o zaman taşıyıcısı olarak kabul edilir:
Devredilebilir ortam, yani bir disket, optik disk, flash bellek;
Yerleşik depolama ortamı ( sabit diskler, RAM yongaları, işlemci, yongalar sistem kartı, gömülü cihazların mikroçipleri sistem birimi, - video bağdaştırıcısı, ağ kartı, ses kartı, modem, giriş / çıkış aygıtları manyetik sert Ve optik diskler, güç kaynağı, vb., doğrudan bellek erişim yongaları, veri yolları, giriş/çıkış bağlantı noktaları);
Harici cihazların çipleri (monitör, klavye, yazıcı, modem, tarayıcı vb.).
Kötü amaçlı yazılım herhangi bir uygulama programıyla ilişkiliyse, belirli uzantılar veya ağ üzerinden iletilen mesajlarla diğer nitelikler, o zaman taşıyıcıları:
Bir bilgisayar ağı üzerinden iletilen mesaj paketleri;
Dosyalar (metin, grafik, yürütülebilir dosya vb.).
1.3.2 Kişisel veri bilgi sisteminin işletim ortamına doğrudan erişim tehditlerinin genel özellikleri
Bilgisayarın işletim ortamına yetkisiz erişim tehditleri ve PD'ye yetkisiz erişim, aşağıdakilere erişimle ilişkilidir:
ISPD'nin temel I/O sisteminde saklanan bilgi ve komutlara, işletim sistemini yükleme kontrolünü ele geçirme ve güvenilir bir kullanıcının haklarını alma olasılığı ile;
İşletim ortamında, yani, işletim sisteminin normal programlarını çağırarak veya bu tür eylemleri uygulayan özel olarak tasarlanmış programları başlatarak yetkisiz erişim gerçekleştirme olasılığı olan ayrı bir ISPD teknik aracının yerel işletim sisteminin işleyiş ortamında ;
Uygulama programlarının çalışması için ortama (örneğin, yerel bir veritabanı yönetim sistemine);
Doğrudan kullanıcı bilgilerine (dosyalara, metne, sese ve grafik bilgi, elektronik veritabanlarındaki alanlar ve kayıtlar) ve gizliliğinin, bütünlüğünün ve kullanılabilirliğinin ihlal edilme olasılığından kaynaklanmaktadır.
Bu tehditler, ISPD'ye fiziksel erişim sağlanması durumunda veya en azından ISPD'ye bilgi girme araçlarına uygulanabilir. Uygulama şartlarına göre üç gruba ayrılabilirler.
İlk grup, işletim sisteminin yüklenmesi sırasında uygulanan tehditleri içerir. Bu bilgi güvenliği tehditleri, parolaları veya tanımlayıcıları ele geçirmeyi, temel giriş/çıkış sisteminin yazılımını değiştirmeyi, ISPD işletim ortamında UA'yı almak için gerekli teknolojik bilgileri değiştirerek indirme kontrolünü ele geçirmeyi amaçlar. Çoğu zaman, bu tür tehditler yabancılaştırılmış medya kullanılarak uygulanır.
İkinci grup ise, kullanıcı tarafından hangi uygulama programı başlatılırsa başlatılsın, işletim ortamı yüklendikten sonra uygulanan tehditlerdir. Bu tehditler genellikle bilgiye doğrudan yetkisiz erişim sağlamayı amaçlar. Saldırgan, işletim ortamına erişim elde ederken hem işletim sisteminin standart işlevlerini veya bazı genel uygulama programlarını (örneğin, veritabanı yönetim sistemleri) hem de yetkisiz erişim gerçekleştirmek için özel olarak oluşturulmuş programları kullanabilir, örneğin:
Kayıt görüntüleyiciler ve değişiklikler;
Metin dosyalarındaki metinleri arama programları anahtar kelimeler ve kopyalama;
Veritabanlarındaki kayıtları görüntülemek ve kopyalamak için özel programlar;
Grafik dosyalarını hızlı bir şekilde görüntülemek, düzenlemek veya kopyalamak için programlar;
Yeniden yapılandırma yeteneği destek programları yazılım ortamı(Suçlunun çıkarları için ISPD ayarları).
Son olarak, üçüncü grup, uygulama programlarından hangisinin kullanıcı tarafından başlatıldığı veya uygulama programlarından herhangi birinin başlatıldığı gerçeğiyle belirlenen tehditleri içerir. Bu tehditlerin çoğu kötü amaçlı yazılım yerleştirme tehditleridir.
1.3.3 Ağlar arası iletişim protokolleri kullanılarak uygulanan kişisel veri güvenliği tehditlerinin genel özellikleri
ISPD, yerel veya dağıtılmış bir bilgi sistemi temelinde uygulanırsa, ağlar arası iletişim protokolleri kullanılarak bilgi güvenliği tehditleri uygulanabilir. Aynı zamanda PD'ye NSD sağlanabilir veya hizmet reddi tehdidi gerçekleştirilebilir. ISPD, genel ağlara ve (veya) uluslararası bilgi alışverişi ağlarına bağlı dağıtılmış bir bilgi sistemi olduğunda tehditler özellikle tehlikelidir. Ağ üzerinden uygulanan tehditlerin sınıflandırma şeması Şekil 4'te gösterilmektedir. Aşağıdaki yedi ana sınıflandırma özelliğine dayanmaktadır.
Şekil 4 Ağlar arası iletişim protokollerini kullanan tehditlerin sınıflandırma şeması
1. Tehdidin doğası. Bu temelde, tehditler pasif ve aktif olabilir. Pasif tehdit, uygulanması ISPD'nin çalışmasını doğrudan etkilemeyen ancak PD'ye veya ağ kaynaklarına erişimi kısıtlamak için belirlenmiş kuralların ihlal edilebileceği bir tehdittir. Bu tür tehditlere bir örnek, iletişim kanallarını dinlemeyi ve iletilen bilgileri ele geçirmeyi amaçlayan "Ağ trafiği analizi" tehdididir. Aktif bir tehdit, uygulanması sistemin çalışmasını doğrudan etkileyen (yapılandırma değişikliği, performansın bozulması vb.) ISPD kaynakları üzerindeki bir etkiyle ilişkili ve PD'ye erişimi kısıtlamak için belirlenmiş kuralları ihlal eden bir tehdittir. ağ kaynakları. Bu tür tehditlere bir örnek, "TCP istek fırtınası" olarak pazarlanan Hizmet Reddi tehdididir.
2. Tehdidin uygulanma amacı. Bu temelde, tehditler bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini ihlal etmeyi amaçlayabilir (ISPD'nin veya öğelerinin çalışabilirliğini ihlal etmek dahil).
3. Tehdidin uygulanması sürecinin başlama koşulu. Bu temelde, bir tehdit gerçekleştirilebilir:
Tehdidin uygulandığı nesneden gelen istek üzerine. Bu durumda, davetsiz misafir, yetkisiz erişimin başlaması için koşul olacak olan belirli bir türden bir talebin iletilmesini beklemektedir;
Tehdidin uygulandığı tesiste beklenen bir olayın meydana gelmesi üzerine. Bu durumda, saldırgan ISPD işletim sisteminin durumunu sürekli olarak izler ve bu sistemde belirli bir olay meydana gelirse yetkisiz erişim başlar;
Koşulsuz etki. Bu durumda, yetkisiz erişimin uygulanmaya başlaması, erişimin amacı ile ilgili olarak koşulsuzdur, yani tehdit hemen ve sistemin durumuna bakılmaksızın gerçekleşir.
4. Kullanılabilirlik geri bildirim ISPD ile. Bu temelde, bir tehdidi uygulama süreci geri bildirimli veya geri bildirimsiz olabilir. Kişisel veri bilgi sisteminden gelen geri bildirimin varlığında gerçekleştirilen tehdit, ISPD'ye iletilen bazı taleplerin ihlal edenin bir yanıt almasını gerektirmesiyle karakterize edilir. Sonuç olarak, ihlal eden kişi ile kişisel veri bilgi sistemi arasında, ihlal eden kişinin ISPD'de meydana gelen tüm değişikliklere yeterli şekilde yanıt vermesini sağlayan bir geri bildirim vardır. Kişisel veri bilgi sisteminden gelen geri bildirim varlığında uygulanan tehditlerin aksine, geri bildirimsiz tehditler uygulanırken ISPD'de meydana gelen herhangi bir değişikliğe yanıt verilmesi gerekli değildir.
5. Davetsiz misafirin ISPD'ye göre konumu. Bu işarete göre tehdit hem segment içi hem de segmentler arası gerçekleşir.
Ağ segmenti - ana bilgisayarların fiziksel bir ilişkisi (bir ağ adresine sahip ISPD donanımı veya iletişim öğeleri). Örneğin, kişisel veri bilgi sisteminin bir bölümü, "ortak veri yolu" şemasına göre sunucuya bağlı bir dizi ana bilgisayar oluşturur. Segment içi bir tehdit olması durumunda, davetsiz misafirin ISPD donanım öğelerine fiziksel erişimi vardır. Bölümler arası bir tehdit varsa, suçlu ISPD'nin dışında yer alır ve tehdidi başka bir ağdan veya kişisel veri bilgi sisteminin başka bir bölümünden fark eder.
6. Seviye referans modeli Tehdidin uygulandığı Açık Sistemler Ara Bağlantısı (ISO/OSI). Bu temelde, ISO/OSI modelinin fiziksel, kanal, ağ, taşıma, oturum, sunum ve uygulama seviyelerinde bir tehdit uygulanabilir.
7. İhlal edenlerin sayısı ile tehdidin uygulandığı ISPD unsurlarının oranı. Bu temelde, bir tehdit, bir davetsiz misafir tarafından bir ISPD teknik aracına (“bire bir” tehdit), birkaç ISPD teknik aracına aynı anda uygulanan bir tehdit (“birden çoğa” tehdit) veya ISPD'nin bir veya daha fazla teknik aracına (dağıtılmış veya birleşik tehditler) göre farklı bilgisayarlardan birkaç davetsiz misafir tarafından.
Gerçekleştirilen sınıflandırmayı dikkate alarak, kişisel verilerin bilgi sistemine yönelik ana saldırı türlerini ayırıyoruz:
1. Ağ trafiğinin analizi.
Bu tehdit, bir ağ segmenti üzerinden iletilen tüm paketleri yakalayan ve aralarında kullanıcı kimliğinin ve parolanın iletildiği paketleri ayıran özel paket algılayıcı yazılımı kullanılarak uygulanır. Tehdidin uygulanması sırasında, davetsiz misafir ağın mantığını inceler - yani, sistemde meydana gelen olaylar ile ana bilgisayarlar tarafından saldırı anında gönderilen komutlar arasında bire bir yazışma elde etmeye çalışır. bu olaylar. Gelecekte, bu, saldırganın, uygun komutların atanmasına bağlı olarak, sistemde hareket etmek için ayrıcalıklı haklar elde etmesine veya sistemdeki yetkilerini genişletmesine, ağ işletim sisteminin bileşenleri arasında değiş tokuş edilen iletilen veri akışını sırayla engellemesine olanak tanır. gizli veya kimlik bilgilerini çıkarmak, değiştirmek ve değiştirmek.
2.Ağı taramak.
Tehdit uygulama sürecinin özü, istekleri ISPD ana bilgisayarlarının ağ hizmetlerine göndermek ve onlardan gelen yanıtları analiz etmektir. Amaç, kullanılan protokolleri, mevcut portları belirlemektir. ağ Servisleri, bağlantı tanımlayıcılarının oluşum yasaları, aktif ağ hizmetlerinin tanımı, kullanıcı tanımlayıcılarının ve şifrelerin seçimi.
3. Parolanın açığa çıkması tehdidi.
Tehdidin uygulanmasının amacı, şifre korumasını aşarak UA elde etmektir. Bir saldırgan, basit kaba kuvvet, özel sözlükler kullanarak kaba kuvvet, parolayı ele geçirmek için kötü amaçlı yazılım yükleme, güvenilir bir ağ nesnesini yanıltma ve paket koklama gibi çeşitli yöntemler kullanarak bir tehdit uygulayabilir. Esas olarak tehdidin uygulanması için kullanılır özel programlar kaba kuvvet parolaları kullanarak ana bilgisayara erişmeye çalışan. Başarılı olursa, saldırgan gelecekteki erişim için kendisi için bir giriş noktası oluşturabilir ve bu, ana bilgisayarda erişim parolası değiştirilse bile etkin kalacaktır.
4.Güvenilir bir ağ nesnesinin değiştirilmesi ve onun adına erişim haklarının atanması ile iletişim kanalları aracılığıyla mesajların iletilmesi.
Bu tür bir tehdit, ana bilgisayarları ve kullanıcıları tanımlamak ve doğrulamak için zayıf algoritmaların kullanıldığı sistemlerde etkili bir şekilde uygulanır. Güvenilir nesne, sunucuya yasal olarak bağlı bir ağ nesnesidir (bilgisayar, güvenlik duvarı, yönlendirici vb.). Bu tehdidi uygulama sürecinin iki çeşidi ayırt edilebilir: sanal bağlantı kurarak ve kurmadan. Sanal bir bağlantının kurulmasıyla uygulama süreci, bir davetsiz misafirin güvenilir bir özne adına bir ağ nesnesiyle oturum yürütmesine izin veren, güvenilir bir etkileşim öznesinin haklarının atanmasından oluşur. Bu tür bir tehdidin uygulanması, mesaj tanımlama ve kimlik doğrulama sisteminin aşılmasını gerektirir. Sanal bir bağlantı kurmadan bir tehdidi uygulama süreci, iletilen mesajları yalnızca şu şekilde tanımlayan ağlarda gerçekleşebilir: ağ adresi gönderen. İşin özü, yönlendirme ve adres verilerinin değiştirilmesi hakkında ağ kontrol cihazları adına (örneğin, yönlendiriciler adına) hizmet mesajlarının iletilmesinde yatmaktadır.
Tehdidin uygulanması sonucunda, ihlal eden erişim haklarını alır, kullanıcı tarafından yüklenen güvenilir bir abone için ISPD teknik aracına.
5. Yanlış bir ağ rotası empoze etmek.
Bu tehdit iki yoldan biriyle gerçekleştirilir: segment içi veya segmentler arası dayatma. Yanlış bir yol dayatma olasılığı, örneğin bir ana bilgisayara veya bir saldırganın ağına ulaşabileceğiniz yönlendirme algoritmalarının doğasında bulunan eksikliklerden (özellikle ağ kontrol cihazlarını tanımlama sorunu nedeniyle) kaynaklanır. ISPD'nin bir parçası olarak teknik bir aracın çalışma ortamına girebileceğiniz yer. Tehdidin uygulanması, yönlendirme tablolarında değişiklik yapmak için yönlendirme ve ağ kontrol protokollerinin yetkisiz kullanımına dayanmaktadır. Bu durumda, davetsiz misafirin ağ kontrol cihazı (örneğin bir yönlendirici) adına bir kontrol mesajı göndermesi gerekir.
6. Sahte bir ağ nesnesinin tanıtılması.
Bu tehdit, uzaktan arama algoritmalarındaki zayıflıklardan yararlanmaya dayalıdır. Ağ nesneleri başlangıçta birbirleriyle ilgili adres bilgilerine sahip değilse, ağ üzerinden özel isteklerin iletilmesinden ve bunlara gerekli bilgilerle yanıtların alınmasından oluşan çeşitli uzaktan arama protokolleri kullanılır. Bu durumda, davetsiz misafir tarafından yakalanma olasılığı vardır. arama sorgusu ve kullanımı yönlendirme ve adres verilerinde gerekli değişikliğe yol açacak olan yanlış bir yanıt vermek. Gelecekte, kurban nesneyle ilişkili tüm bilgi akışı, sahte ağ nesnesinden geçecektir.
7. Hizmet reddi.
Bu tehditler, ağ yazılımındaki kusurlara, davetsiz misafirin işletim sistemi gelen paketleri işleyemediğinde koşullar yaratmasına izin veren güvenlik açıklarına dayanır. Bu tür tehditlerin birkaç türü ayırt edilebilir:
Bir saldırgan tarafından iletilen paketleri işlemek için ISPD kaynaklarının bir kısmının dahil edilmesinden kaynaklanan gizli bir hizmet reddi, iletişim kanallarının bant genişliğinde azalma, performans ağ cihazları, isteklerin işlem süresi gereksinimlerinin ihlali. Bu tür tehditlerin uygulanmasına ilişkin örnekler şunlardır: ICMP protokolü aracılığıyla yönlendirilmiş bir yankı istekleri fırtınası, TCP bağlantıları kurmak için bir istek fırtınası, bir FTP sunucusuna yönelik bir istek fırtınası;
Bir saldırgan tarafından iletilen paketleri işlerken ISPD kaynaklarının tükenmesinden kaynaklanan açık bir hizmet reddi (iletişim kanallarının tüm bant genişliğinin işgali, hizmet istek sıralarının taşması), yasal isteklerin kullanılamaması nedeniyle ağ üzerinden iletilemediği. iletim ortamının veya taşan istek kuyrukları, bellek disk alanı vb. nedeniyle bakımda reddedilir. Bu tür tehditlere örnek olarak ICMP yayın yankı istek fırtınası, yönlendirilmiş fırtına, posta sunucusu mesaj fırtınası;
Suçlu ağ cihazları adına kontrol mesajları gönderdiğinde, yönlendirme ve adres verilerinde veya tanımlama ve kimlik doğrulama bilgilerinde değişikliğe yol açtığında, ISPD'nin teknik araçları arasındaki mantıksal bağlantının ihlalinden kaynaklanan açık hizmet reddi;
Ağ değişim protokollerini uygulayan programlarda hatalar olması koşuluyla, bir saldırganın standart olmayan özniteliklere sahip paketleri iletmesi veya izin verilen maksimum boyutu aşan bir uzunluğa sahip olması nedeniyle oluşan ve istekleri işlemede yer alan ağ cihazlarının arızalanmasına yol açabilen açık bir hizmet reddi. . Bu tehdidin uygulanmasının sonucu, ISPD'de PD'ye uzaktan erişim sağlamak için ilgili hizmetin performansında bir kesinti olabilir, ISPD'nin bir parçası olarak teknik tesise bağlanmak için bir adresten çok sayıda bağlantı talebinin aktarılması, trafiği mümkün olduğunca işleyebilen, istek kuyruğunun taşmasına ve ağ hizmetlerinden birinin arızalanmasına veya sistemin işlem istekleri dışında herhangi bir şey yapamaması nedeniyle bilgisayarın tamamen kapanmasına neden olur.
8. Uygulamaların uzaktan başlatılması.
Tehdit, ISPD ana bilgisayarında önceden gömülü çeşitli kötü amaçlı yazılımları çalıştırma arzusunda yatmaktadır: asıl amacı gizliliği, bütünlüğü, bilgilerin kullanılabilirliğini ve işleyişi üzerinde tam kontrolü ihlal etmek olan yer imleri, virüsler, "ağ casusları" Göçebe. Ek olarak, suçlu için gerekli verilerin yetkisiz olarak elde edilmesi, uygulama programı tarafından kontrol edilen işlemlerin başlatılması vb. için kullanıcı uygulama programlarının yetkisiz başlatılması mümkündür. Bu tehditlerin üç alt sınıfı vardır:
Yetkisiz yürütülebilir kod içeren dosyaların dağıtımı;
Uygulama sunucularının arabelleğini taşarak uygulamanın uzaktan başlatılması;
Gizli yazılım ve donanım sekmeleri tarafından sağlanan veya kullanılan uzaktan sistem yönetimi yeteneklerini kullanarak uygulamanın uzaktan başlatılması düzenli araçlar.
Bu alt sınıfların ilkinin tipik tehditleri, yanlışlıkla erişildiğinde dağıtılan dosyaların etkinleştirilmesine dayanır. Bu tür dosyalara örnek olarak şunlar verilebilir: makro biçiminde çalıştırılabilir kod içeren dosyalar (belgeler Microsoft Word, Excel), formda yürütülebilir kod içeren html belgeleri ActiveX denetimleri, Java uygulamaları, yorumlanmış betikler (örneğin, JavaScript kötü amaçlı yazılımı); yürütülebilir program kodlarını içeren dosyalar.
Dosyaların dağıtımı için e-posta, dosya aktarımı, ağ dosya sistemi servisleri kullanılabilir.
İkinci alt sınıfın tehditleri, ağ hizmetlerini uygulayan programların eksikliklerini kullanır (özellikle arabellek taşma kontrolünün olmaması). Sistem kayıtlarını ayarlayarak, arabellek taşmasının neden olduğu bir kesintiden sonra işlemciyi arabellek sınırının dışında bulunan kodun yürütülmesine geçirmek bazen mümkündür.
Üçüncü alt sınıfın tehditleri ile davetsiz misafir, gizli bileşenler veya standart yönetim ve idare araçları tarafından sağlanan uzaktan sistem yönetimi yeteneklerini kullanır. bilgisayar ağları. Kullanımlarının bir sonucu olarak, ağdaki istasyon üzerinde uzaktan kontrol elde etmek mümkündür. Şematik olarak, bu programların çalışmasının ana aşamaları şu şekildedir: belleğe kurulum; bir istemci programı çalıştıran ve onunla hazır olma mesajlarını gönderen uzak bir ana bilgisayardan istek beklemek; ele geçirilen bilgilerin müşteriye aktarılması veya saldırıya uğrayan bilgisayarın kontrolünün ona verilmesi. Çeşitli sınıflardaki tehditlerin uygulanmasının olası sonuçları Tablo 1'de gösterilmektedir.
Tablo 1. Çeşitli sınıflardaki tehditlerin uygulanmasının olası sonuçları
|
№
s/p |
saldırı tipi | Olası sonuçlar | |
| 1 | Ağ trafiği analizi | Ağ trafiği özelliklerinin incelenmesi, kullanıcı kimlikleri ve parolalar dahil olmak üzere iletilen verilerin durdurulması | |
| 2 | Ağ Taraması | Protokollerin tanımı, ağ hizmetlerinin kullanılabilir bağlantı noktaları, bağlantı tanımlayıcıları oluşturma kuralları, etkin ağ hizmetleri, kullanıcı kimlikleri ve parolalar | |
| 3 | "Parola" saldırısı | Yetkisiz erişim elde etme ile ilgili herhangi bir yıkıcı eylem gerçekleştirme | |
| 4 | Güvenilir bir ağ nesnesini aldatma | Mesajların rotasını değiştirme, yönlendirme ve adres verilerinin izinsiz değiştirilmesi. Ağ kaynaklarına yetkisiz erişim, yanlış bilgilerin empoze edilmesi | |
| 5 | Yanlış bir rota empoze etmek | Yönlendirme ve adres verilerinin izinsiz değiştirilmesi, iletilen verilerin analizi ve değiştirilmesi, dayatma yanlış mesajlar̆ | |
| 6 | Sahte bir ağ nesnesinin enjeksiyonu | Trafiğin kesilmesi ve izlenmesi. Ağ kaynaklarına yetkisiz erişim, yanlış bilgilerin empoze edilmesi | |
| 7 | Hizmet Reddi | Kısmi kaynak tükenmesi | İletişim kanallarının azaltılmış bant genişliği, ağ cihazlarının performansı. Sunucu uygulamalarının düşük performansı. |
| Kaynakların tamamen tükenmesi | İletim ortamına erişim eksikliği nedeniyle mesajların iletilmesinin imkansızlığı, bağlantı kurmayı reddetme. Hizmet reddi. | ||
| Nitelikler, veriler, nesneler arasındaki mantıksal bağlantının ihlali | Doğru yönlendirme ve adres verilerinin olmaması nedeniyle mesaj gönderilememesi. Tanımlayıcıların, şifrelerin vb. izinsiz değiştirilmesi nedeniyle hizmet alamama. | ||
| Programlardaki hataları kullanma | Ağ cihazlarının arızalanması. | ||
| 8 | Uzaktan uygulama başlatma | Yıkıcı yürütülebilir kod içeren dosyalar göndererek, virüs bulaşması. | Bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin ihlali. |
| Sunucu uygulamasının arabellek taşmasıyla | |||
| Fırsatları yakalayarak uzaktan kumanda gizli yazılım ve donanım sekmeleri veya kullanılan standart araçlar tarafından sağlanan sistem | Gizli sistem yönetimi. | ||
Tehdit gerçekleştirme süreci genellikle dört aşamadan oluşur:
Bilgi toplama;
İzinsiz girişler (çalışma ortamına sızma);
Yetkisiz erişimin uygulanması;
Yetkisiz erişim izlerinin ortadan kaldırılması.
Bilgi toplama aşamasında, ihlal eden kişi aşağıdakiler dahil olmak üzere ISPD hakkında çeşitli bilgilerle ilgilenebilir:
Sistemin çalıştığı ağın topolojisi hakkında. Bu, ağ çevresindeki alanı keşfedebilir (örneğin, davetsiz misafir güvenilir ancak daha az güvenli ana bilgisayarların adresleriyle ilgilenebilir). Kısa sürede konak müsaitliği için adres uzayının geniş bir alanını tarayabilen paralel konak müsaitlik araçları vardır.;
ISPD'deki işletim sistemi (OS) türü hakkında. İşletim sistemi türünü belirleme yöntemini şu şekilde not edebilirsiniz: basit sorgu Telnet uzaktan erişim protokolü aracılığıyla bir bağlantı kurmak için, bunun sonucunda yanıtın "görünümü" ile ana bilgisayar işletim sistemi türünü belirleyebilirsiniz. Belirli hizmetlerin varlığı, ana bilgisayar işletim sistemi türünün ek bir göstergesi olarak da kullanılabilir;
Ana bilgisayarlarda çalışan hizmetler hakkında. Bir ana bilgisayarda çalışan hizmetlerin tanımı, bir ana bilgisayarın kullanılabilirliği hakkında bilgi toplamak için "açık bağlantı noktaları" yöntemine dayanır.
İstila aşamasında, sistem hizmetlerindeki tipik güvenlik açıklarının veya sistem yönetimindeki hataların varlığı araştırılır. Güvenlik açıklarının başarılı bir şekilde kullanılması, genellikle bir saldırganın işleminin ayrıcalıklı yürütme modu kazanması (işlemcinin ayrıcalıklı yürütme moduna erişim), sisteme yasa dışı bir kullanıcı hesabı eklemesi, bir parola dosyası alması veya saldırıya uğrayan ana bilgisayarı bozmasıyla sonuçlanır.
Tehdidin bu gelişim aşaması, kural olarak, çok aşamalıdır. Tehdit uygulama sürecinin aşamaları, örneğin şunları içerebilir: tehdidin uygulandığı ana bilgisayarla bağlantı kurulması; güvenlik açığı tanımlaması; yetkilendirme vb. için kötü amaçlı bir programın tanıtılması.
Saldırı aşamasında uygulanan tehditler, kullanılan saldırı mekanizmasına bağlı olarak ağ, aktarım veya uygulama düzeyinde oluştukları için TCP/IP protokol yığınının katmanlarına ayrılır. Ağ ve taşıma seviyelerinde uygulanan tipik tehditler şunları içerir:
Güvenilir bir nesneyi değiştirmeyi amaçlayan bir tehdit;
Ağda yanlış bir rota oluşturmayı amaçlayan bir tehdit;
Uzaktan arama algoritmalarının eksikliklerini kullanarak sahte bir nesne oluşturmaya yönelik tehditler;
Hizmet reddi tehditleri.
Uygulama düzeyinde uygulanan tipik tehditler, uygulamaların izinsiz olarak başlatılmasını amaçlayan tehditleri, uygulanması yazılım hatalarının getirilmesiyle, bir ağa veya belirli bir ana bilgisayara erişim şifrelerinin algılanmasıyla vb. ilişkilendirilen tehditleri içerir. Tehdidin uygulanması, ihlal edene sistemdeki en yüksek erişim haklarını getirmediyse, bu hakları mümkün olan en üst düzeye çıkarma girişimleri mümkündür. Bunun için sadece ağ servislerinin zafiyetleri değil, ISPDN hostlarının sistem yazılımlarının zafiyetleri de kullanılabilir.
Yetkisiz erişimin uygulanması aşamasında, tehdidi uygulama hedefine ulaşılır:
Gizliliğin ihlali (kopyalama, yasa dışı dağıtım);
Bütünlüğün ihlali (yıkım, değişim);
Kullanılabilirliğin ihlali (engelleme).
Aynı aşamada, bu eylemlerden sonra, kural olarak, belirli bir limana hizmet veren ve davetsiz misafirin komutlarını yerine getiren hizmetlerden biri şeklinde sözde "arka kapı" oluşturulur. "Arka kapı", aşağıdakileri sağlamak amacıyla sistemde bırakılır: yönetici tehdidi başarıyla uygulamak için kullanılan güvenlik açığını ortadan kaldırsa bile ana bilgisayara erişim elde etme yeteneği; ana bilgisayara mümkün olduğunca gizli bir şekilde erişme yeteneği; ana bilgisayara hızlı bir şekilde erişim sağlama yeteneği (tehdidi uygulama sürecini tekrarlamadan). "Arka kapı", bir saldırganın bir ağa veya belirli bir ana bilgisayara kötü amaçlı bir program enjekte etmesine olanak tanır; örneğin, bir "parola çözümleyici" - üst düzey protokoller çalışırken ağ trafiğinden kullanıcı kimliklerini ve parolaları çıkaran bir program). Kötü amaçlı yazılım enjeksiyonunun nesneleri, kimlik doğrulama ve tanımlama programları, ağ hizmetleri, işletim sistemi çekirdeği, dosya sistemi, kütüphaneler vb.
Son olarak, tehdidin uygulanma izlerinin ortadan kaldırılması aşamasında, davetsiz misafirin eylemlerinin izleri yok edilmeye çalışılır. Bu, bilgilerin toplandığı gerçeğiyle ilgili kayıtlar da dahil olmak üzere tüm olası denetim günlüklerinden karşılık gelen girişleri kaldırır.
1.4 Bankanın özellikleri ve faaliyetleri
PJSC Citibank, Rusya Federasyonu Bankacılık Sisteminin para ve menkul kıymetlerle finansal işlemler gerçekleştiren bir finans ve kredi kuruluşudur. Banka gerçek ve tüzel kişilere finansal hizmetler sunmaktadır.
Ana faaliyetler, tüzel kişilere ve bireylere borç verme, kurumsal müşterilerin hesaplarına hizmet verme, mevduatta nüfustan fon çekme, döviz ve bankalar arası piyasalarda işlemler, tahvil ve bonolara yatırımdır.
Banka, mali faaliyetlerini 1 Ağustos 1990 tarihinden itibaren Bank of Russia'nın 356 sayılı bankacılık faaliyetleri Genel Lisansına dayanarak yürütmektedir.
Banka'nın üç adet kişisel veri bilgi sistemi bulunmaktadır:
Banka çalışanlarının kişisel verilerinin bilgi sistemi - 243 kişisel veri konusunun tanımlanmasına izin verir;
Erişim kontrol ve yönetim sisteminin kişisel veri bilgi sistemi - 243 kişisel veri konusunu tanımlamanıza olanak tanır;
Otomatik bankacılık sisteminin kişisel verilerinin bilgi sistemi - 9681 kişisel veri konusunu tanımlamanıza olanak tanır.
1.5 Kişisel veritabanları
Banka'nın aynı anda birkaç bilgi amaçlı kişisel veriyi koruması gerekmektedir, yani:
Banka çalışanlarının kişisel verilerinin bilgi sistemi;
Erişim kontrol ve yönetim sisteminin kişisel verilerinin bilgi sistemi;
Otomatik bankacılık sisteminin kişisel verilerinin bilgi sistemi.
1.5.1 Kuruluş çalışanlarının kişisel verilerinin bilgi sistemi
Banka çalışanları için ISPD, Banka çalışanlarına tahakkuk ettirilmek üzere kullanılmaktadır. ücretlerİK departmanı çalışanlarının çalışmalarını otomatikleştirmek, Banka muhasebe departmanı çalışanlarının çalışmalarını otomatikleştirmek ve diğer personel ve muhasebe sorunlarını çözmek. 1C "Maaş ve personel yönetimi" veri tabanından oluşur, ağ üzerinden işyerine bağlanma özelliğine sahip ayrı bir iş istasyonunda bulunur. İş istasyonu, İK departmanının ofisinde bulunur. İş istasyonuna bir ameliyathane kurulur Microsoft sistemi Windows XP. İş istasyonunda internet bağlantısı yok.
Ad Soyad;
Doğum tarihi;
pasaportun seri ve numarası;
Telefon numarası;
1C "Maaş ve personel yönetimi" yazılımı ve kişisel veri tabanı ile çalışma hakkı:
Baş Muhasebeci;
Baş muhasebeci yardımcısı;
İnsan Kaynakları Bölüm Başkanı;
Banka çalışanları için bordrodan sorumlu bir çalışan.
Manuel veri değişimi;
1.5.2 Erişim kontrol ve yönetim sisteminin kişisel veri bilgi sistemi
Erişim kontrol ve yönetim sisteminin kişisel veri bilgi sistemi, Banka çalışanlarının ve Banka'nın çeşitli yerlerine erişimi olan ziyaretçilerinin kişisel verilerinin saklanması için kullanılmaktadır. Geçiş kontrol ve yönetim sistemine ait ISDN, Banka'nın güvenlik bölümü tarafından kullanılmaktadır. ISPD veritabanı, güvenlik departmanının güvenlik odasında bulunan iş istasyonuna kurulur. İş istasyonunda ISPD Microsoft Windows 7 işletim sistemi kurulu, veritabanı yönetim sistemi olarak Microsoft DBMS kullanılmaktadır. SQL Server 2012. AWP ISPD'nin yerel ağa ve ayrıca internete erişimi yoktur.
ISPD aşağıdaki kişisel verileri saklar:
Ad Soyad;
Bir çalışanın fotoğrafı.
ISPDn erişim kontrol ve yönetim sistemleri ile çalışma hakkı:
Banka Güvenlik Birimi Başkanı;
Banka Güvenlik Departmanı Başkan Yardımcısı;
Bankanın güvenlik departmanı çalışanları.
Erişim kontrol ve yönetim sisteminin otomatik çalışma alanına erişim şunları içerir:
Sistem yöneticileri, iş istasyonunu ve yazılımı yönetmek için 1C "Maaş ve personel yönetimi" ve kişisel veri veritabanı;
AWP bilgi koruma sistemini yönetmek üzere Banka'nın bilgi güvenliğinden sorumlu bölüm çalışanları.
ISPD'de banka çalışanları için aşağıdaki işlevler gerçekleştirilebilir:
Kişisel verilerin otomatik olarak silinmesi;
Manuel kaldırma kişisel veri;
Manuel veri değişimi;
Manuel ekleme kişisel veri;
Kişisel veriler için otomatik arama.
Kişisel veri bilgi sistemi, Banka'nın 243 çalışanının kimliğinin tespit edilmesini mümkün kılan verileri saklamaktadır.
Çalışanın kişisel verilerinin işlenmesi hedeflerine ulaşıldıktan sonra kişisel verileri ISPD'den silinir.
1.5.3 Otomatik bankacılık sisteminin kişisel veri bilgi sistemi
Otomatik bankacılık sisteminin kişisel veri bilgi sistemi, çoğu banka çalışanının işini otomatikleştirmek için tasarlanmıştır. Çalışanların üretkenliğini artırır. Kompleks, otomatik bir bankacılık sistemi olarak kullanılmaktadır. yazılım ürünleri"Finansal Teknolojiler Merkezi" şirketler grubu tarafından üretilen "CFT-Bank". Veritabanı yönetim sistemi olarak Oracle yazılımı kullanılmaktadır. ISPD, Banka sunucusunda kuruludur, sunucuda kurulu işletim sistemi Microsoft'tur. Windows Server 2008R2. Otomatik bankacılık sisteminin ISPD'si bankanın yerel bilgisayar ağına bağlıdır, ancak internete erişimi yoktur. Kullanıcılar, özel sanal terminallerden CFT-Bank yazılım ürünlerini kullanarak ISPD veri tabanına bağlanır. ISPD'de her kullanıcının kendi oturum açma adı ve parolası vardır.
ISPD'de işlenen kişisel veriler:
Ad Soyad;
Doğum tarihi;
pasaportun seri ve numarası;
Telefon numarası;
Aşağıdaki kişiler, CFT-Bank yazılımı ve kişisel veri tabanı ile çalışma hakkına sahiptir:
Muhasebe personeli;
Kredi memurları;
Risk yönetimi departmanı çalışanları;
Teminat departmanı çalışanları;
Kişisel yöneticiler;
Müşteri yöneticileri;
Güvenlik personeli.
İş istasyonuna erişim şu kişiler tarafından sağlanır:
Sunucuyu, kişisel veri veritabanını ve CFT-Bank yazılımını yönetmek için sistem yöneticileri;
Sunucu, kişisel veri tabanı ve CFT-Bank yazılımlarını yönetmek için Banka'nın bilgi güvenliğinden sorumlu bölüm çalışanları.
ISPD'de banka çalışanları için aşağıdaki işlevler gerçekleştirilebilir:
Kişisel verilerin otomatik olarak silinmesi;
Kişisel verilerin manuel olarak silinmesi;
Kişisel verilerin manuel olarak eklenmesi;
Manuel veri değişimi;
Kişisel veriler için otomatik arama.
Kişisel veri bilgi sistemi, Banka'nın 243 çalışanının ve Banka'nın 9.438 müşterisinin kimliğinin tespit edilmesini sağlayan verileri saklamaktadır.
Çalışanın kişisel verilerinin işlenmesi hedeflerine ulaşıldıktan sonra kişisel verileri ISPD'den silinir.
1.6 Banka'nın yerel alan ağının yapısı ve tehditleri
Bankanın bir istemci-sunucu ağı vardır. Kullanıcıların iş istasyonlarının bulunduğu alan adı vitabank.ru'dur. Toplamda, bankanın 243 otomatik kullanıcı iş istasyonunun yanı sıra 10 sanal sunucular ve 15 sanal iş istasyonu. Sistem yönetimi departmanı ağ performansını izler. Ağ, esas olarak Cisco ağ ekipmanı üzerine kuruludur. Ek ofislerle iletişim, İnternet sağlayıcısının aktif ve yedek kanalları aracılığıyla İnternet kullanılarak VPN kanalları kullanılarak sağlanır. Merkez Bankası ile bilgi alışverişi, alışılagelmiş iletişim kanallarının yanı sıra özel bir kanal aracılığıyla gerçekleştirilmektedir.
Tüm kullanıcıların yerel iş istasyonlarında internete erişimi vardır, ancak Banka'nın belge ve bilgi sistemleriyle çalışmak, yalnızca İnternet erişiminin sınırlı olduğu ve yalnızca Banka'nın yerel kaynaklarının yüklendiği sanal iş istasyonları kullanılarak gerçekleştirilir.
Yerel iş istasyonlarından İnternet'e erişim, erişim grupları tarafından sınırlandırılır:
Minimum erişim - yalnızca federal hizmetlerin kaynaklarına, Rusya Merkez Bankası web sitesine erişim;
Normal erişim - eğlence, sosyal ağlar dışında tüm kaynaklara izin verilir, video izlemek ve dosya indirmek yasaktır.
Tam erişim - tüm kaynaklara ve dosya yüklemelerine izin verilir;
Erişim gruplarına göre kaynak filtreleme, proxy sunucusu tarafından gerçekleştirilir.
Aşağıda PJSC Citibank ağının bir diyagramı bulunmaktadır (Şekil 5).
1.7 Bilgi güvenliği araçları
Bilgi güvenliği araçları, bir dizi mühendislik, teknik, elektrik, elektronik, optik ve diğer cihaz ve cihazlar, enstrümanlar ve teknik sistemler, yanı sıra, sızıntıyı önleme ve korunan bilgilerin güvenliğini sağlama da dahil olmak üzere çeşitli bilgi koruma sorunlarını çözmek için kullanılan diğer unsurlar.
Bilgi güvenliği araçları, uygulama yöntemine bağlı olarak kasıtlı eylemleri önleme açısından gruplara ayrılabilir:
Teknik (donanım) anlamına gelir. Bilgi koruma problemlerini donanım ile çözen çeşitli tipteki (mekanik, elektromekanik, elektronik vb.) cihazlardır. Maskelemek de dahil olmak üzere bilgilere erişimi engellerler. Donanım şunları içerir: gürültü üreteçleri, ağ filtreleri, tarama radyoları ve potansiyel bilgi sızıntısı kanallarını "bloke eden" veya bunların tespit edilmesini sağlayan diğer birçok cihaz. Teknik araçların avantajları, güvenilirlikleri, sübjektif faktörlerden bağımsızlıkları ve modifikasyona karşı yüksek dirençleri ile ilgilidir. Zayıf yönler - esneklik eksikliği, nispeten büyük hacim ve ağırlık, yüksek maliyet.
Şekil 5 PJSC Citibank ağ diyagramı
Yazılım araçları, kullanıcı tanımlama, erişim kontrolü, bilgi şifreleme, geçici dosyalar gibi artık (çalışan) bilgilerin silinmesi, koruma sisteminin test kontrolü vb. için programları içerir. Yazılım araçlarının avantajları çok yönlülük, esneklik, güvenilirlik, kurulum kolaylığıdır. , değiştirme ve geliştirme yeteneği. Dezavantajlar - ağın sınırlı işlevselliği, dosya sunucusunun ve iş istasyonlarının kaynaklarının bir kısmının kullanılması, kazara veya kasıtlı değişikliklere karşı yüksek hassasiyet, bilgisayar türlerine (donanımlarına) olası bağımlılık.
Karışık donanım ve yazılım, donanım ve yazılım ile aynı işlevleri ayrı ayrı uygular ve ara özelliklere sahiptir.
Banka'nın tüm ofis binaları, geçiş kontrol ve yönetim sistemi ile video gözetim sistemi kullanılarak güvenlik hizmeti tarafından izlenmektedir. Banka ofis binalarına giriş, geçiş kontrol ve yönetim sisteminde uygun izinlerle gerçekleştirilir. Bir çalışana iş başvurusunda bulunduğunda veya Banka ziyaretçisine, Banka'nın ofis binasına girmesi gerektiğinde, üzerinde kullanıcı tanımlayıcısının kayıtlı olduğu temassız Proximity-kartlar verilir ve ofise girmeye çalışırken, bu tanımlayıcı erişim kontrol ve yönetim sistemine iletilir. Sistem, kart kullanıcısının girmesine izin verilen odaların listesi ile girmek istediği odayı karşılaştırır ve odaya giriş izni verir veya kısıtlar.
Banka iş istasyonlarında anti-virüs yazılımı kuruludur. Kaspersky Endpoint 25 Kasım 2019 tarihine kadar geçerli FSTEC of Russia No. 3025 uygunluk sertifikasına sahip Security 10, virüs imza veritabanları merkezi olarak güncellenmektedir. sunucu parçası Bankada bulunan sunucuda kurulu anti-virüs.
Merkez Bankası ile elektronik belge yönetimini organize etmek için Banka'daki yetkililer özel bir iletişim hattı oluşturmuştur.
Elektronik belge yönetimini federal hizmetler ile organize etmek (Federal Vergi Servisi, Emeklilik fonu Rusya, Finansal İzleme Servisi vb.) elektronik imza kullanılmaktadır. Birlikte çalışmak Elektronik İmza federal hizmetlerle belge dolaşımından sorumlu icracıların yerel iş istasyonlarına özel yazılım yüklenir:
Kripto-Pro CSP;
Kripto-ARM;
CIPF Verba-OW;
CIPF Validatı;
Signal-COM CSP.
Belirli yazılımların yüklenici tarafından kullanılması, belirli bir Federal kurumun gereksinimlerine bağlıdır.
Banka yerel ağının uç noktasında Cisco Corporation tarafından üretilen Cisco ASA 5512 güvenlik duvarı kuruludur. Ayrıca, kritik bankacılık sistemleri (Bank of Russia Müşterisinin İş İstasyonu, SWIFT, Banka'nın ISPD'si) ayrıca Banka'nın yerel ağından Cisco güvenlik duvarları ile ayrılmıştır. Ek bir ofisle iletişim için VPN tünelleri, Cisco güvenlik duvarları kullanılarak düzenlenir.
1.8 Kurumsal önlemler
İngiliz denetim ve danışmanlık şirketi Ernst & Yong tarafından 2014 yılında yapılan bir araştırmaya göre, araştırmaya katılan şirketlerin yüzde 69'u şirket çalışanlarını bilgi güvenliği tehditlerinin ana kaynağı olarak görüyor.
Şirket çalışanları, cehaletlerinden veya bilgi güvenliği alanındaki yetersizliklerinden dolayı, kuruluşa hedefli saldırılar gerçekleştirmek için gerekli olan kritik bilgileri ifşa edebilirler. Saldırganlar ayrıca, çalışanın iş yerinin kontrolünü ele geçirmesini ve bu iş yerinden Banka'nın bilgi sistemlerine saldırmasını sağlayan gömülü kötü amaçlı yazılım içeren kimlik avı mesajları da gönderir.
Bu nedenle Banka'da bilgi güvenliği birimi, Banka çalışanlarını bilgi güvenliğinin temel ilkeleri konusunda eğitmek, işyerinde çalışırken güvenlik gerekliliklerine uyumu izlemek ve Banka çalışanlarını karşılaşabilecekleri yeni bilgi güvenliği tehditleri hakkında bilgilendirmekle yükümlüdür. .
PJSC Citibank'ta, tüm çalışanlar istihdam üzerine bir tanıtım brifinginden geçer. Ayrıca işe yeni başlayan çalışanlar, diğer yapısal birimlerden transfer edilen çalışanlar bilgi güvenliği bölümünde ön bilgilendirmeden geçirilmekte, çalışanlara Banka bilgi sistemleri ile çalışırken temel bilgi güvenliği kuralları, internette çalışırken güvenlik kuralları, güvenlik kuralları anlatılmaktadır. e-posta Bankası ile çalışırken, Bankanın şifre politikası.
Banka'nın bilgi güvenliği departmanı çalışanları, sistem geliştirmenin her seviyesinde Banka'nın yeni bilgi sistemlerinin geliştirilmesi ve uygulanmasında yer almaktadır.
Bir bilgi sisteminin geliştirilmesi için sistem tasarımı ve görev tanımının hazırlanması aşamasında, bilgi güvenliği departmanı sisteme güvenlik gereksinimleri getirir.
Bir bilgi sistemi geliştirme aşamasında, bilgi güvenliği departmanı çalışanları mevcut belgeleri inceler, yazılımı program kodundaki olası güvenlik açıkları açısından test eder.
Bilgi sisteminin test edilmesi ve devreye alınması aşamasında, bilgi güvenliği departmanı bilgi sisteminin testine aktif olarak katılır, bilgi sistemine sızma testleri ve hizmet reddi testleri yapar ve ayrıca bilgi sistemine erişim haklarını dağıtır.
Halihazırda devreye alınmış olan bilgi sisteminin çalışma aşamasında, bilgi güvenliği departmanı şüpheli faaliyetleri izler ve tespit eder.
Bilgi sisteminin sonlandırılması aşamasında, bilgi güvenliği departmanı, bilgi sisteminin çalışması sırasında elde edilen verilere dayanarak, bilgi sistemi için yeni gereksinimler oluşturur.
PJSC Citibank'taki Bilgi Güvenliği Departmanı, İnternet üzerindeki kaynaklara ve ayrıca Bankanın iç kaynaklarına erişim taleplerini onaylar.
1.9 Kişisel veri işleme döngüsü
Banka nezdinde saklanan kişisel veriler sadece hukuka uygun olarak elde edilmiştir.
Bankanın bir çalışanına ait alınan kişisel veriler, yalnızca Bankanın çalışan ile yaptığı sözleşme kapsamındaki yükümlülüklerini yerine getirmesi için işlenmektedir. Banka çalışanının kişisel verileri çalışanın kendisinden elde edilmektedir. Banka'nın tüm çalışanları, Banka çalışanlarının kişisel verilerinin işlenme prosedürünü belirleyen Banka belgelerine ve bu alandaki hak ve yükümlülüklerine imza karşılığında aşinadır.
Erişim kontrol ve yönetim sisteminin ISPD'sinde saklanan banka çalışanlarına ait kişisel veriler, çalışanın işyerine girişine olanak sağlamayı amaçlamaktadır.
Otomatik bankacılık sisteminin ISPD'sinde saklanan Banka müşterilerinin kişisel verileri, burada sadece Banka'nın Banka müşterisi ile yaptığı sözleşme kapsamındaki yükümlülüklerini yerine getirmesi için işlenmektedir. Ayrıca, otomatik bankacılık sisteminin ISPD'sinde, Banka ile sözleşme yapmayan ancak yasal olarak elde edilen kişilerin kişisel verileri işlenir, örneğin, alınan ve işlenen kişisel veriler, elde edilen Federal Kanun No. kriminal yollarla ve terörizmin finansmanı yoluyla”.
Kişisel verileri işleme amaçlarına ulaştıktan sonra, bunlar yok edilir veya kişiselleştirilmez.
2. BANKA'DA KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK ÖNLEMLERİN GELİŞTİRİLMESİ
PJSC Citibank'ta, kişisel veri koruma sistemi hem eyalet düzeyindeki yasalar hem de yerel yönetmelikler tarafından düzenlenir (örneğin, Tüzel Kişiler için Uzaktan Bankacılık Hizmetleri Kuralları ve bireysel girişimciler Ek 1'deki PJSC CITIBANK'ta ”).
PJSC Citibank'ın kişisel veri koruma sistemi, yeterli, kimlik avı ve fidye yazılımı virüslerinin iş istasyonlarına bulaşması gibi basit saldırılardan kaçınmak için, ancak kişisel verileri çalmayı amaçlayan hedefli saldırılara karşı koyamaz.
Kişisel verilerin korunması sisteminin yeniden yapılandırılması ve modernizasyonu konusunda çalışmalar yürüttüm.
2.1 Bankanın yerel bilgisayar ağını ve kişisel veri bilgi sistemini korumaya yönelik önlemler
Citibank ağında, saldırganların bankanın ağına tam erişim sağlayabilecekleri ve kontrolünü ele geçirebilecekleri, ardından müşterilerin veya Banka çalışanlarının kişisel verilerini özgürce çalabilecekleri, değiştirebilecekleri veya silebilecekleri belirgin zayıflıklar var.
Banka ağı tek bir segment olduğundan, davetsiz misafirlerin Banka ağına girme riskini en aza indirmek için teknoloji kullanılarak birkaç segmente bölünmesi gerekir. sanal ağlar.
Sanal ağ teknolojisi (VLAN) kavramı, ağ yöneticisinin, ağın hangi bölümüne bağlı olduklarından bağımsız olarak, içinde mantıksal kullanıcı grupları oluşturabilmesidir. Kullanıcıları, örneğin gerçekleştirilen işin veya ortaklaşa çözülen görevin ortaklığı temelinde mantıksal çalışma gruplarında birleştirebilirsiniz. Aynı zamanda, kullanıcı grupları birbirleriyle etkileşime girebilir veya birbirlerine tamamen görünmez olabilir. Grup üyeliği değiştirilebilir ve bir kullanıcı birden çok mantıksal grubun üyesi olabilir. Sanal ağlar, tıpkı ağ bölümleri arasındaki yayın trafiğini izole eden yönlendiriciler gibi, yayın paketlerinin ağ üzerinden geçişini sınırlayan mantıksal yayın alanları oluşturur. Bu şekilde, sanal ağ, yayın fırtınalarının oluşmasını engeller, çünkü yayın mesajları sanal ağ üyeleriyle sınırlıdır ve diğer sanal ağların üyeleri tarafından alınamaz. Sanal ağlar, dosya sunucuları veya uygulama sunucuları gibi paylaşılan kaynaklara erişmenin gerekli olduğu veya ortak bir görevin kredi ve ödeme departmanları gibi çeşitli hizmetlerin etkileşimini gerektirdiği durumlarda başka bir sanal ağın üyelerine erişime izin verebilir. Sanal ağlar, anahtar portları, ağa dahil olan cihazların fiziksel adresleri ve OSI modelinin üçüncü seviyesindeki protokollerin mantıksal adresleri temelinde oluşturulabilir. Sanal ağların avantajı, anahtarların yüksek hızında yatmaktadır, çünkü modern anahtarlar, OSI modelinin ikinci seviyesindeki anahtarlama sorunlarını çözmek için özel olarak tasarlanmış özel bir entegre devre seti içerir. Üçüncü seviyedeki sanal ağlar, ağ istemcilerinin yeniden yapılandırılması gerekmiyorsa kurulumu en kolay, yönetimi en zor olanlardır, çünkü bir ağ istemcisiyle yapılan herhangi bir eylem, ya istemcinin kendisinin ya da yönlendiricinin yeniden yapılandırılmasını gerektirir ve en az esnektir, çünkü sanal ağları iletmek için yönlendirme gereklidir, bu da sistemin maliyetini artırır ve performansını düşürür.
Böylece Banka içinde sanal ağların oluşturulması ARP-spoofing saldırılarının önüne geçecektir. Kötü niyetli kişiler, sunucu ile istemci arasında geçen bilgileri ele geçiremez. Saldırganlar ağa girerken Banka'nın tüm ağını değil, yalnızca eriştikleri ağ segmentini tarayabileceklerdir.
Saldırganlar, Banka ağına sızarken, kritik ağ düğümlerini bulmak için öncelikle ağı tarar. Bu düğümler:
etki alanı denetleyicisi;
Posta sunucusu;
Dosya sunucusu;
Uygulama sunucusu.
Bankadaki yerel ağ, sanal ağ teknolojisi kullanılarak organize edileceğinden, saldırganlar ek adımlar atmadan bu düğümleri tespit edemeyeceklerdir. Saldırganların yerel ağdaki kritik düğümleri bulmasını ve kafalarını karıştırmasını zorlaştırmak ve gelecekte saldırganların ağa saldırı düzenlerken stratejilerini incelemek için saldırganları çekecek sahte nesneler kullanmak gerekiyor. . Bu nesnelere bal küpü denir.
Honeypot'un görevi, saldırıya uğramak veya yetkisiz araştırma yapmaktır; bu, daha sonra saldırganların stratejisini incelemenize ve gerçek hayattaki güvenlik nesnelerine saldırılabilecek yolların listesini belirlemenize olanak tanır. Bir bal küpü uygulaması, özel olarak ayrılmış bir sunucu veya görevi bilgisayar korsanlarının dikkatini çekmek olan tek bir ağ hizmeti olabilir.
Bir bal küpü, üzerinde herhangi bir etki olmaksızın hiçbir şey yapmayan bir kaynaktır. Honeypot, korsanlar tarafından kullanılan yöntemlere ilişkin hangi istatistiklerin oluşturulduğunu ve bunlara karşı mücadelede daha sonra kullanılacak yeni çözümlerin varlığını analiz ettikten sonra az miktarda bilgi toplar.
Örneğin, adı olmayan ve neredeyse hiç kimse tarafından bilinmeyen bir web sunucusuna erişen konuklar olmamalıdır, bu nedenle ona girmeye çalışan herkes potansiyel bir saldırgandır. Honeypot, bu korsanların davranışları ve sunucuyu nasıl etkiledikleri hakkında bilgi toplar. Bundan sonra, bilgi güvenliği departmanının uzmanları, davetsiz misafirlerin kaynağa saldırısı hakkında bilgi toplar ve gelecekte saldırıları püskürtmek için stratejiler geliştirir.
İnternetten gelen bilgileri kontrol etmek ve bilgi güvenliğine yönelik tehditleri ağ üzerinden iletme aşamasında tespit etmek ve ayrıca Bankanın yerel ağına sızan davetsiz misafirlerin faaliyetlerini tespit etmek için, bir izinsiz giriş önleme sistemi kurmak gerekir. ağın kenarı.
İzinsiz giriş önleme sistemi, ağa bağlı bir yazılım veya donanımdır ve bilgisayar Güvenliği, izinsiz girişleri veya güvenlik ihlallerini algılar ve bunlara karşı otomatik olarak koruma sağlar.
Saldırı Önleme Sistemleri, saldırıları izleme görevi aynı kaldığı için Saldırı Tespit Sistemlerinin bir uzantısı olarak görülebilir. Ancak, izinsiz giriş önleme sisteminin etkinliği gerçek zamanlı olarak izlemesi ve saldırı önleme eylemlerini hızlı bir şekilde uygulaması bakımından farklılık gösterirler.
İzinsiz giriş tespit ve önleme sistemleri aşağıdakilere ayrılır:
Ağa izinsiz giriş önleme sistemleri - kuruluşun ağına yönlendirilen, ağın kendisinden geçen veya belirli bir bilgisayara yönlendirilen trafiği analiz edin. Saldırı tespit ve önleme sistemleri, çevre üzerine kurulan yazılım veya donanım-yazılım yöntemleri ile uygulanabilir. Şirket ağı ve bazen içinde.
Kişisel izinsiz giriş önleme sistemleri, iş istasyonlarına veya sunuculara kurulan ve uygulamaların etkinliğini kontrol etmenin yanı sıra olası saldırılar için ağ etkinliğini izlemenizi sağlayan yazılımlardır.
Banka ağında devreye alınması için bir ağ saldırı önleme sistemi seçilmiştir.
Dikkate alınan ağ sistemleri IBM, Check Point, Fortinet, Palo Alto tarafından izinsiz girişler, çünkü bu sistemlerin üreticilerinin beyan ettiği işlevsellik Banka'nın bilgi güvenliği departmanının gereksinimlerini karşıladı.
Test tezgahları konuşlandırıldıktan ve izinsiz giriş önleme sistemlerini test ettikten sonra, en iyi performansı, yerel bir ağ üzerinden iletilen en iyi virüs algılama alt sistemini, önemli olayların günlüğe kaydedilmesi ve günlüğe kaydedilmesi için en iyi araçları ve satın alma fiyatını gösterdiği için Check Point sistemi seçildi.
IBM'in saldırı önleme sistemi, cihazların maliyeti bilgi güvenliği departmanının izinsiz giriş önleme sistemi satın alma bütçesini aştığı için reddedildi.
Fortinet'in izinsiz giriş önleme sistemi, bilgi güvenliği departmanı virüslü dosyaları aktarmak için testler yaptığında ve önemli olayları günlüğe kaydetmek için yetersiz bilgilendirici araçlar yaptığında eksik yanıt nedeniyle reddedildi.
Palo Alto'nun saldırı önleme sistemi, önemli olayları günlüğe kaydetmek için yetersiz bilgilendirici araçlar, sistemle çalışmanın aşırı karmaşıklığı ve daha çok bir yönlendirici gibi davranması nedeniyle reddedildi.
Yerel ağda uygulama için Check Point saldırı önleme sistemi seçildi. Bu sistem, bilgi güvenliği tehditlerini yüksek düzeyde tespit etme, esnek ayarlar, ek yazılım modülleri satın alarak işlevselliği genişletme yeteneği, önemli olayları günlüğe kaydetmek için güçlü bir sisteme ve kullanılabilecek olay raporları sağlamak için güçlü bir araç setine sahiptir. bilgi güvenliği olaylarını araştırmak çok daha kolay.
PJSC Citibank'ın değiştirilmiş bir mimariye sahip ağ şeması Şekil 6'da gösterilmektedir.
2.2 Yazılım ve donanım korumaları
Kişisel verilerin güvenliği sadece ağ koruması ile sağlanamayacağından, davetsiz misafirler, ağı korumak için alınan tüm önlemlere rağmen Banka ağına erişebilmektedir.
Ek güvenlik sistemleri ile Şekil 6 PJSC Citibank ağ diyagramı
Saldırılara karşı daha esnek koruma için, ağı korumak için tasarlanan cihazlara yerel iş istasyonları, sanal iş istasyonları, sanal ve normal sunucular için yazılım ve donanım koruma cihazları eklemek gerekir.
Bildiğiniz gibi anti-virüs programları imza analizi prensibiyle çalıştıkları için kötü niyetli yazılımlara karşı tam bir koruma sağlamazlar. Bir virüsten koruma yazılımı şirketinin, İnternet'teki virüs etkinliğini izleyen, virüs yazılımının test istasyonlarındaki davranışını inceleyen ve daha sonra virüsten koruma yazılımı imza veritabanlarını güncelleyerek kullanıcıların bilgisayarlarına gönderilen imzaları oluşturan uzmanları vardır. Anti-virüs yazılım imzalarının güncellenmiş bir veritabanını alan anti-virüs, kullanıcının iş istasyonundaki dosyaları tarar ve kötü amaçlı yazılım belirtileri arar; tarama sırasında bu tür işaretler bulunursa, anti-virüs bunu işaret eder ve uygun şekilde hareket eder. kullanıcı veya anti-virüs yöneticisi tarafından belirlenen ayarlar. Bu nedenle, kötü amaçlı yazılım, virüsten koruma yazılımı şirketinin uzmanları tarafından tespit edilip analiz edilmezse, virüsten koruma yazılımı, taranan dosyanın güvenli olduğunu düşünerek, kötü amaçlı yazılımı tespit edemeyecek ve herhangi bir işlem yapmayacaktır. Bu nedenle, ağa erişim ve kötü amaçlı yazılım başlatma olasılığını azaltmak için Banka'da ikinci bir devre kurulmuştur. antivirüs koruması. Çoğu antivirüs yazılım firması birbirinden ayrı çalıştığından, henüz bir antivirüs yazılım firması tarafından tespit edilemeyen kötü amaçlı yazılımlar başka bir geliştirici tarafından tespit edilebilmekte ve tespit edilen tehdit için şimdiden imzalar oluşturulabilmektedir.
Böyle bir şemayı uygulamak için, 20 Eylül 2017 tarihine kadar geçerli olan FSTEC of Russia No. 2446 uygunluk sertifikasına sahip Doctor WEB Enterprise güvenlik paketi antivirüsünün kurulu olduğu sanal bir iş istasyonu oluşturuldu. Banka çalışanları tarafından çalışmaları sırasında indirilen tüm dosyalar bu istasyona gönderilir ve antivirüs tarafından taranır. Kötü amaçlı yazılım tespit edilirse, antivirüs bilgi güvenliği departmanına tehdidin adını ve virüslü dosyanın depolandığı yolu içeren bir e-posta gönderir. Bilgi güvenliği departmanı, kötü amaçlı yazılımları kaldırmak için adımlar atar. Kullanıcıların yüklediği dosyalar anti-virüs yazılım kontrolünden geçerse dosyayı yükleyen kullanıcı bilgi güvenliği departmanına talepte bulunur ve departman çalışanları indirilen dosyayı kullanıcıya aktarır.
Ayrıca, Banka çalışanlarına büyük miktarda kötü amaçlı yazılımlar, e-posta. Bunlar hem sıradan şifreleme virüsleri hem de saldırganların uzak bağlantı kullanarak bir Banka çalışanının virüs bulaşmış bilgisayarına sızmasına olanak tanıyan kötü amaçlı yazılımlar olabilir.
Bu tür tehditlerin risklerini en aza indirmek amacıyla Banka'nın mail sunucusuna ClamAW anti-virüs yazılımı kurularak koruma altına alınmıştır. posta sunucuları.
Kişisel veri bilgi sistemlerine erişimi olan bir yerel istasyonun kullanıcısının şifresini bir şekilde öğrenen dahili davetsiz misafirler tarafından yetkisiz erişime karşı korunmak için, kişisel verilerle çalışan kullanıcıların yerel iş istasyonlarına yetkisiz erişime karşı bir bilgi koruma sistemi kurmak gerekir. veri bilgi sistemleri.
.Banka çalışanlarının eğitimi, bilgi güvenliği departmanı uzmanı tarafından yürütülmektedir.
Bilgi güvenliği departmanı çalışanı, Banka'nın plana göre belirlenen bir bölümünde eğitim vermektedir. Eğitim sonrasında birim çalışanları, eğitim sırasında edinilen bilgileri teyit ettikleri testlerden geçmektedir.
Temel güvenlik politikası, her birimde yılda en az dört kez eğitim verilmesini düzenler.
Ayrıca, çalışanların eğitimine paralel olarak, bilgi güvenliği departmanı çalışanlarının Banka'nın tüm çalışanlarına temel güvenlik kurallarını, Banka'nın bilgi güvenliğine yönelik yeni tehditleri açıklayan bilgi yazılarını en az ayda bir kez göndermeleri, varsa tespit edilir.
2.3.2 Çalışanların İnternet kaynaklarına erişim sırası
Bankanın 3 internet erişim grubu vardır, ancak bu tür bir erişim bölümü verimsizdir, çünkü bir çalışanın görevlerini yerine getirmesi için tam erişim grubuna dahil bir ağ kaynağından bilgi alması gerekebilir. Güvenli olmayan İnternet'e tam erişim sağlamak için.
Grup 6: arşivlerin indirilmesi - grup, İnternet kaynaklarına herhangi bir erişim sağlamaz;Grup 7: indir yürütülebilir dosyalar- grup, İnternet kaynaklarına herhangi bir erişim sağlamaz;
Grup 8: İnternete tam erişim - İnternet kaynaklarına tam erişim, herhangi bir dosyanın indirilmesi.
Çalışan, İnternet kaynaklarına erişim sağlamak için ServiceDesk sistemi üzerinden bir başvuru oluşturur ve departman başkanı veya yönetimi ve bilgi güvenliği departmanı çalışanı tarafından onaylandıktan sonra, çalışana talep edilen gruba göre İnternet kaynaklarına erişim izni verilir. .
2.3.3 Çalışanların banka içi kaynaklara erişim prosedürü
Bir çalışanın çalışmasıyla ilgili ana belgeler, yerel işyerinde veya çalıştığı otomatik sistemde bulunur. Ayrıca, Banka'nın her bölümünün, Banka'nın dosya sunucusunda, bölümün birkaç çalışanı için gerekli bilgileri depolayan ve Banka'nın e-posta ile iletilmesi için büyük boyutlu bir bölümü vardır.
Banka'ya yeni başlayan bir çalışan işe başladığında direkt yöneticisi, banka içi kaynağa erişim için ServiceDesk sistemi üzerinden sistem yönetimi bölümüne başvuru gönderir ve başvuru bilgi güvenliği çalışanı tarafından onaylandıktan sonra, sistem yönetimi departmanı çalışanı, yeni çalışana istenen kaynağa erişim sağlar.
Çoğu zaman, Banka'nın çeşitli bölümlerinin çalışmalarının kesiştiği ve bilgi alışverişi için bu bölümlerin Banka'nın dosya sunucusunda ayrı bir bölüme ihtiyaç duyduğu durumlar vardır.
Bu bölümü oluşturmak için, proje üzerinde çalışma sürecinde yer alan departmanlardan birinin başkanı olan proje yöneticisi, ServiceDesk sistemi aracılığıyla bir uygulama oluşturur. paylaşılan kaynak ve bu kaynağa ortak bir proje üzerinde çalışan departmanlarının belirli çalışanları ve projede birlikte çalıştığı departman başkanı tarafından erişim. Bilgi yetkilisi tarafından onaylandıktan sonra, sistem yönetim yetkilisi talep edilen kaynağı oluşturur ve talep edilen çalışanlara erişim izni verir. Projeye katılan her bölüm başkanı, yalnızca kendisine bağlı olan çalışanlar için erişim talep eder.
2.3.4 Çalışanlar e-posta ile nasıl çalışır?
Önceden, temel bir güvenlik politikası oluşturmadan önce, her çalışan harici posta sunucularından e-posta ile alınan mektupların ve dosyaların tehlike derecesini kendisi belirliyordu.
Temel bir güvenlik politikası oluşturduktan sonra, her kullanıcının harici posta sunucularından e-posta ile aldığı her dosyayı kötü amaçlı yazılımlara karşı kontrol etmek için bilgi güvenliği departmanına göndermesi gerekir, mektupların tehlike derecesi çalışan tarafından bağımsız olarak belirlenir. Bir Banka çalışanı, gelen bir mesajın spam veya kimlik avı içerdiğinden şüphelenirse, mektubu eksiksiz, yani gönderen, onun hakkındaki tüm resmi bilgileri içeren şekilde göndermekle yükümlüdür. Posta kutusu ve IP adresi, bilgi güvenliği departmanına. Bilgi güvenliği departmanı, şüpheli bir mektubu analiz ettikten ve bu mektubun tehdidini onayladıktan sonra, mektubu gönderen kişinin adresini sistem yönetimi departmanına gönderir ve sistem yönetimi departmanının bir çalışanı, mektubu gönderen kişinin adresini kara listeye alır.
Sütten keserken daima iş yerini engelleyin.
2.3.6 Çalışanların kişisel verilere erişimine ilişkin kurallar
Rusya Federasyonu İş Kanunu'nun 14. Bölümünün 89. Maddesi uyarınca, bir Banka çalışanının kişisel verilerine erişme hakkı vardır, ancak diğer Banka çalışanlarının veya Banka müşterilerinin kişisel verilerini yalnızca resmi görevlerinin yerine getirilmesi için işlemesine izin verilir. .
Kişisel veri bilgi sistemlerine erişim üzerinde kontrol sağlamak için banka, kişisel veri bilgi sistemlerine erişim için aşağıdaki kuralları oluşturmuştur:
Yalnızca iş sorumlulukları kişisel verilerin işlenmesini içeren çalışanların ISPD'ye erişimi vardır;
ISPD'ye erişime yalnızca kişisel verilerle çalışan bir çalışanın yerel işyerinden izin verilir;
Banka, Kişisel Veri Bilgi Sistemini ve çalışan tarafından işlenmesine izin verilen kişisel verilerin listesini gösteren, Banka çalışanlarının ve müşterilerinin kişisel verilerine erişmesine izin verilen çalışanları soyadı ile tanımlayan bir belge oluşturmuştur.
3. PROJENİN EKONOMİK GEREKÇESİ
Bir kişisel veri koruma sistemi uygulamak için aşağıdakileri satın almak gerekir:
Banka ağını korumak için ekipman;
Bilgi güvenliği donanımı;
Bilgi güvenliği yazılımı.
Kuruluşun ağını yeniden oluşturmak için, 3 adet Cisco Catalyst 2960 anahtarı satın almak gerekir. Banka ağının çekirdek seviyesinde çalışması için bir anahtar, dağıtım seviyesinde çalışması için 2 anahtar gereklidir. ağ donanımı Ağın yeniden yapılandırılmasından önce bankada çalışmış olanlar da dahil olacak.
Toplam maliyet (RUB) 9389159 613
Doctor WEB Kurumsal güvenlik kıyafeti155005500
Toplam maliyet1 371 615
ÇÖZÜM
Bitirme projemde kişisel verilerin korunmasına yönelik yasal çerçeveyi inceledim. Kişisel verilerin güvenliğine yönelik tehditlerin ana kaynaklarını değerlendirdim.
Dikkate alınan kişisel tehditlere dayanarak analiz ettim mevcut sistem PJSC Citibank'ta Kişisel Verilerin Korunması ve ciddi şekilde iyileştirilmesi gerektiği sonucuna varıldı.
Bitirme projesi sırasında Banka yerel ağında zafiyetler tespit edilmiştir. Banka yerel ağında ortaya çıkan zafiyetler dikkate alınarak, Banka ağında bilgi güvenliği risklerini en aza indirecek önlemler belirlenmiştir.
Banka çalışanlarının ve müşterilerinin kişisel verilerini işleyen çalışanların yerel işyerlerini korumaya yönelik cihaz ve yazılımlar da değerlendirilmiş ve seçilmiştir.
Benim de katılımımla bilgi güvenliği konularında çalışanları bilinçlendirmek için bir sistem oluşturuldu.
Banka çalışanlarının internete erişim prosedürü köklü bir şekilde yeniden tasarlanmış ve internet erişim grupları yeniden tasarlanmıştır. Yeni İnternet erişim grupları, kullanıcıların sınırlı dosya indirme ve güvenilmeyen kaynaklara erişme yeteneği nedeniyle bilgi güvenliği risklerini önemli ölçüde en aza indirmeyi mümkün kılar.
Ağı yeniden inşa etmenin ve bilgi güvenliği tehditlerinin çoğunu yansıtabilen uygulanabilir bir kişisel veri koruma sistemi oluşturmanın maliyetine ilişkin hesaplamalar verilmektedir.
KULLANILAN LİTERATÜR LİSTESİ
1. "Rusya Federasyonu Anayasası" (12 Aralık 1993'te halk oyu ile kabul edilmiştir) (30 Aralık 2008 tarihli Rusya Federasyonu Anayasasında yapılan değişikliklere ilişkin Rusya Federasyonu Kanunlarında yapılan değişikliklere tabidir N 6- FKZ, 30 Aralık 2008 N 7-FKZ, 5 Şubat 2014 N 2-FKZ, 21 Temmuz 2014 tarihli N 11-FKZ) // 21 Temmuz'da değiştirilen Rusya Federasyonu Anayasasının resmi metni , 2014, Resmi Yasal Bilgi İnternet Portalında yayınlandı http://www.pravo.gov.ru, 08/01/2014
2. "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel veri güvenliği tehditlerinin temel modeli" (Alıntı) (Rusya Federasyonu FSTEC tarafından 15 Şubat 2008'de onaylanmıştır)
3. 27 Temmuz 2006 tarihli Federal Kanun N 149-FZ (6 Temmuz 2016'da değiştirildiği şekliyle) “Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında” // Belge bu formda yayınlanmadı. Belgenin orijinal metni " Rus gazetesi", N 165, 29.07.2006
4. 30 Aralık 2001 tarihli "Rusya Federasyonu İş Kanunu" N 197-FZ (3 Temmuz 2016'da değiştirildiği şekliyle) (değiştirildiği ve eklendiği şekliyle, 3 Ekim 2016'da yürürlüğe girdi) // Belge yayınlanmadı bu haliyle belgenin orijinal metni Rossiyskaya Gazeta, N 256, 31.12.2001'de yayınlanmıştır.
5. 01.11.2012 N 1119 tarihli Rusya Federasyonu Hükümeti Kararı "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması üzerine" // "Rossiyskaya Gazeta", N 256, 07.11.2012
6. 18 Şubat 2013 tarihli Rusya FSTEC Emri N 21 “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için organizasyonel ve teknik önlemlerin bileşimi ve içeriğinin onaylanması üzerine” (Bakanlıkta kayıtlı) Rusya'nın Adaleti, 14 Mayıs 2013 N 28375) // “Rus gazetesi”, N 107, 22.05.2013
7. “Rusya Bankası Standardı” “Rusya Federasyonu bankacılık sistemi kuruluşlarının bilgi güvenliğinin sağlanması. Genel hükümler "STO BR IBBS-1.0-2014" (17 Mayıs 2014 N R-399 tarihli Rusya Merkez Bankası Emri ile kabul edilmiş ve yürürlüğe girmiştir) // Rusya Merkez Bankası Bülteni, No. 48-49, 30 Mayıs 2014
8. “Para transferleri yaparken bilgilerin korunmasını sağlamaya yönelik gereklilikler ve Rusya Merkez Bankası'nın para transferleri yaparken bilgilerin korunmasını sağlamaya yönelik gerekliliklere uygunluk üzerinde kontrol uygulama prosedürüne ilişkin Yönetmelik” (Banka tarafından onaylanmıştır) Rusya'nın 09.06.2012 N 382-P tarihli ve 14 Ağustos 2014 tarihli tadil edilmiş hali) (14 Haziran 2012 tarihli ve 24575 sayılı Rusya Adalet Bakanlığına tescil edilmiştir) // Belge bu şekilde yayınlanmamıştır, aslı belgenin metni Rusya Merkez Bankası Bülteni'nde yayınlandı, N 32, 22.06.2012
9. “Suçtan elde edilen gelirlerin yasallaştırılması (aklanması) ve terörizmin finansmanı ile mücadele hakkında” Federal Yasa tarafından sağlanan bilgilerin kredi kurumları tarafından yetkili organa sunulmasına ilişkin usule ilişkin düzenlemeler (Rusya Bankası tarafından onaylanmıştır) 29 Ağustos 2008 tarihli N 321-P) (Değişik: 10/15/2015 tarihli) (“ECO’nun iletilmesi ve alınması sırasında bilgi güvenliğinin sağlanmasına ilişkin Usul”, “ECO’nun oluşum kuralları ve ECO kayıtlarının münferit alanlarının doldurulması”) (16.09.2008 N 12296 tarihinde Rusya Adalet Bakanlığı'na kayıtlı) // Bu formda belge yayınlanmadı, Belgenin orijinal metni Bülten'de yayınlandı Bank of Russia, N 54, 26.09.2008
10. 18 Şubat 2013 tarihli Rusya FSTEC Emri N 21 “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için organizasyonel ve teknik önlemlerin Bileşimi ve içeriğinin onaylanması üzerine” (Bakanlıkta kayıtlı) Rusya'nın Adaleti, 14 Mayıs 2013 N 28375) // “Rus gazetesi”, N 107, 22.05.2013
11. Averchenkov V.I., Rytov M.Yu., Gainulin T.R. Kuruluşlarda kişisel verilerin korunması. M.: Flinta, 2018
12. Agapov A. B. Rusya Federasyonu'nda bilişim alanında kamu yönetiminin temelleri. M.: Hukukçu, 2012
13. Kostin A.A., Kostina A.A., Latyshev D.M., Moldovyan A.A. Yazılım kompleksleri kişisel verilerin bilgi sistemlerinin korunması için "AURA" serisi // Izv. üniversiteler. enstrümantasyon. 2012. V.55, Sayı 11
14. Moldovyan A. A. Bilgisayar bilgilerinin korunması için kriptografi (bölüm 1) // Integral. 2014. Sayı 4 (18)
15. Romanov O.A., Babin S.A., Zhdanov S.G. Bilgi güvenliğinin kurumsal desteği. - M.: Akademi, 2016
16. Shults V.L., Rudchenko A.D., Yurchenko A.V. İş güvenliği. M.: Yurayt Yayınevi, 2017
Uygulamalar (eserle birlikte arşivde mevcuttur).
152-FZ “Kişisel Veriler Hakkında” Madde 18'in 5. Kısmının eklenmesiyle bağlantılı olarak özellikle yabancı şirketlerin Rus bölümleri için talep haline geldi: “... operatör kayıt, sistemleştirme, biriktirme, depolama sağlamakla yükümlüdür. , açıklama (güncelleme, değiştirme), kişisel veri Rusya Federasyonu topraklarında bulunan veritabanlarını kullanan Rusya Federasyonu vatandaşları" . Kanunda bir takım istisnalar vardır, ancak düzenleyici tarafından bir kontrol yapılması durumunda "ama bu bizi ilgilendirmez" den daha güvenilir kozlara sahip olmak istediğinizi kabul etmelisiniz.
İhlal edenler için cezalar çok ağırdır. çevrimiçi alışveriş, sosyal medya, bilgi siteleri, ilgili diğer işletmeler internet denetim makamlarından gelen taleplerde fiilen kapatılabilirler. Belki ilk kontrolde düzenleyici eksikliklerin giderilmesi için süre verecektir, ancak süre genellikle sınırlıdır. Sorun çok hızlı bir şekilde çözülmezse (ki bu ön hazırlık olmadan yapılması zordur), kayıplar artık telafi edilemez. Web sitesi engelleme, yalnızca satışların durmasına yol açmaz, aynı zamanda pazar payı kaybı anlamına gelir.
Çevrimdışı şirketler için kişisel verilerle ilgili yasayı ihlal edenlerin "kara listesinde" yer alması daha az dramatik. Ancak bu, yabancı şirketler için önemli bir faktör olan itibar risklerini de beraberinde getiriyor. Ayrıca artık kişisel verilerin korunması ile ilgili olmayan neredeyse hiçbir faaliyet yok. Bankalar, ticaret ve hatta imalat - hepsi müşteri tabanına sahiptir, bu da ilgili yasalara tabi oldukları anlamına gelir.
Burada şirketler içinde konunun tek başına ele alınamayacağını anlamak önemlidir. Kişisel verilerin korunması, sunuculara sertifikalı güvenlik araçları kurularak ve kağıt kartların kasalara kilitlenmesiyle sınırlandırılamaz. Kişisel verilerin şirkete birçok giriş noktası vardır - satış departmanları, İK, müşteri hizmetleri ve bazen de eğitim merkezleri, satın alma komisyonları ve diğer bölümler. Kişisel veri koruma yönetimi, etkileyen karmaşık bir süreçtir. BT, belge akışı, yönetmelikler, yasal kayıt.
Böyle bir süreci yürütmek ve sürdürmek için ne yapılması gerektiğine bir göz atalım.
Hangi veriler kişisel kabul edilir?
Kesin olarak, belirli bir kişiyi doğrudan veya dolaylı olarak ilgilendiren her türlü bilgi, onun kişisel verileridir. Tüzel kişilerden değil, insanlardan bahsettiğimize dikkat edin. Bu (ve ilgili) verilerin korunmasını başlatmak için ikametgahın tam adını ve adresini belirtmenin yeterli olduğu ortaya çıktı. Ancak, alma e-posta bir kişinin kişisel verilerinin imza biçiminde olması ve telefon numarası onları savunmak için hiçbir sebep yok. Anahtar terim: "Kişisel veri toplama kavramı." Bağlamı netleştirmek için, Kanun'un “Kişisel Veriler Hakkında” başlıklı birkaç maddesini özellikle vurgulamak istiyorum.
Madde 5. Kişisel veri işleme esasları. Bu bilgilerin neden toplandığını netleştiren net hedefler olmalıdır. Aksi takdirde, diğer tüm norm ve kurallara tam olarak uyulsa bile yaptırımlar muhtemeldir.
Madde 10. Özel kişisel veri kategorileri. Örneğin, personel departmanı, çalışanların hamileliği de dahil olmak üzere iş gezilerindeki kısıtlamaları düzeltebilir. Tabii ki, bu tür ek bilgiler de korumaya tabidir. Bu, PD anlayışını ve ayrıca korumaya dikkat edilmesi gereken departmanların ve şirketin bilgi havuzlarının listesini büyük ölçüde genişletir.
Madde 12. Kişisel verilerin sınır ötesi aktarımı. Kişisel Verilerin Korunmasına İlişkin Sözleşmeyi onaylamamış bir ülkenin topraklarında (örneğin İsrail'de) Rusya Federasyonu vatandaşlarına ilişkin verileri içeren bir bilgi sistemi bulunuyorsa, Rus mevzuatı hükümlerine uyulmalıdır.
Madde 22. Kişisel verilerin işlenmesine ilişkin bildirim. Gerekli koşul düzenleyicinin gereksiz dikkatini çekmemek için. Yol göstermek girişimcilik faaliyeti PD ile ilgili - kontrolleri beklemeden kendiniz bildirin.
Kişisel verilerin nerede bulunabileceği
Teknik olarak PD, basılı ortamdan (kağıt dosya dolapları) makine ortamına (sabit sürücüler, flash sürücüler, CD'ler, vb.) kadar herhangi bir yere yerleştirilebilir. Yani, ISPD (kişisel veri bilgi sistemleri) tanımına giren herhangi bir veri depolamaya odaklanılır.
Konumun coğrafyası ayrı bir büyük sorudur. Bir yandan, Rusların (Rusya Federasyonu vatandaşı olan kişiler) kişisel verilerinin Rusya Federasyonu topraklarında saklanması gerekmektedir. Öte yandan, şu anda bir oldu bittiden çok durumun gelişiminin bir vektörüdür. Pek çok uluslararası ve ihracat şirketi, çeşitli holdingler, ortak girişimler tarihsel olarak dağıtılmış bir altyapıya sahipti ve bu bir gecede değişmeyecek. Neredeyse şimdi, hemen ayarlanması gereken kişisel verileri saklama ve koruma yöntemlerinin aksine.
PD'nin kaydedilmesi, düzenlenmesi, biriktirilmesi, saklanması, açıklığa kavuşturulması (güncellenmesi, değiştirilmesi), çıkarılması ile ilgili departmanların asgari listesi:
- Personel servisi.
- Satış Departmanı.
- Hukuk Departmanı.
Mükemmel düzen nadiren hüküm sürdüğü için, gerçekte, en öngörülemeyen birimler genellikle bu "beklenen" listeye eklenebilir. Örneğin, bir depo, tedarikçiler hakkında kişiselleştirilmiş bilgilere sahip olabilir veya bir güvenlik servisi, bölgeye giren herkesin kendi ayrıntılı kaydını tutabilir. Böylece, bu arada, çalışanlar için PD'nin bileşimi, müşteriler, ortaklar, yükleniciler ve ayrıca rastgele ve hatta diğer kişilerin ziyaretçileri hakkındaki verilerle desteklenebilir - PD'leri geçiş için fotoğraflandığında, kimlik taraması yapıldığında "suç" haline gelir kart ve diğer bazı durumlarda. ACS (erişim kontrol ve yönetim sistemleri), kişisel verilerin korunması bağlamında kolayca bir sorun kaynağı haline gelebilir. Bu nedenle, "Nerede?" Yasaya uyulması açısından kulağa şöyle geliyor: sorumlu bölgenin her yerinde. Daha doğru bir cevap ancak uygun bir denetim yapılarak verilebilir. bu ilk aşama proje kişisel verilerin korunması için. Tam liste ana aşamaları:
1) Şirketteki mevcut durumun denetimi.
2) Teknik bir çözüm tasarlamak.
3) Kişisel verilerin korunmasına yönelik bir süreç hazırlamak.
4) Rusya Federasyonu mevzuatına ve şirket düzenlemelerine uygunluk açısından kişisel verilerin korunmasına yönelik teknik çözümün ve sürecin doğrulanması.
5) Teknik bir çözümün uygulanması.
6) Kişisel verilerin korunması sürecini başlatmak.
1. Şirketteki mevcut durumun denetimi
Her şeyden önce, kişisel verilerle kağıt ortamı kullanan personel servisi ve diğer departmanlarla görüşün:
- Kişisel verilerin işlenmesine ilişkin onay formları var mı? Doldurulmuş ve imzalanmış mı?
- 15 Eylül 2008 tarih ve 687 sayılı “Kişisel Verilerin Otomasyon Araçları Kullanılmadan İşlenmesinin Esaslarına İlişkin Yönetmelik”e uyuluyor mu?
ISPD'nin coğrafi konumunu belirleyin:
- Hangi ülkelerdeler?
- Hangi temelde?
- Kullanımları için sözleşmeler var mı?
- PD sızıntısını önlemek için hangi teknolojik koruma kullanılır?
- PD'yi korumak için hangi kurumsal önlemler alınmaktadır?
İdeal olarak, Rusların PD'sine sahip bir bilgi sistemi, yurt dışında bulunsa bile 152-FZ "Kişisel Veriler Üzerine" Yasasının tüm gerekliliklerine uymalıdır.
Son olarak, doğrulama durumunda gerekli olan etkileyici belge listesine dikkat edin (hepsi bu kadar değil, yalnızca ana liste):
- PD işleme bildirimi.
- PD'nin işlenmesini organize etmekten sorumlu kişiyi tanımlayan bir belge.
- PD işlemeye yetkili çalışanların listesi.
- PD depolamasının yerini belirleyen bir belge.
- Özel nitelikli ve biyometrik kişisel veri kategorilerinin işlenmesine ilişkin bilgilendirme.
- PD'nin sınır ötesi transfer sertifikası.
- PD ile standart belge biçimleri.
- Kişisel verilerin işlenmesine ilişkin standart onay formu.
- PD'yi üçüncü şahıslara devretme prosedürü.
- PD öznelerinden gelen isteklerin muhasebeleştirilmesi prosedürü.
- Kişisel veri bilgi sistemlerinin (ISPD) listesi.
- ISPD'de veri yedeklemeyi düzenleyen belgeler.
- Kullanılan bilgi güvenliği araçlarının listesi.
- PD'nin imhası için prosedür.
- Erişim Matrisi.
- tehdit modeli
- Makine ortamı PD'nin kayıt defteri.
- 1 Kasım 2012 tarihli PP-1119 "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereksinimlerin onaylanması üzerine" uyarınca her bir ISPD için güvenlik düzeylerini tanımlayan bir belge.
2. Teknik bir çözüm tasarlama
PD'yi korumak için alınması gereken organizasyonel ve teknik önlemlerin bir açıklaması, 152-FZ "Kişisel Verilere İlişkin" Kanunun 4. Bölüm "İşleticinin yükümlülükleri" bölümünde verilmiştir. Teknik çözüm, 21 Temmuz 2014 tarih ve 242-FZ sayılı Kanun'un 2. Maddesi hükümlerine dayanmalıdır.
Ancak, ISPD'nin hala yurtdışında olması durumunda, Rusya Federasyonu vatandaşlarının PD'sinin Rusya topraklarında yasaya nasıl uyulacağı ve işleneceği? Burada birkaç seçenek var:
- Bilgi sisteminin ve veri tabanının Rusya Federasyonu topraklarına fiziksel olarak aktarılması. Teknik olarak mümkünse, en kolayı olacaktır.
- ISPD'yi yurtdışında bırakıyoruz, ancak Rusya'da bunun bir kopyasını oluşturuyoruz ve Rusya Federasyonu vatandaşlarının PD'sinin bir Rus kopyasından yabancı bir kopyaya tek yönlü bir kopyasını oluşturuyoruz. Aynı zamanda, yabancı bir sistemde, Rusya Federasyonu vatandaşlarının kişisel verilerini değiştirme olasılığını dışlamak gerekir, tüm düzenlemeler yalnızca Rusya ISPD aracılığıyla yapılır.
- Birkaç ISPD var ve hepsi yurtdışında. Transfer pahalı olabilir ve hatta teknik olarak mümkün olmayabilir (örneğin, veri tabanının bir bölümünü Rusya Federasyonu vatandaşlarının kişisel verileriyle ayırmak ve Rusya'ya taşımak imkansızdır). Bu durumda çözüm, Rusya'daki bir sunucudaki mevcut herhangi bir platformda yeni bir ISPD oluşturmak olabilir ve buradan her bir yabancı ISPD'ye tek yönlü çoğaltma yapılacaktır. Platform seçiminin şirkete bağlı olduğunu unutmayın.
PDIS tamamen ve münhasıran Rusya'ya aktarılmamışsa, sınır ötesi veri aktarımı sertifikasında kime ve hangi belirli PD setinin gönderildiğini belirtmeyi unutmayın. Kişisel verilerin aktarım amacı, işleme bildiriminde belirtilmelidir. Yine, bu hedef meşru ve açıkça gerekçelendirilmelidir.
3. Kişisel verilerin korunmasına yönelik sürecin hazırlanması
Kişisel verilerin korunması süreci en azından aşağıdaki noktaları tanımlamalıdır:
- Şirkette kişisel verilerin işlenmesinden sorumlu kişilerin listesi.
- ISPD'ye erişim verme prosedürü. İdeal olarak bu, her bir pozisyon veya belirli bir çalışan için (okuma/okuma-yazma/değiştirme) erişim düzeyine sahip bir erişim matrisidir. Veya her pozisyon için mevcut PD'nin bir listesi. Her şey IP'nin uygulanmasına ve şirketin gereksinimlerine bağlıdır.
- Kişisel verilere erişimin denetimi ve erişim seviyelerinin ihlali ile erişim girişimlerinin analizi.
- Kişisel verilere erişilememesinin nedenlerinin analizi.
- PD öznelerinden PD'lerine ilişkin taleplere yanıt verme prosedürü.
- Şirket dışına aktarılan kişisel veriler listesinin revize edilmesi.
- Yurt dışı da dahil olmak üzere kişisel verilerin alıcılarının gözden geçirilmesi.
- PD için tehdit modelinin periyodik olarak gözden geçirilmesi ve ayrıca tehdit modelindeki bir değişiklik nedeniyle kişisel verilerin korunma seviyesindeki bir değişiklik.
- Şirket belgelerinin güncel tutulması (yukarıdaki liste ve gerekirse eklenebilir).
Burada her öğeyi detaylandırabilirsiniz, ancak güvenlik düzeyine özellikle dikkat etmek istiyorum. Aşağıdaki belgeler temelinde belirlenir (sırayla okunur):
1. "Mevcut tehditleri belirleme metodolojisi güvenlik kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel veriler” (FSTEC RF 14 Şubat 2008).
2. 1 Kasım 2012 tarihli ve 1119 sayılı Rusya Federasyonu Hükümeti Kararı “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereksinimlerin onaylanması hakkında”.
3. 18 Şubat 2013 tarihli FSTEC Emri No. 21 "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için organizasyonel ve teknik önlemlerin bileşimi ve içeriğinin onaylanması üzerine."
Ayrıca, aşağıdaki gibi harcama kategorilerine olan ihtiyacı dikkate almayı unutmayın:
- organizasyon proje takımı ve proje yönetimi.
- ISPD platformlarının her biri için geliştiriciler.
- Sunucu kapasiteleri (veri merkezinde sahip olunan veya kiralanan).
Projenin ikinci ve üçüncü aşamalarının sonunda şunlara sahip olmalısınız:
- Maliyet hesabı.
- kalite gereksinimleri.
- Proje zamanlaması ve programı.
- Projenin teknik ve organizasyonel riskleri.
4. Rusya Federasyonu mevzuatına ve şirket düzenlemelerine uygunluk açısından kişisel verilerin korunmasına yönelik teknik çözüm ve sürecin doğrulanması
İfade açısından kısa, ancak planlanan tüm eylemlerin Rusya Federasyonu mevzuatına ve şirket kurallarına (örneğin, güvenlik politikaları) aykırı olmadığından emin olmanız gereken önemli bir adım. Bu yapılmazsa, gelecekte “patlayabilecek” ve elde edilen sonuçların faydalarını yok edebilecek bir bomba projenin temeline atılacaktır.
5. Teknik bir çözümün uygulanması
Burada her şey az ya da çok açık. Ayrıntılar, ilk duruma ve kararlara bağlıdır. Ancak genel olarak, resim şöyle görünmelidir:
- Ayrılan sunucu kapasiteleri.
- Ağ mühendisleri yeterli verim alıcı ve verici PD arasındaki kanallar.
- Geliştiriciler, ISPD veritabanları arasında çoğaltma kurmuştur.
- Yöneticiler, yurtdışında bulunan ISPD'de değişiklik yapılmasını engelledi.
PD'yi korumaktan sorumlu kişi veya "süreç sahibi" aynı kişi veya farklı olabilir. "Süreç sahibinin" tüm belgeleri hazırlaması ve tüm PD koruma sürecini organize etmesi gerektiği gerçeği. Bunu yapmak için tüm ilgili taraflar bilgilendirilmeli, çalışanlara talimat verilmeli ve BT hizmeti teknik veri koruma önlemlerinin uygulanmasını kolaylaştırmalıdır.
6. Kişisel verilerin korunmasına yönelik sürecin başlatılması
Bu önemli bir adımdır ve bir anlamda tüm projenin amacı akışı kontrol altına almaktır. Teknik çözümlere ve düzenleyici belgelere ek olarak, burada süreç sahibinin rolü kritiktir. Sadece mevzuattaki değil, bilgi işlem altyapısındaki değişiklikleri de takip etmelidir. Bu, uygun beceri ve yeterliliklerin gerekli olduğu anlamına gelir.
Ayrıca gerçek çalışma koşullarında kritik olan PD koruma sürecinin sahibi, şirket yönetiminden gerekli tüm yetkilere ve idari desteğe ihtiyaç duyar. Aksi takdirde, kimsenin aldırış etmediği ebedi bir “dilenci” olur ve bir süre sonra denetimden başlayarak projeye yeniden başlanabilir.
Nüanslar
Gözden kaçması kolay olan birkaç nokta:
- Bir veri merkezi ile çalışıyorsanız, şirketinizin yasal olarak verileri depoladığı ve kontrol ettiği sunucu kapasitesi hizmetlerinin sağlanması için bir sözleşmeye ihtiyacınız vardır.
- PD'yi toplamak, depolamak ve işlemek için kullanılan yazılımlar için lisanslara veya bunun için kira sözleşmelerine ihtiyacınız var.
- ISPD yurtdışında bulunuyorsa, Rusların kişisel verileriyle ilgili olarak Rusya Federasyonu mevzuatına uyumu garanti etmek için oradaki sistemin sahibi olan şirketle bir anlaşma yapılması gerekir.
- Kişisel veriler, şirketinizin bir yüklenicisine (örneğin, bir BT dış kaynak kullanım ortağı) aktarılırsa, o zaman dış kaynak sağlayıcıdan bir PD sızıntısı olması durumunda, hak taleplerinden siz sorumlu olursunuz. Buna karşılık, şirketiniz taşerondan hak talebinde bulunabilir. Belki de bu faktör, işi dış kaynak kullanımına aktarma gerçeğini etkileyebilir.
Ve bir kez daha en önemlisi, kişisel verilerin korunmasının alınamayacağı ve sağlanamayacağıdır. Bu bir süreç. Mevzuatta yapılacak diğer değişikliklere ve bu kuralların pratikte uygulanmasının biçimine ve titizliğine büyük ölçüde bağlı olacak sürekli yinelenen bir süreç.
Muhtemelen, şimdiye kadar kredi almış veya HR-th olan herkes, banka temsilcileri işvereni arayıp kuruluşun bir çalışanı hakkında bilgi istediğinde böyle bir durumla karşılaşmıştır.
Aynı zamanda, uygulamada çoğu zaman işveren, kişisel verilerin korunmasına ilişkin 152 federal yasanın gerekliliklerine uymamakta ve çalışanla ilgili bilgileri telefonla ifşa etmektedir. İşveren, bu bilgilerin alıcısını doğrulayamaz ve çoğu zaman çalışan, verilerinin bu şekilde kullanılması için çalışanın yazılı iznine sahip değildir.
Bu durumda kim yasayı daha çok çiğner: soran mı yoksa cevap veren mi?
Bu durumda, her şey kişisel veri konusunda hangi belgelere sahip olduğuna bağlıdır. Öyle bir durum var ki, ne soran ne de cevap veren yasayı ihlal etmiyor, ama her ikisinin de ihlal ettiği oluyor.
Bununla ilgilenelim.
Yani biz bir bankayız. Bir kişi bize geldi ve kredi almak amacıyla, işverenin sorumlu kişilerinin imzaları ve bir mühür ile tasdik edilmiş bir kazanç belgesi de dahil olmak üzere gerekli tüm belge paketini ve diğer gerekli orijinalleri sağladı. ve belgelerin kopyaları.
Ancak, sağlanan orijinal kazanç sertifikasına rağmen, kredi başvurusunda bulunan kişinin bu kuruluşta çalışıp çalışmadığını ve verilen sertifikada gerçek gelirin gösterilip gösterilmediğini kontrol etmek istiyoruz. Adil olmak gerekirse, son zamanlarda bankaların hala çoğu zaman yalnızca belirli bir kişinin belirli bir kuruluşta çalışıp çalışmadığı hakkında bilgi talep ettiği söylenmelidir. Ayrıca banka olarak bu talebimizi kimlik bilgilerimizi belirterek ve kaşemiz ile yazılı olarak göndermiyoruz ve talebimizin amacını yazılı olarak belirtmiyoruz ancak süreci hızlandırmak için sadece telefon numarasını arıyoruz. bankanın potansiyel müşterisi tarafından sağlanan belgelerde belirtilir.
Bu prosedürde beni her zaman şaşırtan şey, sağlanan verilerin güvenilirliğini doğrulama aşamalarının belirli bir mantıksızlığıdır.
Yani mühürlü ve imzalı bir belge bize pek uymuyor ama nedense çalışanın belirttiği telefonla cevap bize daha çok yakışacak.
Çalışanın telefon numarası nedir? Bu telefon gerçekten bu organizasyona mı ait? Telin diğer ucunda kim bana cevap verecek: CEO? Baş Muhasebeci? İK Yöneticisi? Bunların yetkili olduğunu nasıl anlayacağım? Ya da belki bir haftadır burada çalışan ve henüz kimseyi tanımayan bir sekreter? Veya bir temizlikçi? Yoksa bir gardiyan mı? Ya da belki prensip olarak, bankanın talebine uygun bir şekilde yanıt vermesini çalışanın kendisinin istediği biri? Ve çalışanın belirttiği telefon cevap vermiyorsa bu banka için ne anlama gelir? Bir kişinin bir hanede hata yapıp yapmadığını kontrol edecek mi? Telefon şirketi ile ilgili bir sorun olabilir mi? Belki şirket artık bu telefonu kullanmıyor ve çalışanın bundan haberi yok?
Ancak bizim görevimiz, tarafların eylemlerinin: bu durumda banka ve işverenin ilke olarak yasal olup olmadığını anlamaktır.
Banka, öznenin bilgilerini doğrulamak ve işvereninden bilgi almak için yazılı muvafakatine sahipse, bankanın işlemleri hukuka uygundur.
Peki ya bir işveren?
Bir işveren, aşağıdaki durumlarda bir çalışanı hakkında yasal olarak bir bankaya bilgi verebilir:
2. Çalışanın, verilerini YAZILI olarak belirli bir tüzel kişiliğe sağlamasına izin verildi. Ancak bu durumda işveren, talebin çalışanın bilgi vermesine izin verdiği bankadan (yani sadece yazılı bir talebe cevap) geldiğinden emin olmak zorundadır.
Ya işverenin böyle bir onayı yoksa?
İşverenin işçi hakkında bilgi verme yetkisi yoktur. O halde işveren kişisel verilerin korunması kanunu kapsamındaki yükümlülüklerini yerine getirecek mi? Evet. İşveren çalışan hakkında bilgi vermeyi reddederse çalışana kredi verilir mi? Bilinmeyen.
Ayrıca, kuruluş büyükse ve ayrı bölümlerden oluşan kapsamlı bir ağa sahipse, bu tür bir onayı hızlı bir şekilde almak her zaman mümkün değildir. Özellikle çalışanın kendiliğinden kredi almaya karar vermesi durumunda. Ve aynı gün veya ertesi gün, banka çalışanları verilen bilgilerin doğruluğunu doğrulamak için işvereni arar.
Ayrıca, muvafakatın kendisi yazılı olarak yapılmalıdır, çalışanın örneğin personel departmanını araması ve belirli bir bankanın talebini sözlü olarak yanıtlamasını istemesi yeterli değildir.
Ne de olsa herkes, bir işverenin bir telefon talebi üzerine belirli bir çalışanın işi hakkında bankaya bilgi verdiğinde, bunu öncelikle çalışanın çıkarlarını korumak için yaptığını çok iyi biliyor. bir krediyi reddetti. Ancak bu durumda otomatik olarak, işveren çalışanın kendisinden yazılı onay alma konusunda önceden endişelenmediyse, kişisel verilerin korunmasına ilişkin yasayı ihlal eder.
Bankalar yasa dışı telefon çeki uygulamasını durdurursa, işveren açısından bu tür ihlallerin daha az olması mümkündür.
Son zamanlarda, Rusya Merkez Bankası'ndan 14 Mart 2014 tarihli N 42-T "Vatandaşların kişisel verilerini içeren bilgileri kullanırken kredi kurumlarından kaynaklanan riskler üzerindeki kontrolün güçlendirilmesi hakkında" bir mektup yayınlandı ve kredi kurumlarına ortaya çıkan riskler üzerindeki kontrolü güçlendirmelerini tavsiye etti. kişisel verileri içeren bilgilerin işlenmesinden (bu arada toplanan) ve aşağıdakileri tanımlayan dahili belgelerin güncellenmesinden: kişisel verilerin doğrudan işlenmesiyle (toplama dahil) çalışan kredi kurumlarının gizliliğin korunması ve sağlanması için kişisel sorumluluğu müşteri hizmetleri sürecinde üretilen bilgilerin
Aynı zamanda, yukarıdaki mektupta, Rusya Merkez Bankası'nın bankaların faaliyetleri üzerinde denetim uygularken, kişisel verilerin korunmasına ilişkin mevzuatın uygulanmasında tespit edilen eksiklikleri dikkate alacağı ve bunları değerlendireceği açıkça belirtilmiştir. iç kontrol sisteminin organizasyonunun değerlendirilmesi de dahil olmak üzere bir kredi kuruluşunun yönetim kalitesinin değerlendirilmesinde olumsuz bir faktör olarak.
Bankaların, işvereni yasayı zorla ihlal etmeye zorlamadan, nihayet kişisel verilerin korunmasına ilişkin yasaya uyacağı umulmaktadır.
Dzhabrail Matiev, şirketin ticari kısmı için kişisel verilerin korunması başkanıReignVox
Büyük müşteri verileri dizileriyle sürekli çalışma, bu verileri koruma alanında sürekli çalışmak için herhangi bir formatta bir banka gerektirir.
Bu nedenle bilgi güvenliği konusu ve bununla birlikte güven konusu özellikle finans sektörüyle ilgilidir. Ayrıca, modern bir finans şirketinin bilgi sisteminin yapısına dahil olan herhangi bir kişisel veriyi koruma gerekliliği de yasal olarak haklıdır - 152 sayılı “Kişisel Veriler Üzerine” federal yasa, bu verileri işleyen her şirketi kesinlikle korumakla yükümlü kılar. tanımlı terimler Kişisel verileri işleyen yeni ve mevcut bilgi sistemlerinin 1 Ocak 2011 tarihine kadar kanuni gerekliliklere uygun hale getirilmesi gerekmektedir. Bu kadar katı bir şekilde tanımlanmış bir zaman çerçevesi göz önüne alındığında, bu tür bilgileri işleyen kuruluşların yasanın gerekliliklerine uymak için gittikçe daha az zamanı oluyor.
Kişisel verilerin korunması çalışmalarına nasıl başlanır? Beklenen geri dönüş süreleri nelerdir? İşin yürütülmesinden kim sorumludur? Ortalama proje maliyeti nedir ve maliyetler nasıl en aza indirilir? Tüm bu konular, bugün finans sektöründe iş yapan herhangi bir şirket için geçerlidir. Bunlara verilen uzman yanıtları, finansal yapılarda kişisel verilerin korunması alanında ReignVox'a kapsamlı bir deneyim kazandırmamızı sağlar.
Geri sayım modunda yaşam
152 sayılı "Kişisel Verilere Dair" Federal Yasa, yasa koyucular tarafından belirlenen son tarihten altı aydan fazla bir süre önce, 1 Ocak 2011'de tam olarak yürürlüğe girer. Ancak çok fazla zaman olduğu fikrine aldanmayın.
İlk olarak, kişisel verilerin korunması gerekliliklerini karşılamayı amaçlayan bir projenin uygulanması, karmaşıklığına bağlı olarak dört ila altı ay arasında sürmektedir. Ancak bu rakam nihai değil - vadeler altı ila sekiz aya kadar uzayabilir bankanın projenin geliştirilmesi ve sürdürülmesi için uygun bir entegratör seçmek için harcayacağı süre nedeniyle. Bu tür işleri kendi başına yapmak, inceleme ve analiz aşamasında nesnellik kaybı, içinde bulunan koruma araçları ve bu iş için ayrı işgücü kaynakları bulma ihtiyacı ile banka için doludur. Bu durumda, kişisel verilerin korunması konusunda eğitim almış uzmanların mevcudiyeti, gerekli miktarda düzenleyici ve metodolojik destek ve kişisel verilerin korunması görevi için ücretsiz kaynaklar gibi faktörler de unutulmamalıdır. Uygulama, bir komplekste tüm bu gereksinimleri karşılayanların genellikle üçüncü taraf entegratörler olduğunu göstermektedir.
İkinci olarak, “aktarımları” hakkında ne söylerlerse söylesinler, Kanun tarafından veri operatörleri için belirlenen son tarihler konusuna geri dönülür (ve bankaların tam da bu tür operatörler olduğu gerçeği artık prensipte bir soru değildir). , düzenleyicilerin ilk kontrolleri zaten yapılıyor. Sonuç oldukça mantıklı: sorunun alaka düzeyi korunmakla kalmadı, kat kat arttı ve çözümü acil bir ihtiyaç haline geliyor.
"Ve tabut az önce açıldı..."
Son zamanlarda, ISPD'yi “Kişisel Veriler Kanunu” hükümlerine uygun hale getirme görevi etrafında aktif tartışmalar yaşanıyor ve bunun sonucu temelde tek bir şeye indirgeniyor: bu görevin çözümü, kombinasyon nedeniyle çok sorunlu. örgütsel ve yasal özellikleri. Bu sonuç tamamen doğru değil: 2010'un ilk çeyreğinde (bankacılık sektörü dahil) ortaya çıkan kişisel verilerin korunması gerekliliklerinin uygulanması uygulaması, ISPD gerekliliklerinin açıklığını ve yorumlanabilirliğini teyit ediyor. İkincisinin formülasyonu, uygulanması ve belgesel olarak onaylanması, minimum hata riski ile uygulanması, bankacılık işinin güvenliği açısından önemli olduğu için uygulanması o kadar da zor değildir. Görevi daha da basitleştiren şey, onu, uzmanları kişisel veri koruma projesini bankacılık işinin bireysel özelliklerini dikkate alarak hızlı ve profesyonel bir şekilde tamamlayacak olan üçüncü taraf bir entegratöre emanet etme yeteneğidir.
Bu nedenle ilk öncelik, projeyi emanet edecek bir entegratör firma seçimidir.
"Standart" = "Özel"?
Birbirini dışlayan bu kavramlar arasında böyle bir eşittir işareti var olma hakkına sahiptir. Bu beyan, ReignVox tarafından hâlihazırda tamamlanmış olan başarılı kişisel veri koruma projelerinin pratik deneyimi ile desteklenmektedir.
Bir yandan, bu tür projelerin her biri standart sayıda aşama içerir: kişisel veri bilgi sistemlerini inceleme aşaması, bir kişisel veri koruma sistemi tasarlama aşaması, SPPD uygulama aşaması, ISPD'nin uygunluğunu değerlendirme aşaması yasanın gereklilikleri ve oluşturulan sistemin desteklenmesi aşaması. Ayrıca bir aşama olarak ISPD'ye uyum değerlendirmesi isteğe bağlıdır ve müşteri şirketin insiyatifinde gerçekleştirilir. Oluşturulan sistemin destek aşamasının yanı sıra.
Tipiklik genellikle ilk aşamada (bilgi sistemleri araştırması aşaması) sona erer, çünkü bu aşama, bunları tanımlamanıza ve tanımlamanıza izin verir. gelecekte sistemlere sunulacak gereksinimler. Ve bu parametreler zaten bireyseldir ve her müşteriye odaklıdır, ihtiyaçlarına göre optimize edilmiştir.
Bu anket analizleri bilgi kaynakları, IT altyapısının inşasında kullanılan standart çözümler, bilgi akışı kişisel veriler, mevcut sistemler ve bilgi koruma araçları.
Aynı aşamada, bir tehdit modeli ve PD güvenliğini ihlal eden kişi geliştirilir, ISPD'de kriptografik araçlar kullanarak PD'nin güvenliğini sağlama ihtiyacı değerlendirilir.
İkinci aşamayı yürütmek için klasik şema, düzenleyici çerçevenin denetimini ve düzenleyicilerin gerekliliklerine uygunluğunun değerlendirilmesini içerir. Bunun sonucu, eksik dahili belgelerin geliştirilmesinin yanı sıra SZPDn'nin geliştirilmesi için görev tanımının geliştirilmesidir. Aynı aşamada, bütünleştirici, bilgileri korumak için bir dizi önlemin doğrudan geliştirilmesine geçer.
Bu aşamanın sonunda, banka zaten düzenleyicilerden birinin testini başarıyla geçme yeteneğine sahiptir.
Üçüncü aşamanın özü, sistemleri uygulamak ve mevcut koruma araçlarını yapılandırmaktır. Testten sonra, gerekirse, donanım ve yazılım kompleksi sonlandırılır.
Açıklanan aşamaların her birinde, bir entegratör olarak ReignVox şirketi, müşteri şirketin yürüttüğü işin özellikleri, büyüklüğü, altyapısı, iş süreci etkinliği ve diğer birçok nokta nedeniyle çeşitli ek görevlerle karşı karşıyadır. Ve her defasında, kişisel verilerin korunması projesinin yeni, bireysel olarak uyarlanmış bir konsepti, bu tür çok sayıda bileşenden oluşturulur.
"...ve koyunlar güvende"
Maliyet minimizasyonu, bütçe optimizasyonu, tasarruf - hangi ifadeyi seçerseniz seçin, öz aynı kalır - finansal kaynakların kullanımına rasyonel bir yaklaşım - finansal yapının başarısının ikinci temel taşı olan kişidir (tabii ki güvenden sonra) ). Bu nedenle, bilgi güvenliğinden ödün vermeden maliyetleri olabildiğince düşürme arzusu doğaldır ve oldukça ulaşılabilirdir.
Bir bankacılık yapısı için bir kişisel veri koruma sistemi oluşturmaya yönelik ortalama standart bir projenin maliyeti yaklaşık 1,5 milyon ruble. Bu miktar hesaplanırken, bir kişisel veri koruma sisteminin oluşturulması için bütçenin azaltılmasının mümkün olduğu bir dizi ilke de dikkate alınır.
Öncelikle kurumdaki mevcut BT altyapısını mümkün olduğunca korumaya çalışıyoruz. Genellikle kişisel verilerin korunması için iki kutuplu senaryodan söz ederler. Birincisi, tüm ISPD'lerin radikal bir şekilde değiştirilmesi ve ikincisi, ISPD'lerde herhangi bir değişiklik yapılmadan yalnızca iç düzenleyici belgelerin çıkarılmasından oluşan resmi bir değişikliktir. Üçüncü seçeneğin en uygun olduğunu düşünüyoruz; bu, tam olarak bankanın mevcut BT altyapısının sürdürülmesinden, bazı unsurlarının değiştirilmesiyle birlikte yasaya uyumu sağlamak için gerekli yenilerinin eklenmesinden oluşuyor.
Bu durumda, birinci ilkeden bahsediyoruz. mevcut bilgi güvenliği araçlarının maksimum kullanımı bilgi güvenliği sistemlerini tasarlarken. Herhangi bir şirkette koruma araçları, kişisel verilerin korunması ihtiyacından bağımsız olarak kullanılır, bunlar anti-virüs koruma sistemleri ve işletim sisteminin yerleşik erişim kontrol araçlarıdır ve güvenlik duvarları ve diğer birçok araç. Bu nedenle, maksimum gereksinim sayısı mevcut koruma araçları tarafından kapatılır. Ve yalnızca bazı gereksinimlerin mevcut koruma araçları tarafından karşılanmaması durumunda, ek gereksinimler satın almak ve uygulamak gerekir.
İkinci ilke ilkedir. bilgi sistemlerinin ekonomik mantıksal yapılanması kişisel veri. Bu ilkeden yola çıkarak, bir bankada kişisel verilerin korunması projesinin uygulanması kapsamında, aynı odada bulunan birkaç sistemin bir sistem içinde birleştirilmesi ve kritik olmayan segmentlerin düşürülmesi ekonomik olarak mümkün hale gelmektedir. Böylece, çevre boyunca korumanın sağlandığı ISPD "Veri İşlem Merkezi" oluşturulur. Bu, farklı sistemlerdeki akışları ayırmanın maliyetini önemli ölçüde en aza indirmenize olanak tanır.
üçüncü ilke yalnızca mevcut tehditlere karşı koruma. Aynı zamanda, tehditlerin gerçekleşmesi zorunlu olarak açıklanmaktadır. özel sistemler"Tehdit Modeli" adlı belge. Tehditleri gerçekleştirirken, olasılığı düşük olanlar ve uygulama sırasındaki zararı küçük olanlar elenir.
Halihazırda kanıtlanmış yöntemlerin kullanımına bağlı olarak, herhangi bir bankanın ISPD'sini 1 Ocak 2011 tarihine kadar kanunun gerekliliklerine uygun hale getirme görevi tamamen uygulanabilir. Bankacılık sektöründe bu tür teknolojilerin uygulanmasında maksimum başarı için, bir proje üzerinde çalışmaya yönelik entegre bir yaklaşımı hatırlamak hala gereklidir. Bu durumda, finansal yapı içindeki kritik verilerin korunmasına yönelik genel yaklaşımın gerekli dengesini garanti eden çeşitli departmanlardan uzmanların - BT teknolojileri, bilgi güvenliği ve proje yönetimi uzmanları, finansörler, avukatlar - ortak çalışmasının organizasyonunu kastediyoruz.
Referans: ReignVox, bilgi teknolojisi alanında yenilikçi projeler ve gelişmeler konusunda uzmanlaşmış ve bunların bilgi güvenliğini sağlayan bir Rus şirketidir.
Şirketin kuruluş amacı, 27 Temmuz 2006 tarih ve FZ-152 sayılı "Kişisel Veriler Hakkında Kanun" gereklerine uygun olarak kişisel verilerin korunmasını sağlamaya yönelik hizmetler sunmak ve entegre bilgi güvenlik sistemleri kurmaktır.
ReignVox, bölgeler arası kamu kuruluşu "Bilgi Koruma Derneği"nin (IPO "AZI"), "Bilgi İletişim Birliği"nin (Bilgi İletişim Birliği) ve Rusya Bölgesel Bankalar Birliği'nin bir üyesidir.
ReignVox, büyük ticari bankalarda kişisel veri koruma projelerini başarıyla uygulama konusunda önemli bir deneyime sahiptir. Müşterileri arasında NOTA-Bank, Vnesheconombank, CentroCredit, Tempbank, Alta-Bank vb.
Tahmin etmek: