mājas-Windows-Personas datu aizsardzība kredītiestādēs un finanšu iestādēs. Personas datu aizsardzība bankās

Personas datu aizsardzība kredītiestādēs un finanšu iestādēs. Personas datu aizsardzība bankās

Personas datu drošība bankā

Kas ir personas dati?

Saskaņā ar federālo likumu definīciju personas dati ir jebkura informācija, kas saistīta ar konkrētu personu vai kuru, pamatojoties uz šādu informāciju, nosaka indivīds (personas datu subjekts), ieskaitot viņa uzvārdu, vārdu, patronīmu, gadu, mēnesi, dzimšanas datumu un vietu, adresi, ģimene, sociālais stāvoklis, mantiskais stāvoklis, izglītība, profesija, ienākumi, cita informācija.

Kur atrodas personas dati?

Personas dati (PD) bankā atrodas šādās sistēmās:

Automatizēta banku sistēma (ABS);

Klientu-Banku sistēmas;

Tūlītējas naudas pārskaitīšanas sistēmas;

Grāmatvedības uzskaites sistēmas;

Personāla uzskaites sistēmas;

Korporatīvā informācijas sistēma;

Iekšējais tīmekļa portāls.

PD var būt uz papīra dokumentiem (līgumi, veidlapas, pasūtījumi, instrukcijas, anketas, vienošanās utt.).

Kādi dokumenti nosaka prasības personas datu aizsardzībai?

Federālie likumi

Federālais likums Nr. 149-FZ (2006. gada 27. jūlijs) "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību";

Valdības lēmumi

Krievijas Federācijas valdības 2007. gada 17. novembra dekrēts Nr. 781 "Par noteikumu apstiprināšanu par personas datu drošības nodrošināšanu to apstrādes laikā personas datu informācijas sistēmās";

Krievijas Federācijas valdības 2007. gada 29. decembra dekrēts Nr. 957 "Par noteikumu apstiprināšanu par dažu veidu darbību licencēšanu, kas saistītas ar šifrēšanas (kriptogrāfijas) līdzekļiem";

Krievijas Federācijas valdības 2008. gada 15. septembra rezolūcija Nr. 687 "Par noteikumu apstiprināšanu par personas datu apstrādes specifiku, kas veikta, neizmantojot automatizācijas rīkus".

Krievijas FSTEC

Krievijas FSTEC, Krievijas FSB un Krievijas Informācijas tehnoloģiju un komunikāciju ministrijas 2008. gada 13. februāra kopīgais rīkojums Nr. 55/86/20 "Par personas datu informācijas sistēmu klasifikācijas kārtības apstiprināšanu";

Krievijas FSTEC vadlīniju dokuments "Personas datu drošības draudu pamatmodelis, apstrādājot tos personas datu informācijas sistēmās";

Krievijas FSTEC vadlīniju dokuments "Metodika faktisko draudu noteikšanai personas datu drošībai to apstrādes laikā personas datu informācijas sistēmās";

Krievijas FSTEC 2010. gada 5. februāra rīkojums Nr. 58 "Par noteikumu apstiprināšanu par metodēm un metodēm, kā aizsargāt informāciju personas datu datos"

Krievijas FSB

FAPSI 2001. gada 13. jūnija rīkojums Nr. 152 "Par instrukciju apstiprināšanu par uzglabāšanas, apstrādes un pārsūtīšanas organizēšanu un drošību, izmantojot sakaru kanālus, izmantojot ierobežotas piekļuves informācijas kriptogrāfisko aizsardzību, kurā nav valsts noslēpumu veidojošas informācijas";

Krievijas Federācijas Federālā drošības dienesta 2005. gada 9. februāra rīkojums Nr. 66 "Par noteikumu apstiprināšanu par informācijas šifrēšanas (kriptogrāfijas) līdzekļu izstrādi, ražošanu, pārdošanu un darbību (regula PKZ-2005)";

Krievijas FSB 2008. gada 21. februāra vadlīniju dokuments Nr. 149 / 54-144 "Metodiskie ieteikumi personas datu drošības nodrošināšanai ar kriptogrāfijas rīku palīdzību to apstrādes laikā personas datu informācijas sistēmās, izmantojot automatizācijas rīkus";

Krievijas FSB 2008. gada 21. februāra vadlīniju dokuments Nr. 149/6 / 6-622 "Tipiskas prasības šifrēšanas (kriptogrāfijas) līdzekļu organizēšanai un darbībai, kuru mērķis ir aizsargāt informāciju, kas nesatur valsts noslēpumu veidojošu informāciju, ja to izmanto personas datu drošības nodrošināšana to apstrādes laikā personas datu informācijas sistēmās ";

Krievijas Bankas standarts

STO BR IBBS-1.0-2010 “Organizāciju informācijas drošības nodrošināšana Krievijas Federācijas banku sistēmā. Vispārīgi noteikumi ";

STO BR IBBS-1.1-2007 “Organizāciju informācijas drošības nodrošināšana Krievijas Federācijas banku sistēmā. Informācijas drošības audits ";

STO BR IBBS-1.2-2010 “Organizāciju informācijas drošības nodrošināšana Krievijas Federācijas banku sistēmā. Metodika, kā novērtēt Krievijas Federācijas banku sistēmas organizāciju informācijas drošības atbilstību STO BR IBBS-1.0-20xx prasībām ";

RS BR IBBS-2.0-2007 “Organizāciju informācijas drošības nodrošināšana Krievijas Federācijas banku sistēmā. Metodiskie ieteikumi dokumentācijai informācijas drošības jomā atbilstoši STO BR IBBS-1.0 "prasībām;

RS BR IBBS-2.1-2007 “Organizāciju informācijas drošības nodrošināšana Krievijas Federācijas banku sistēmā. Krievijas Federācijas banku sistēmas organizāciju informācijas drošības atbilstības STO BR IBBS-1.0 prasībām pašnovērtējuma vadlīnijas;

RS BR IBBS-2.3-2010 “Krievijas Federācijas banku sistēmas organizāciju informācijas drošība. Prasības personas datu drošības nodrošināšanai Krievijas Federācijas banku sistēmas organizāciju personas datu informācijas sistēmās ";

RS BR IBBS-2.4-2010 “Krievijas Federācijas banku sistēmas organizāciju informācijas drošība. Personu datu drošības nozaru privātais modelis, apstrādājot tos Krievijas Federācijas banku sistēmas banku organizāciju PD informācijas sistēmās ";

Krievijas Bankas, ARB un Krievijas Reģionālo banku asociācijas (asociācija "Krievija") kopīgi izstrādāti metodiskie ieteikumi juridisko prasību izpildei, apstrādājot personas datus RF BS organizācijās.

Kā būtu jāaizsargā personas dati?

Saskaņā ar PD aizsardzības metodisko dokumentu prasībām visiem PDIS tipiem ir kopīgas šādas apakšsistēmas:

Piekļuves kontroles apakšsistēma;

Reģistrācijas un uzskaites apakšsistēma;

Integritātes apakšsistēma;

Ugunsmūra apakšsistēma.

Ja ISPDN ir izveidots savienojums ar internetu, jums papildus jāizmanto šādas apakšsistēmas:

Pretvīrusu drošības apakšsistēma;

Ielaušanās atklāšanas apakšsistēma;

Drošības analīzes apakšsistēma.

Lietotāju uzticamai identifikācijai un autentifikācijai ir arī jāizmanto elektroniskās slēdzenes un / vai elektroniskās atslēgas.

Ja ISPD tiek izplatīts papildus, lai novērstu nesankcionētu piekļuvi, atdalot aizsargāto informāciju no publiskās, ir nepieciešams izmantot kriptogrāfiju, pārsūtot PD pa nenodrošinātiem sakaru kanāliem, kā arī EDS, lai apstiprinātu datu autentiskumu.

Šāds sadalījums apakšsistēmās un to izveidošana, pamatojoties uz personas datu aizsardzības produktu sarakstu, ir vispārpieņemta un tiek izmantota vairumā gadījumu.

Kāda ir vajadzība aizsargāt personas datus?

Ja uzdevums ir nodrošināt tikai PD konfidencialitāti, ir jāveic darbības un / vai jāizmanto tehniski līdzekļi, kuru mērķis ir novērst nesankcionētu piekļuvi, tad šāda PDIS kļūst par standartu.

Ja tiek noteiktas papildu prasības, lai nodrošinātu citas informācijas drošības īpašības, piemēram, integritātes, pieejamības, kā arī to atvasinājumu nodrošināšanu (neatteikšana, atbildība, atbilstība, uzticamība utt.), Tad šāds ISPD kļūst īpašs. Vairumā gadījumu jebkurš ISPD būs īpašs, tas ir, papildus PD klasēm, lai noteiktu aizsardzības mehānismus, jāvadās pēc tam izveidotā draudu modeļa.

Kā samazināt PD klasi?

Lai samazinātu un vienkāršotu personas datu aizsardzības pasākumus, bankas izvēlas dažādus trikus. Zemāk es sniedzu tipiskākos veidus, kā samazināt aizsardzības līdzekļu izmaksas. Tomēr pati par sevi šāda Bankas informācijas sistēmu "pārveidošana" ir diezgan grūts un laikietilpīgs uzdevums.

Vietņu skaita samazināšana

Kā parādīts iepriekš, ja ISPD tiek izplatīts, tā aizsardzībai tiek izvirzītas paaugstinātas prasības; lai tos samazinātu, jums jāmēģina izvairīties no izplatītā ISPD.

Izmantojot izplatītu ISPD, PD atrodas dažādās vietās, PD tiek pārraidīti pa Bankas nekontrolētiem sakaru kanāliem, un vispārīgi tas nozīmē, ka PD iziet vai iziet no kontrolētās zonas. Tad, pirmkārt, ir nepieciešams lokalizēt PD, samazinot vietņu skaitu, kurās tie atradīsies. Dažos gadījumos tas ir reāli, bet, ja mēs ņemam vērā ABS, tad šāda iespēja, visticamāk, nepastāvēs.

Serveru skaita samazināšana

Ja ISPDN ir lokāls, tas ir, tas darbojas Bankas lokālajā tīklā, tad vienkāršākais veids, kā samazināt aizsardzības izmaksas, būs samazināt to servera iekārtu skaitu, kurās atrodas PD un / vai kuras tiek apstrādātas.

Darbstaciju un personāla skaita samazināšana

Jebkura veida ISPD (vietēja, izplatīta AWP veidā) PD galīgo apstrādi parasti veic bankas personāls. Ja jūs neizmantojat termināļa piekļuvi, kas tiks apspriests turpmāk, ir lietderīgi samazināt Bankas personāla skaitu, kas iesaistīts PD apstrādē vai kam ir piekļuve tiem.

IP koplietošana ar ITU

Lai samazinātu PD daudzumu un tādējādi samazinātu drošības līdzekļu izmaksas, labs veids ir sadalīt informācijas tīklus segmentos, kuros tiek apstrādāts PD. Lai to izdarītu, ir jāinstalē un jāizmanto ugunsmūri, pie kuriem ostām būtu jāpievieno segmenti ar PD. Bieži vien visa servera iekārta atrodas demilitarizētā zonā, tas ir, segmentos, kurus no publiskajiem un banku tīkliem atdala ugunsmūri. Šī metode prasa arī ievērojamu informācijas tīklu "pārzīmēšanu". Ir metode, kuras pamatā ir tā saucamā "lineārā šifrēšana", tas ir, klienta-klienta, klienta-servera, servera-servera kanāla šifrēšana. Šādu tīkla trafika šifrēšanu var īstenot gan izmantojot īpašus aizsardzības līdzekļus, gan izmantojot standarta IPSec tehnoloģiju, taču Krievijas FSB to nav sertificējusi, kas ir tās būtiskais trūkums.

Vēl viens veids, kā sadalīt ISPD visā tīklā, varētu būt virtuālo tīklu tehnoloģija - VLAN, tomēr faktiski VLAN ir identifikators tikai vienā no tīkla pakešu laukiem, kas ļauj runāt par šo tehnoloģiju kā "IT". Tāpēc tīklu nošķiršana, izmantojot VLAN, neatbrīvo no informācijas drošības tehnoloģiju izmantošanas.

Datu bāzu sadalīšana daļās

Pieņemsim, ka jums ir tūkstošiem ierakstu datu bāze: pilns vārds. un depozīta summa.

Izveidosim divas citas datu bāzes. Ieviesīsim papildu unikālo identifikatoru. Mēs sadalīsim tabulu divās daļās, pirmajā mēs ievietosim vārda un uzvārda un identifikatora laukus, otrā identifikatorā un depozīta summu.

Tādējādi, ja katrs darbinieks var apstrādāt tikai vienu no šīm jaunajām datu bāzēm, tad personas datu aizsardzība ir ievērojami vienkāršota, ja tā nav samazināta līdz neko. Acīmredzot šādas datubāzes vērtība ir ievērojami mazāka nekā sākotnējā. Abas datu bāzes atradīsies drošākajā serverī. Patiesībā datu bāzē ir daudz vairāk lauku, taču kopš šī principa tas var darboties gandrīz visos gadījumos no personas datu drošības viedokļa nozīmīgu lauku skaits nav tik liels, bet gan ļoti ierobežots. Ārkārtējā gadījumā jūs varat uzglabāt atslēgas spēles datorā, kas nav vietējā tīkla sastāvdaļa, vai pat neizmantot automatizētu apstrādi.

Personas datu anonimizācija

Saskaņā ar definīciju no 152-FZ personas datu depersonalizācija ir darbības, kā rezultātā nav iespējams noteikt personas datu piederību konkrētam personas datu subjektam. No šīs definīcijas izriet virkne veidu, kā iespējams iegūt PD, ar kuru nav iespējams noteikt PD piederību. Piemēram, ja precīziem dažu lauku datiem nav nozīmes apstrādes nolūkos, varat tos vai nu nerādīt, vai arī rādīt tikai diapazonus, kuros tie ietilpst. Piemēram, vecums 20-30, 30-40 utt. Adresi var "noapaļot" līdz rajonam, rajonam vai pilsētai: Caricino, Južnijs, Maskava. Atkarībā no nepieciešamības personas datu depersonalizācijas process var būt atgriezenisks vai neatgriezenisks. Iepriekš minētās "noapaļošanas" metodes ir neatgriezeniskas, un, piemēram, šifrēšana ir atgriezeniska. No mana viedokļa šifrēšana (kodēšana) var būt veids, kā anonimizēt datus, un tā ir jāizmanto šiem mērķiem.

Plāni klienti un piekļuve terminālim

"Plāna klienta" tehnoloģiju un atbilstošās termināļu piekļuves tehnoloģijas izmantošana serveros var ievērojami samazināt prasības personas datu aizsardzībai. Lieta ir tāda, ka, izmantojot "plānos" klientus un piekļuvi terminālim, Bankas darbinieku personālajos datoros nav jāinstalē specializēta programmatūra, piemēram, datu bāzes klientu daļas, ABS klientu daļas utt. Turklāt Bankas darbinieku personālajos datoros nav jāinstalē īpaši aizsardzības līdzekļi. Šīs tehnoloģijas ļauj jums parādīt informāciju no jūsu darba serveros saglabātajām datu bāzēm un pārvaldīt PD apstrādi. Šīs tehnoloģijas ir a priori drošas, jo termināļu politika var viegli ierobežot gala klientu (bankas personāla) iespējas kopēt un tādējādi izplatīt personas datus. Sakaru kanāls starp serveriem un personālo datoru ar "plāno klientu" ir viegli šifrējams, tas ir, pārsūtīto datu konfidencialitāti var nodrošināt ar vienkāršām metodēm.

Potenciālo datu noplūdes ātrumu ierobežos tikai vizuālais kanāls, ko nosaka kameras vai videokameras ātrums, tomēr, ieviešot īpašus organizatoriskus pasākumus, šāda kopēšana kļūst ļoti sarežģīta.

Kā var aizsargāt personas datus?

Plašā nozīmē aizsardzības nodrošināšanu pret nesankcionētu piekļuvi saprot kā organizatorisku un tehnisku pasākumu kompleksu. Šīs darbības ir balstītas uz izpratni par mehānismiem, kā novērst nesankcionētu piekļuvi dažādos līmeņos:

Identifikācija un autentifikācija (arī divfaktoru vai spēcīga). Tas var būt (operētājsistēma, infrastruktūras programmatūra, lietojumprogrammatūra, aparatūra, piemēram, elektroniskās atslēgas);

Reģistrācija un grāmatvedība. Tas var būt notikumu reģistrēšana (reģistrēšana, reģistrēšana) visās iepriekš minētajās sistēmās, programmatūrā un rīkos);

Nodrošinot integritāti. Tas var būt kontrolēto failu kontrolsummu aprēķins, nodrošinot programmatūras komponentu integritāti, izmantojot slēgtu programmatūras vidi, kā arī nodrošinot uzticamu OS sāknēšanu);

Ugunsmūris, gan vārteja, gan vietējā;

Antivīrusu drošība (tiek piemēroti līdz trim aizsardzības līmeņiem, tā sauktā slāņveida vai vairāku pārdevēju pieeja);

Kriptogrāfija (funkcionāli piemērota dažādos OSI modeļa līmeņos (tīkls, transports un augstāka) un nodrošina dažādu aizsardzības funkcionalitāti).

Ir vairāki kompleksi produkti ar uzlabotu NSD funkcionalitāti. Tie visi atšķiras pēc lietojumprogrammu veidiem, aparatūras atbalsta, programmatūras atbalsta un ieviešanas topoloģijas.

Kad ISPDN tiek izplatīts vai savienots ar publisko tīklu (internets, Rostelecom utt.), Tiek izmantoti drošības analīzes produkti (MaxPatrol no Positive Technologies, kuram nav tiešu konkurentu Krievijas Federācijā), kā arī ielaušanās atklāšana un novēršana (IDS / IPS) - tāpat kā vārtejas līmenī un galapunkta līmenī.

Kā var pārsūtīt personas datus?

Ja ISPD tiek izplatīts, tas nozīmē nepieciešamību pārsūtīt PD pa neaizsargātiem sakaru kanāliem. Starp citu, "gaisa" kanāls pieder arī neaizsargātajam kanālam. Lai aizsargātu PD sakaru kanālos, var izmantot dažādas metodes:

Sakaru kanālu šifrēšana. To var nodrošināt jebkādā veidā, piemēram, VPN starp vārtejām, VPN starp serveriem, VPN starp darbstacijām (InfoTecs ViPNet Custom, Informzaschita APKSh Continent utt.);

MPLS pakešu komutācija. Paketes tiek pārsūtītas pa dažādiem ceļiem saskaņā ar etiķetēm, kuras piešķir tīkla aprīkojums. Piemēram, Rostelecom MPLS tīklam ir sertifikāts par pakešu komutācijas tīkla atbilstību Krievijas FSTEC informācijas drošības prasībām, kas ir uz tā bāzes sniegto pakalpojumu augstas drošības garantija;

Dokumentu šifrēšana. Datu failu, kā arī konteineru failu (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt utt.) Šifrēšanai var izmantot dažādu programmatūru;

Arhīva šifrēšana. Var izmantot dažādus arhivētājus, kas ļauj arhivēt un šifrēt failus, izmantojot kriptogrāfiski spēcīgus algoritmus, piemēram, AES. (WinRAR, WinZIP, 7-ZIP utt.).

Vai man jālieto sertificēti aizsardzības līdzekļi?

Mūsdienās ir vienīgā Krievijas FSTEC prasība attiecībā uz personas datu aizsardzības līdzekļu sertifikāciju. Prasība attiecas uz nedeklarēto iespēju 4. līmeņa nodrošināšanu, tāpēc par pēdējo jautājumu es sniegšu tikai trīs tēzes:

Aizsardzības līdzekļu sertifikācijas sistēma ir brīvprātīga;

Pietiek ar likumu prasību ievērošanu;

Nav nepieciešams sertificēt personas datu informācijas sistēmu kopumā.

Šauro Jevgeņijs

Īpaši populārs tas kļuva ārvalstu uzņēmumu Krievijas nodaļām saistībā ar 18. panta 5. daļas pievienošanu 152-FZ "Par personas datiem": "... operatoram ir pienākums nodrošināt reģistrēšanu, sistematizēšanu, uzkrāšanu, glabāšanu, precizēšanu (atjaunināšanu, maiņu), izguvi personas dati Krievijas Federācijas pilsoņi, izmantojot datu bāzes, kas atrodas Krievijas Federācijas teritorijā " . Likumā ir vairāki izņēmumi, taču jums jāpiekrīt, ka regulatora veiktās pārbaudes gadījumā gribētos, lai būtu ticamāki trumpji nekā “bet tas mūs neskar”.

Sodi pārkāpējiem ir ļoti nopietni. Tiešsaistes veikali, sociālie tīkli, informācijas vietnes, citi ar uzņēmējdarbību saistīti uzņēmumi internets uzraudzības iestāžu sūdzību gadījumā tās faktiski var tikt slēgtas. Varbūt pirmās pārbaudes laikā regulators dos laiku trūkumu novēršanai, taču laiks parasti ir ierobežots. Ja problēma netiek atrisināta ļoti ātri (to ir grūti izdarīt bez iepriekšējas sagatavošanās), zaudējumus nekādā veidā nevar kompensēt. Vietņu bloķēšana noved pie ne tikai pārdošanas pārtraukuma, bet arī tirgus daļas zaudēšanas.

Bezsaistes uzņēmumu personas datu likuma pārkāpēju parādīšanās "melnajā sarakstā" nav tik dramatiska. Bet tas ietver reputācijas riskus, kas ir nozīmīgs faktors ārvalstu uzņēmumiem. Turklāt tagad gandrīz nav palikušas darbības, kas vispār nav saistītas ar personas datu aizsardzību. Bankas, tirdzniecība, pat ražošana - tās visas uztur klientu loku, kas nozīmē, ka uz tām attiecas attiecīgie likumi.

Šeit ir svarīgi saprast, ka uzņēmumu nevar apskatīt atsevišķi. Personas datu aizsardzību nevar ierobežot, serveros uzstādot sertificētu drošības aprīkojumu un aizslēdzot papīra kartes seifos. Personas datiem ir daudz ieejas punktu uzņēmumā - tirdzniecības nodaļas, personāla nodaļas, klientu apkalpošanas nodaļas, dažreiz arī mācību centri, iepirkumu komisijas un citas nodaļas. Personas datu aizsardzības pārvaldība ir sarežģīts process, kas ietekmē IT, dokumentu plūsma, noteikumi, juridiskā reģistrācija.

Apskatīsim, kas nepieciešams šāda procesa sākšanai un uzturēšanai.

Kādi dati tiek uzskatīti par personīgiem

Stingri sakot, jebkura informācija, kas tieši vai netieši attiecas uz konkrētu personu, ir viņa personas dati. Ņemiet vērā, ka mēs runājam par cilvēkiem, nevis par juridiskām personām. Izrādās, lai uzsāktu šo (un arī saistīto) datu aizsardzību, pietiek norādīt dzīvesvietas vārdu un adresi. Tomēr e-pasta saņemšana ar kāda personas datiem paraksta un tālruņa numura veidā nav iemesls viņu aizsardzībai. Galvenais termins: "Personas datu vākšanas jēdziens." Konteksta precizēšanai vēlos izcelt vairākus likuma "Par personas datiem" pantus.

5. pants. Personas datu apstrādes principi. Jums vajadzētu būt skaidriem mērķiem, kas skaidri parāda, kāpēc šī informācija tiek vākta. Pretējā gadījumā sankcijas, visticamāk, pat pilnībā ievērojot visus citus noteikumus un noteikumus.

10. pants. Īpašas personas datu kategorijas. Piemēram, HR var reģistrēt ceļošanas ierobežojumus, tostarp grūtniecību sievietēm. Protams, arī šāda papildu informācija ir aizsargājama. Tas ievērojami paplašina izpratni par personas datiem, kā arī uzņēmuma departamentu un informācijas krātuvju sarakstu, kurā jums jāpievērš uzmanība aizsardzībai.

12. pants. Personas datu pārrobežu pārsūtīšana. Ja informācijas sistēma ar datiem par Krievijas Federācijas pilsoņiem atrodas tās valsts teritorijā, kura nav ratificējusi Konvenciju par personas datu aizsardzību (piemēram, Izraēlā), jums jāievēro Krievijas tiesību aktu noteikumi.

22. pants. Paziņojums par personas datu apstrādi. Priekšnoteikums, lai nepiesaistītu pārmērīgu regulatora uzmanību. Uzņēmējdarbība, kas saistīta ar personas datiem - ziņojiet par to pats, negaidot pārbaudes.

Kur var atrast personas datus

Tehniski PD var atrasties visur, sākot no drukātajiem materiāliem (papīra kartotēkas) līdz mašīnām (cietie diski, zibatmiņas diski, kompaktdiski utt.). Tas ir, uzmanības centrā ir jebkura datu glabāšana, kas ietilpst ISPDN (personas datu informācijas sistēmas) definīcijā.

Atrašanās vietas ģeogrāfija ir atsevišķs liels jautājums. No vienas puses, krievu (personas, kas ir Krievijas Federācijas pilsoņi) personas dati jāuzglabā Krievijas Federācijas teritorijā. No otras puses, pašreizējā brīdī tas drīzāk ir situācijas attīstības vektors, nevis faktisks fakts. Daudzi starptautiski un eksporta uzņēmumi, dažādas holdings, kopuzņēmumi vēsturiski ir sadalījuši infrastruktūru - un tas nemainīsies vienā dienā. Atšķirībā no personas datu glabāšanas un aizsardzības metodēm, kuras gandrīz nekavējoties ir jālabo.

Minimālais to departamentu saraksts, kas iesaistīti PD reģistrēšanā, organizēšanā, uzkrāšanā, glabāšanā, atjaunināšanā (atjaunināšanā, mainīšanā), PD iegūšanā:

  • Personāla dienests.
  • Pārdošanas nodaļa.
  • Juridiskā nodaļa.

Tā kā reti ir nevainojama kārtība, patiesībā šim “gaidāmajam” sarakstam bieži var pievienot visneparedzamākās vienības. Piemēram, noliktavā var būt personalizēta informācija par piegādātājiem, vai arī drošības dienests var pats veikt detalizētu uzskaiti par visiem, kas iebrauc teritorijā. Tādējādi, starp citu, PD sastāvu darbiniekiem var papildināt ar datiem par klientiem, partneriem, darbuzņēmējiem, kā arī nejaušiem un pat nepazīstamiem cilvēkiem - kuru PD kļūst par "noziegumu", fotografējot pēc caurlaides, skenējot personas apliecību un dažos citos gadījumos. ACS (piekļuves kontroles un pārvaldības sistēmas) personas datu aizsardzības kontekstā var viegli kļūt par problēmu avotu. Tāpēc atbilde uz jautājumu "Kur?" no likuma ievērošanas viedokļa tas izklausās šādi: visur atbildīgajā teritorijā. Precīzāk, jūs varat atbildēt tikai, veicot atbilstošu revīziju. Šis ir pirmais posms projekts par personas datu aizsardzību. Pilns galveno fāžu saraksts:

1) Pašreizējās situācijas pārbaude uzņēmumā.

2) Tehniskā risinājuma projektēšana.

3) Personas datu aizsardzības procesa sagatavošana.

4) Tehniskā risinājuma un personas datu aizsardzības procesa pārbaude attiecībā uz atbilstību Krievijas Federācijas tiesību aktiem un uzņēmuma noteikumiem.

5) Tehniskā risinājuma ieviešana.

6) personas datu aizsardzības procesa uzsākšana.

1. Pašreizējās situācijas pārbaude uzņēmumā

Vispirms sazinieties ar personāla departamentu un citās nodaļās, izmantojot papīra formātā pieejamus personas datus:

  • Vai ir piekrišanas veidi personas datu apstrādei? Vai tie ir aizpildīti un parakstīti?
  • Vai tiek ievērots "Noteikumi par personas datu apstrādes īpatnībām, kas tiek veikti, neizmantojot automatizācijas rīkus" Nr. 687?

Nosakiet ISPD ģeogrāfisko atrašanās vietu:

  • Kurās valstīs viņi atrodas?
  • Uz kāda pamata?
  • Vai ir noslēgti līgumi par to izmantošanu?
  • Kādu tehnoloģisko aizsardzību izmanto, lai novērstu PD noplūdi?
  • Kādi organizatoriski pasākumi tiek veikti, lai aizsargātu personas datus?

Ideālā gadījumā informācijas sistēmai ar krievu personas datiem būtu jāatbilst visām likuma 152-FZ "Par personas datiem" prasībām, pat ja tā atrodas ārzemēs.

Visbeidzot, pievērsiet uzmanību iespaidīgajam dokumentu sarakstam, kas nepieciešams verifikācijas gadījumā (tas vēl nav viss, tikai galvenais saraksts):

  • PD apstrādes paziņojums.
  • Dokuments, kas nosaka personu, kas atbild par PD apstrādes organizēšanu.
  • Darbinieku saraksts, kuri uzņemti PD apstrādē.
  • Dokuments, kas nosaka PD glabāšanas vietu.
  • Palīdzība īpašo un biometrisko personas datu kategoriju apstrādē.
  • Sertifikāts par PD pārrobežu pārsūtīšanas ieviešanu.
  • Tipiskas dokumentu formas ar PD.
  • Tipiska piekrišanas forma PD apstrādei.
  • Procedūra personas datu pārsūtīšanai trešajām personām.
  • Procedūra personas datu subjektu pieteikumu reģistrēšanai.
  • Personas datu informācijas sistēmu (ISPDN) saraksts.
  • Dokumenti, kas regulē datu dublēšanu ISPDN.
  • Izmantoto informācijas aizsardzības līdzekļu saraksts.
  • PD iznīcināšanas procedūra.
  • Piekļuves matrica.
  • Draudu modelis.
  • PD mašīnvedēju uzskaites žurnāls.
  • Dokuments, kas nosaka ISPD drošības līmeņus saskaņā ar 2012. gada 1. novembra PP-1119 "Par prasību apstiprināšanu personas datu aizsardzībai to apstrādes laikā personas datu informācijas sistēmās".

2. Tehniskā risinājuma projektēšana

Organizatorisko un tehnisko pasākumu apraksts, kas jāveic, lai aizsargātu personas datus, ir sniegts Likuma 152-FZ "Par personas datiem" 4. nodaļā "Operatora pienākumi". Tehniskajam risinājumam vajadzētu būt balstītam uz 2014. gada 21. jūlija likuma 242-FZ 2. panta noteikumiem.

Bet kā ievērot Krievijas Federācijas pilsoņu likumu un procesu PD Krievijas teritorijā gadījumā, kad PDIS joprojām atrodas ārzemēs? Šeit ir vairākas iespējas:

  • Informācijas sistēmas un datu bāzes fiziska pārsūtīšana uz Krievijas Federācijas teritoriju. Ja tas ir tehniski iespējams, tas būs visvieglāk.
  • Mēs atstājam ISPD ārzemēs, bet Krievijā mēs izveidojam tās kopiju un izveidojam Krievijas Federācijas pilsoņu personas datu vienvirziena replikāciju no Krievijas kopijas uz ārvalstu. Tajā pašā laikā ārvalstu sistēmā ir jāizslēdz iespēja mainīt Krievijas Federācijas pilsoņu personas datus, visus labojumus veicot tikai caur Krievijas ISPD.
  • Ir vairāki ISPD, un viņi visi atrodas ārzemēs. Pārsūtīšana var būt dārga vai parasti tehniski neiespējama (piemēram, jūs nevarat atlasīt daļu no datu bāzes ar Krievijas Federācijas pilsoņu personas datiem un nogādāt tos Krievijā). Šajā gadījumā risinājums var būt jauna ISPD izveide uz jebkuras pieejamās platformas uz servera Krievijā, no kurienes tiks veikta vienvirziena replikācija katram ārzemju ISPD. Ņemiet vērā, ka platformas izvēle paliek uzņēmumam.

Ja ISPD netiek pilnībā un monopolistiski pārsūtīts uz Krieviju, neaizmirstiet pārrobežu datu pārsūtīšanas sertifikātā norādīt, kam un kurš PD kopums tiek nosūtīts. Apstrādes paziņojumā jums jānorāda personas datu pārsūtīšanas mērķis. Arī šim mērķim jābūt likumīgam un skaidri pamatotam.

3. Procesa sagatavošana personas datu aizsardzībai

Personas datu aizsardzības procesā būtu jānosaka vismaz šādi punkti:

  • Personu saraksts, kas atbildīgas par personas datu apstrādi uzņēmumā.
  • Procedūra piekļuves nodrošināšanai ISPD. Ideālā gadījumā šī ir piekļuves matrica ar piekļuves līmeni katram amatam vai konkrētam darbiniekam (lasīt / lasīt-rakstīt / modificēt). Vai arī pieejamo personas datu saraksts par katru amatu. Viss ir atkarīgs no IP ieviešanas un uzņēmuma prasībām.
  • Piekļuves personas datiem audits un piekļuves mēģinājumu analīze, pārkāpjot piekļuves līmeņus.
  • Personas datu nepieejamības iemeslu analīze.
  • Procedūra, kā atbildēt uz PD subjektu pieprasījumiem par viņu PD.
  • Personas datu saraksta pārskatīšana, kuri tiek pārsūtīti ārpus uzņēmuma.
  • Personas datu saņēmēju pārskatīšana, tostarp ārvalstīs.
  • Personas datu draudu modeļa periodiska pārskatīšana, kā arī personas datu aizsardzības līmeņa maiņa draudu modeļa izmaiņu dēļ.
  • Atjaunināts uzņēmuma dokumentu atbalsts (saraksts atrodas iepriekš, un, ja nepieciešams, tas var būt jāpapildina).

Šeit jūs varat detalizēti aprakstīt katru priekšmetu, bet es vēlos pievērst īpašu uzmanību drošības līmenim. To nosaka, pamatojoties uz šādiem dokumentiem (lasīt secīgi):

1. "Faktisko draudu noteikšanas metodika drošība personas dati to apstrādes laikā personas datu informācijas sistēmās ”(FSTEC RF 2008. gada 14. februāris).

2. Krievijas Federācijas valdības 2012. gada 1. novembra dekrēts Nr. 1119 "Par prasību apstiprināšanu personas datu aizsardzībai, tos apstrādājot personas datu informācijas sistēmās".

3. FSTEC 2013.gada 18.februāra rīkojums Nr.21 "Par organizatorisko un tehnisko pasākumu sastāva un satura apstiprināšanu, lai nodrošinātu personas datu drošību to apstrādes laikā personas datu informācijas sistēmās".

Neaizmirstiet arī apsvērt nepieciešamību pēc šādām izdevumu kategorijām:

  • Organizācija projekta komanda un projektu vadība.
  • Izstrādātāji katrai no ISPDN platformām.
  • Servera jaudas (pašu vai nomātas datu centrā).

Līdz projekta otrās un trešās fāzes beigām jums vajadzētu būt:

  • Izmaksu aprēķins.
  • Kvalitātes prasības.
  • Projekta noteikumi un grafiks.
  • Projekta tehniskie un organizatoriskie riski.

4. Pārbaudīt tehnisko risinājumu un personas datu aizsardzības procesu atbilstībai Krievijas Federācijas tiesību aktiem un uzņēmuma noteikumiem

Īss, bet svarīgs posms, kurā jums jāpārliecinās, ka visas plānotās darbības nav pretrunā ar Krievijas Federācijas likumdošanu un uzņēmuma noteikumiem (piemēram, drošības politiku). Ja tas netiks izdarīts, projekta pamatā tiks ievietota bumba, kas nākotnē var "eksplodēt", iznīcinot ieguvumus no sasniegtajiem rezultātiem.

5. Tehniskā risinājuma ieviešana

Šeit viss ir vairāk vai mazāk acīmredzams. Specifika ir atkarīga no sākotnējās situācijas un lēmumiem. Bet kopumā jums vajadzētu iegūt kaut ko līdzīgu šim attēlam:

  • Servera jauda piešķirta.
  • Tīkla inženieri ir nodrošinājuši pietiekamu joslas platumu starp PD uztvērēju un raidītāju.
  • Izstrādātāji ir izveidojuši replikāciju starp ISPD datu bāzēm.
  • Administratori novērsa izmaiņas ISPDN, kas atrodas ārzemēs.

Par PD aizsardzību atbildīgā persona vai “procesa īpašnieks” var būt viena un tā pati persona vai atšķirīga persona. Pats fakts, ka “procesa īpašniekam” jāsagatavo visa dokumentācija un jāorganizē viss personas datu aizsardzības process. Lai to izdarītu, jāinformē visas ieinteresētās puses, jāinformē darbinieki un IT dienestam jāveicina datu aizsardzības tehnisko pasākumu ieviešana.

6. Personas datu aizsardzības procesa uzsākšana

Šis ir svarīgs posms, un savā ziņā visa projekta mērķis ir kontrolēt plūsmu. Papildus tehniskajiem risinājumiem un normatīvajiem dokumentiem šeit kritiski svarīga ir procesa īpašnieka loma. Viņam jāseko izmaiņām ne tikai likumdošanā, bet arī IT infrastruktūrā. Tas nozīmē, ka jums ir nepieciešamas atbilstošas \u200b\u200bprasmes un kompetences.

Turklāt, kas reāli ir kritiski svarīgi, PD aizsardzības procesa īpašniekam ir nepieciešamas visas nepieciešamās pilnvaras un uzņēmuma vadības administratīvais atbalsts. Pretējā gadījumā viņš būs mūžīgs "lūdzējs", kuram neviens nepievērš uzmanību, un pēc kāda laika projektu var atsākt, atkal sākot ar revīziju.

Nianses

Daži punkti, kurus ir viegli nepamanīt:

  • Ja jūs strādājat ar datu centru, jums ir nepieciešams līgums par servera pakalpojumu nodrošināšanu, saskaņā ar kuru jūsu uzņēmums datus glabā uz likumīga pamata un kontrolē.
  • Jums ir nepieciešama programmatūras licence, kas tiek izmantota personas datu vākšanai, glabāšanai un apstrādei vai nomas līgumiem.
  • Ja ISPD atrodas ārzemēs, ir nepieciešams līgums ar uzņēmumu, kam pieder sistēma tur, lai nodrošinātu Krievijas Federācijas likumdošanas ievērošanu attiecībā uz krievu personas datiem.
  • Ja personas dati tiek pārsūtīti jūsu uzņēmuma darbuzņēmējam (piemēram, IT ārpakalpojumu partnerim), tad personas datu noplūdes gadījumā no ārpakalpojuma sniedzēja jūs būsiet atbildīgs par prasībām. Savukārt jūsu uzņēmums var iesniegt pretenzijas ārpakalpojuma sniedzējam. Varbūt šis faktors var ietekmēt faktu, ka darbs tiek nodots ārpakalpojumiem.

Un atkal vissvarīgākais ir tas, ka personas datu aizsardzību nevar pieņemt un nodrošināt. Tas ir process. Notiekošs atkārtojošs process, kas būs ļoti atkarīgs no turpmākajām izmaiņām likumdošanā, kā arī no šo normu piemērošanas formāta un stingrības praksē.

Marina Prohhorova, žurnāla "Personas dati" redaktors

Natālija Samoilova, uzņēmuma "InfoTechnoProekt" jurists

Tiesiskais regulējums, kas līdz šim ir izveidojies personas datu apstrādes jomā, dokumenti, kas vēl jāpieņem, lai efektīvāk organizētu darbu pie personas datu aizsardzības organizācijās, tehniskie aspekti informācijas sistēmu sagatavošanā personas datu operatoriem - tās ir tēmas, par kurām pēdējā laikā ir skartas daudzas avīzes un žurnālu publikācijas, kas veltītas personas datu problēmai. Šajā rakstā es gribētu pakavēties pie tāda banku un kredītiestāžu darba organizācijas aspekta kā šajās organizācijās apstrādāto personas datu "netehniska" aizsardzība.

Sāksim ar konkrētu piemēru

Mēs runājam par personas datu aizsardzības lietas izskatīšanu tiesā, kas ierosināta pret Sberbank 2008. gada jūnijā. Tiesvedības būtība bija šāda. Starp pilsoni un banku tika noslēgts galvojuma līgums, saskaņā ar kuru pilsonis uzņēmās pienākumu atbildēt bankai par aizņēmēja saistību izpildi saskaņā ar aizdevuma līgumu. Pēdējais aizdevuma līgumā noteiktajā termiņā nepildīja savas saistības, informācija par galvotāju kā neuzticamu klientu tika ievadīta Stop Stop bankas automatizētajā informācijas sistēmā, kas savukārt bija pamats atteikumam piešķirt viņam aizdevumu. Tajā pašā laikā banka pat nepaziņoja pilsonim par to, ka aizņēmējs nepareizi izpildīja savas saistības saskaņā ar aizdevuma līgumu. Turklāt galvojuma līgumā nebija norādīts, ka gadījumā, ja aizņēmējs nepareizi izpilda savus pienākumus, bankai ir tiesības Stop Stop informācijas sistēmā ievadīt informāciju par galvotāju. Tādējādi banka apstrādāja pilsoņa personas datus, bez viņa piekrišanas iekļaujot informāciju par viņu Stop Stop informācijas sistēmā, kas pārkāpj Art. 9 no 2006. gada 27. jūlija Federālā likuma Nr. 152-FZ "Par personas datiem", saskaņā ar kuru personas datu subjekts lemj par savu personas datu sniegšanu un piekrīt to apstrādei pēc savas gribas un viņa interesēm. Turklāt veidā, kas noteikts Art. Tā paša likuma 14.pants pilsonis vērsās bankā ar prasību nodrošināt viņam iespēju iepazīties ar informāciju, kas par viņu ievadīta Stop Stop informācijas sistēmā, kā arī bloķēt šo informāciju un to iznīcināt. Banka atteicās apmierināt pilsoņa prasības.

Balstoties uz lietas izskatīšanas rezultātiem, Vladivostokas Ļeņinska rajona tiesa apmierināja Roskomnadzor administrācijas prasības attiecībā uz Primorskas teritoriju pret Krievijas Sberbank, lai aizsargātu pārkāptās pilsoņa tiesības, un lika bankai iznīcināt informāciju par pilsoni no Stop Stop informācijas sistēmas.

Kā šis piemērs ir orientējošs? Bankas, bez vilcināšanās glabājot ievērojama skaita klientu personas datus, pārvieto tos no vienas datu bāzes uz otru un visbiežāk par to nepaziņojot personas datu subjektam, nemaz nerunājot par viņa piekrišanu šādām darbībām ar viņa personas dati. Protams, bankām ir vairākas pazīmes, un bieži vien klienta personas dati tiek izmantoti ne tikai bankas noslēgto līgumu izpildei, bet arī bankas uzraudzībai par klienta saistību izpildi, bet tas nozīmē, ka jebkurai manipulācijai ar personas datiem jau ir nepieciešama viņu subjekta piekrišana. ...

Grūtības noteikumu interpretācijā

Kāpēc neveidot nekādus darījumus ar personas datiem likumīgu? Protams, tas, visticamāk, prasīs trešo pušu speciālistu iesaisti, jo pat lielo banku juridisko nodaļu juristi ir pirmās klases profesionāļi tikai noteiktā jomā, un viņiem ir praktiski no jauna jāiepazīstas ar darba specifiku personas datu jomā. Tātad labākā izeja ir iesaistīt uzņēmumus, kas specializējas pakalpojumu sniegšanā, lai organizētu darbu ar personas datiem, tostarp tos, kas spēj veikt auditu par jūsu netehnisko aizsardzības pasākumu atbilstību likumdevēja prasībām, lai organizētu personas datu aizsardzības sistēmu.

Analītisko pētījumu rezultāti ļauj secināt, ka vislielākās grūtības rada to, kuru Federālā likuma Nr. 152-FZ "Par personas datiem" noteikumu interpretācija rada.

Saskaņā ar šī normatīvā dokumenta 22. panta 1. daļu operatoram ir pienākums informēt pilnvaroto iestādi par personas datu apstrādi. Starp izņēmumiem ir gadījums, kad apstrādātie personas dati tika iegūti saistībā ar līguma noslēgšanu, kurā personas datu subjekts ir puse ... un operators tos izmanto tikai norādītā līguma izpildei, pamatojoties uz Federālā likuma Nr. 152-FZ 22. panta 2. daļas 2. punktu. personas dati ". Darbojoties tieši ar šo noteikumu, dažas bankas neiesniedz paziņojumu par personas datu apstrādi, un daudzas neuzskata sevi par operatoriem, kas ir būtībā nepareizi.

Turklāt vēl viena izplatīta kļūda, kas saistīta ar līgumu kā personas datu operatori, ir šāda. Saskaņā ar Art. Saskaņā ar iepriekšminētā likuma 6. pantu personas datu apstrādi operators var veikt ar personas datu subjektu piekrišanu, izņemot gadījumus, ieskaitot apstrādi nolīguma izpildes nolūkā, kuras viena no pusēm ir personas datu subjekts. Tādēļ daudzas banku iestādes personas datu subjekta piekrišanas trūkumu skaidro tieši ar šāda līguma noslēgšanas faktu.

Bet padomāsim par to, vai banka kā operators neizmanto subjekta personas datus, kas iegūti, noslēdzot līgumu, piemēram, lai nosūtītu paziņojumus par jauniem pakalpojumiem, uzturētu "Stop Lists"? Tas nozīmē, ka personas datu apstrāde tiek veikta ne tikai līguma izpildes nolūkā, bet arī citiem mērķiem, kuru sasniegšana bankām ir komerciāla interese, tāpēc:

  • bankām ir pienākums pilnvarotajai iestādei iesniegt paziņojumu par personas datu apstrādi;
  • bankām personas dati būtu jāapstrādā tikai ar subjekta piekrišanu.

Tas nozīmē, ka bankām ir jāorganizē sistēma darbam ar savu klientu personas datiem, tas ir, lai nodrošinātu šādu datu netehnisku aizsardzību.

Rakstiska piekrišana personas datu apstrādei

Attiecībā uz personas datu subjekta piekrišanu personas datu apstrādei Federālais likums Nr. 152-FZ "Par personas datiem" uzliek operatoriem pienākumu iegūt rakstisku piekrišanu personas datu apstrādei tikai likumā noteiktajos gadījumos. Tajā pašā laikā saskaņā ar Art. 9 pienākums pierādīt subjekta piekrišanas saņemšanu viņa personas datu apstrādei ir uzņēmējam. Lai vajadzības gadījumā netērētu laiku šādu pierādījumu vākšanai (piemēram, liecinieku meklēšanai), mūsuprāt, jebkurā gadījumā labāk ir iegūt rakstisku piekrišanu no subjektiem.

Sniegsim vēl vienu argumentu par personas datu apstrādes rakstisko formu. Bieži vien banku darbība ir saistīta ar datu (ieskaitot personas datus) pārsūtīšanu uz ārvalsts teritoriju. Šajā gadījumā Art. Federālā likuma Nr. 152-FZ "Par personas datiem" 12. pantā noteikts, ka pirms personas datu pārrobežu pārsūtīšanas sākuma operatoram jāpārliecinās, ka ārvalsts, uz kuras teritoriju tiek veikta personas datu pārsūtīšana, pienācīgi aizsargā personas datu subjektu tiesības. Ja šāda aizsardzība netiek nodrošināta, personas datu pārrobežu pārsūtīšana ir iespējama tikai ar personas datu subjekta rakstisku piekrišanu. Var pieņemt, ka bankas darbiniekam ir vieglāk iegūt klienta rakstisku piekrišanu personas datu apstrādei nekā noteikt viņu aizsardzības atbilstības pakāpi ārvalstī.

Mēs vēršam jūsu uzmanību uz to, ka informācija, kas jāiekļauj rakstiskajā piekrišanā, ir uzskaitīta Art. 9 no iepriekšminētā federālā likuma, un šis saraksts ir izsmeļošs. Un paraksts zem frāzes, piemēram, aizdevuma līgumā: "Es piekrītu manu personas datu izmantošanai", saskaņā ar federālo likumu Nr. 152-FZ "Par personas datiem" nav piekrišana to apstrādei!

Šķiet, ka ir tikai daži likuma punkti, un cik daudz sarežģījumu līdz tiesvedībai var izraisīt to nepareizu interpretāciju. Turklāt šodien, kad subjektu personas dati dažādu struktūru konkurences cīņā bieži kļūst par preci, viņu aizsardzības jautājumu veiksmīgs risinājums, banku un kredītiestāžu informācijas sistēmu drošības nodrošināšana kļūst par garantiju jebkuras organizācijas reputācijas un godīga nosaukuma saglabāšanai.

Katru dienu palielinās pilsoņu informētība par viņu personas datu izplatīšanas iespējamām negatīvām sekām, ko veicina specializētu publikāciju parādīšanās. Ir arī dažādu uzņēmumu informācijas resursi. Daži no tiem parasti aptver visu plašo jautājumu loku, kas saistīts ar "informācijas drošības" jēdzienu, citi ir veltīti tehniskās aizsardzības pasākumu un līdzekļu pārskatīšanai, kāds, gluži pretēji, koncentrējas uz problēmām, kas saistītas ar netehnisko aizsardzību. Citiem vārdiem sakot, informācija par personas datu aizsardzību kļūst arvien pieejamāka, kas nozīmē, ka pilsoņi būs prasmīgāki savu tiesību aizsardzības jomā.

IEVADS

Atbilstība. Mūsdienu pasaulē informācija kļūst par stratēģisku resursu, kas ir viena no ekonomiski attīstītās valsts galvenajām bagātībām. Strauja informatizācijas uzlabošanās Krievijā, iekļūšana visās indivīda, sabiedrības un valsts vitālo interešu sfērās papildus neapšaubāmām priekšrocībām izraisīja virkni būtisku problēmu. Viens no tiem bija nepieciešamība aizsargāt informāciju. Ņemot vērā, ka šobrīd ekonomisko potenciālu arvien vairāk nosaka informācijas struktūras attīstības līmenis, proporcionāli pieaug ekonomikas potenciālā neaizsargātība no informācijas ietekmēm.

Datorsistēmu izplatība, to integrācija sakaru tīklos uzlabo elektroniskās iespiešanās iespējas tajās. Datornoziedzības problēma visās pasaules valstīs, neatkarīgi no to ģeogrāfiskās atrašanās vietas, liek piesaistīt arvien lielāku sabiedrības uzmanību un spēkus, lai organizētu cīņu pret šāda veida noziegumiem. Īpaši izplatīti ir noziegumi automatizētajās banku sistēmās un e-komercijā. Saskaņā ar ārvalstu datiem zaudējumi bankās datoru noziegumu rezultātā gadā sasniedz daudzus miljardus dolāru. Lai arī jaunāko informācijas tehnoloģiju ieviešanas līmenis Krievijā nav tik ievērojams, katru dienu datornoziegumi arvien vairāk liek manīt sevi, un valsts un sabiedrības aizsardzība no tiem ir kļuvusi par superuzdevumu kompetentajām iestādēm.

Neviens nešaubās par personas datu aizsardzības jautājuma atbilstību. Pirmkārt, tas ir saistīts ar periodu, kas noteikts personas datu informācijas sistēmu (ISPD) ievešanai saskaņā ar 2006. gada 27. jūlija Federālo likumu Nr. 152-FZ "Par personas datiem". Šis termiņš neglābjami tuvojas, un tajā pašā laikā acīmredzamā regulatoru normatīvo dokumentu prasību izpildes sarežģītība izraisa daudz strīdu un neskaidru interpretāciju. Tajā pašā laikā dažu vadlīniju dokumentu slēgtais raksturs, to nenoteiktais juridiskais statuss, kā arī virkne citu jautājumu neveicina problēmas risināšanu. Tas viss rada situāciju, kad normatīvais regulējums nav galīgi noteikts, un tagad ir jāievēro likumdošanas prasības.

2009. gada maijā ARB notika pirmā darba grupas sanāksme par personas datu jautājumiem. Pasākumā atklātas diskusijas laikā tika skaidri noteiktas banku kopienai aktuālās problemātiskās jomas. Būtībā tie attiecās tieši uz personas datu tehnisko aizsardzību un turpmāko mijiedarbību starp finanšu iestādēm un FSTEC. Krievijas Bankas pārstāvji savā runā paziņoja par labāko praksi likuma "Par personas datiem" īstenošanas organizēšanā. Krievijas Bankas mēģinājumus rast kompromisu ar regulatoriem attiecībā uz tehnisko prasību formulēšanu banku sabiedrībai var saukt par principiāli jauniem un nozīmīgiem. Es īpaši vēlos atzīmēt Krievijas Federācijas Centrālās bankas aktivitāti darbā ar Krievijas FSTEC. Ņemot vērā visas milzīgās grūtības, kas saistītas ar FSTEC vadlīniju prasību izpildi, Krievijas Banka nolēma sagatavot savus dokumentus (dokumentu projektus), kas pašlaik tiek saskaņoti ar FSTEC. Var pieņemt, ka ir liela varbūtība, ka finanšu iestādēm būs jauns nozares standarts attiecībā uz personas datiem.

Kursa darba mērķis ir izpētīt veidus, kā aizsargāt personas datus tiešsaistes banku sistēmās.

Lai sasniegtu mērķi, tika atrisināti šādi uzdevumi:

pieeju izpēte, drošības pamatprincipi;

drošības nodrošināšanas metožu un līdzekļu noteikšana;

personas datu drošības nodrošināšanas pazīmju noteikšana tiešsaistes banku sistēmās;

pasākumu izstrāde, lai nodrošinātu personas datu drošību tiešsaistes banku sistēmās.

Pētījuma darba objekts ir informācijas banku sistēmas.

Pētījuma priekšmets ir personiskās informācijas drošība tiešsaistes banku sistēmās.

Pētījuma teorētiskais un metodiskais pamats bija teorētiskie nosacījumi, zinātnieku darbs, speciālistu pētījumi informācijas sniegšanas jautājumos.

Kursa darba metodiskais pamats bija sistemātiska pieeja drošības problēmu izpētei.

Izmantota loģiska, salīdzinoša juridiskā, sistēmiskā analīze. Turklāt izmantotā strukturālās analīzes metode ļauj ar nepieciešamo rūpību izpētīt pētāmās parādības atsevišķos komponentus un analizēt šo elementu attiecības savā starpā, kā arī ar vispārējo kopumu.

1. Personas datu aizsardzības teorētiskie aspekti tiešsaistes banku sistēmās

1.1 Pieejas, drošības principi

Informācijas sistēmu drošību saprot kā pasākumus, kas aizsargā informācijas sistēmu no nejaušas vai apzinātas iejaukšanās tās darbības režīmos.

Datoru drošībai ir divas fundamentālas pieejas.

Pirmais no tiem ir sadrumstalots, tā ietvaros ir vērsta uz stingri noteiktu draudu apkarošanu noteiktos apstākļos (piemēram, specializēti pretvīrusu rīki, autonomie šifrēšanas rīki utt.). Pieejai ir gan priekšrocības - tas nozīmē augstu selektivitātes līmeni skaidri definētas problēmas ziņā, gan trūkumi - nozīmē sadrumstalotu aizsardzību - t.i. stingri definēti elementi.

Informācijas drošības pārvaldības process ietver komponentus, kas parādīti attēlā. 1.

Otrā pieeja ir sistēmiska, tās īpatnība ir tāda, ka tās ietvaros informācijas aizsardzība tiek apstrādāta plašākā mērogā - tiek izveidota droša vide informācijas apstrādei, glabāšanai un pārsūtīšanai, apvienojot neviendabīgas draudu apkarošanas metodes un līdzekļus: programmatūru un aparatūru, juridisko, organizatorisko un ekonomisko. Izmantojot norādīto drošo vidi, var garantēt zināmu automatizētās informācijas sistēmas drošības līmeni.

Sistemātiska pieeja informācijas aizsardzībai balstās uz šādiem metodikas principiem:

galīgais mērķis - galīgā (globālā) mērķa absolūtā prioritāte;

vienotība - kopēja sistēmas izskatīšana kopumā "un kā daļu (elementu) kopums;

savienojamība - ņemot vērā jebkuru sistēmas daļu kopā ar tās savienojumiem ar vidi;

moduļu konstrukcija - moduļu piešķiršana sistēmā un uzskatīšana par moduļu kopumu;

hierarhijas - daļu (elementu) hierarhijas ieviešana un to ranžēšana;

funkcionalitāte - kopīga struktūras un funkcijas apsvēršana ar funkcijas prioritāti struktūras priekšā;

attīstība - ņemot vērā sistēmas mainīgumu, tās spēju attīstīties, paplašināt, nomainīt daļas, uzkrāt informāciju;

decentralizācija - centralizācijas un decentralizācijas apvienojums lēmumu pieņemšanā un pārvaldībā;

nenoteiktība - sistēmas nenoteiktību un negadījumu uzskaite.

Mūsdienu pētnieki izšķir šādu metodoloģisko,

informācijas (ieskaitot datoru) drošības organizatoriskos un ieviešanas principus.

Likumības princips. Sastāv no pašreizējo tiesību aktu ievērošanas informācijas drošības jomā.

Nenoteiktības princips rodas subjekta uzvedības neskaidrības dēļ, t.i. kas, kad, kur un kā var pārkāpt aizsargājamā objekta drošību.

Ideālas aizsardzības sistēmas izveidošanas neiespējamības princips. Tas izriet no nenoteiktības principa un šo līdzekļu ierobežotajiem resursiem.

Minimālā riska un minimālā kaitējuma principi izriet no neiespējamības izveidot ideālu aizsardzības sistēmu. Saskaņā ar to ir jāņem vērā īpašie nosacījumi aizsardzības objekta pastāvēšanai jebkurā laika posmā.

Droša laika princips. Tas ietver absolūtā laika ņemšanu vērā, t.i. kuras laikā nepieciešams saglabāt aizsardzības objektus; un relatīvais laiks, t.i. laika periods no brīža, kad tiek konstatētas ļaunprātīgas darbības, līdz uzbrucējs sasniedz mērķi.

Princips “pasargāt visus no visiem”. Tas ietver aizsardzības pasākumu organizēšanu pret visa veida aizsardzības objektu apdraudējumiem, kas ir nenoteiktības principa sekas.

Personiskās atbildības principi. Uzņemas katra uzņēmuma, iestādes un organizācijas darbinieka personisko atbildību par drošības režīma ievērošanu viņu pilnvaru, funkcionālo pienākumu un pašreizējo norādījumu ietvaros.

Pilnvaru ierobežošanas princips nozīmē subjekta pilnvaru ierobežošanu, lai iepazītos ar informāciju, kurai nav nepieciešama piekļuve, lai normāli veiktu viņa funkcionālos pienākumus, kā arī ievieš aizliegumu piekļūt objektiem un apgabaliem, kas nav nepieciešami darbības veida dēļ.

Mijiedarbības un sadarbības princips. Iekšēji tas ietver uzticības attiecību veidošanu starp darbiniekiem, kas atbild par drošību (ieskaitot informācijas drošību), un personālu. Ārējā izpausmē - sadarbības nodibināšana ar visām ieinteresētajām organizācijām un privātpersonām (piemēram, tiesībaizsardzības aģentūrām).

Sarežģītības un individualitātes princips Tas nozīmē, ka nav iespējams nodrošināt aizsargājamā objekta drošību ar vienu pasākumu, bet tikai ar sarežģītu, savstarpēji saistītu un pārklāšanās pasākumu kopumu, ko īsteno, individuāli atsaucoties uz konkrētiem apstākļiem.

Secīgu drošības līniju princips. Tas ietver iespējami ātru paziņojumu par iejaukšanos konkrēta aizsardzības objekta drošībā vai citā nelabvēlīgā incidentā, lai palielinātu varbūtību, ka agrīna brīdināšana par aizsarglīdzekļiem nodrošinās par drošību atbildīgajiem darbiniekiem iespēju savlaicīgi noteikt trauksmes cēloni un organizēt efektīvus pretpasākumus.

Aizsardzības līniju vienāda spēka un vienādas jaudas principi. Vienāds spēks nozīmē neaizsargātu zonu trūkumu aizsardzības līnijās. Vienāda jauda paredz relatīvi vienādu aizsardzības līniju aizsardzību atbilstoši aizsargājamā objekta draudu pakāpei.

Informācijas aizsardzības nodrošināšanas metodes uzņēmumā ir šādas:

Šķērslis ir metode, kā fiziski bloķēt uzbrucēja ceļu uz aizsargāto informāciju (uz aprīkojumu, datu nesējiem utt.).

Piekļuves kontrole ir informācijas aizsardzības metode, regulējot visu uzņēmuma automatizētās informācijas sistēmas resursu izmantošanu. Piekļuves kontrole ietver šādus drošības līdzekļus:

informācijas sistēmas lietotāju, personāla un resursu identifikācija (katram objektam piešķirot personas identifikatoru);

objekta vai subjekta autentifikācija (autentifikācija) saskaņā ar viņa uzrādīto identifikatoru;

autorizācijas pārbaude (nedēļas dienas, diennakts laika, pieprasīto resursu un procedūru atbilstības pārbaude noteiktajiem noteikumiem);

zvanu reģistrēšana aizsargātajiem resursiem;

atbilde (trauksme, izslēgšana, darba kavēšanās, atteikšanās pieprasīt, mēģinot veikt neatļautas darbības).

Maskēšana ir metode, kā aizsargāt informāciju uzņēmuma automatizētā informācijas sistēmā, izmantojot tā kriptogrāfisko slēgšanu.

Regulēšana ir informācijas aizsardzības metode, kas rada apstākļus informācijas automatizētai apstrādei, glabāšanai un pārsūtīšanai, kurā tiktu samazināta nesankcionētas piekļuves iespēja tai.

Piespiešana ir informācijas aizsardzības metode, kurā lietotāji un sistēmas personāls ir spiesti ievērot aizsargātas informācijas apstrādes, pārsūtīšanas un izmantošanas noteikumus, draudot materiālajai, administratīvajai un kriminālatbildībai.

Stimuls ir informācijas aizsardzības metode, kas mudina lietotājus un sistēmas personālu nepārkāpt noteiktos noteikumus, ievērojot noteiktos morāles un ētikas standartus.

Iepriekš minētās informācijas drošības nodrošināšanas metodes tiek īstenotas, izmantojot šādus pamatlīdzekļus: fizisko, aparatūras, programmatūras, aparatūras-programmatūras, kriptogrāfijas, organizatorisko, likumdošanas un morāli ētisko.

Fiziskie aizsardzības līdzekļi ir paredzēti objektu teritorijas ārējai aizsardzībai, uzņēmuma automatizētās informācijas sistēmas sastāvdaļu aizsardzībai un tiek īstenoti autonomu ierīču un sistēmu veidā.

Aparatūras aizsardzības līdzekļi ir elektroniskas, elektromehāniskas un citas ierīces, kas tieši iebūvētas automatizētas informācijas sistēmas blokos vai paredzētas kā neatkarīgas ierīces un ir saskarnē ar šīm vienībām. Tie ir paredzēti datoru iekārtu un sistēmu strukturālo elementu iekšējai aizsardzībai: termināliem, procesoriem, perifērijas iekārtām, sakaru līnijām utt.

Programmatūras aizsardzības rīki ir paredzēti loģiskās un intelektuālās aizsardzības funkciju veikšanai, un tie ir iekļauti vai nu automatizētas informācijas sistēmas programmatūrā, vai arī vadības iekārtu rīku, kompleksu un sistēmu sastāvā.

Informācijas drošības programmatūra ir visizplatītākais aizsardzības veids, kam ir šādas pozitīvas īpašības: universālums, elastīgums, ieviešanas vieglums, spēja mainīties un attīstīties. Šis apstāklis \u200b\u200bviņus vienlaikus padara par visneaizsargātākajiem uzņēmuma informācijas sistēmas aizsardzības elementiem.

Aparatūras un programmatūras aizsardzības līdzekļi, kuros programmatūra (programmaparatūra) un aparatūras daļas ir pilnībā savstarpēji saistītas un neatdalāmas.

Kriptogrāfiskie līdzekļi - aizsardzības līdzekļi, pārveidojot informāciju (šifrēšana).

Organizatoriskie līdzekļi - organizatoriski, tehniski, organizatoriski un juridiski pasākumi personāla uzvedības regulēšanai.

Likumdošanas līdzekļi - valsts tiesību akti, kas regulē ierobežotas informācijas izmantošanas, apstrādes un nosūtīšanas noteikumus un nosaka atbildības pasākumus par šo noteikumu pārkāpšanu.

Morālie un ētiskie līdzekļi - normas, tradīcijas sabiedrībā, piemēram: Amerikas Savienoto Valstu Datoru lietotāju asociācijas locekļu profesionālās rīcības kodekss.

1.2 Drošības nodrošināšanas metodes un līdzekļi

Drošības pasākumu ieviešanai tiek izmantoti dažādi šifrēšanas mehānismi. Kādām nolūkiem šīs metodes tiek izmantotas? Sākotnēji, sūtot datus (tekstu, runu vai zīmējumus), tie nav aizsargāti vai, kā eksperti to sauc, ir atvērti. Atvērtos datus citi lietotāji var viegli pārtvert (tīši vai ne gudri). Ja ir mērķis novērst noteiktas informācijas nonākšanu trešajās pusēs, šādi dati tiek šifrēti. Pēc tam lietotājs, kuram paredzēta norādītā informācija, to atšifrē, izmantojot kriptogrammas reverso pārveidošanu, saņemot datus viņam vajadzīgajā formā.

Šifrēšana ir simetriska (viena slepenā atslēga tiek izmantota šifrēšanai) un asimetriska (viena publiskā atslēga tiek izmantota šifrēšanai, un atšifrēšanai - cita, kas nav savienota - tas ir, zinot vienu no tām, jūs nevarat noteikt otru).

Drošības mehānismi ir šādi:

) Digitālā elektroniskā paraksta mehānismi ir balstīti uz asimetriskiem šifrēšanas algoritmiem un ietver divas procedūras: sūtītāja paraksta ģenerēšanu un saņēmēja identificēšanu. Paraksta veidošana, ko veic sūtītājs, nodrošina datu bloka šifrēšanu vai papildināšanu ar kriptogrāfisko kontrolsummu, un abos gadījumos tiek izmantota sūtītāja slepenā atslēga. Publisko atslēgu izmanto identifikācijai.

) Piekļuves kontroles mehānismi pārbauda programmu un lietotāju pilnvaras piekļūt tīkla resursiem. Piekļūstot resursam, izmantojot savienojumu, vadība tiek veikta gan sākuma punktā, gan starppunktos, kā arī galapunktā.

) Datu integritātes mehānismi tiek piemēroti atsevišķam blokam un datu plūsmai. Sūtītājs papildina pārsūtīto bloku ar kriptogrāfisko daudzumu, un uztvērējs salīdzina to ar kriptogrāfisko vērtību, kas atbilst saņemtajam blokam. Neatbilstība norāda bloka informācijas sagrozīšanu.

) Satiksmes iestatīšanas mehānismi. To pamatā ir bloku ģenerēšana, izmantojot AIS objektus, to šifrēšana un pārraides organizēšana pa tīkla kanāliem. Tas neitralizē informācijas iegūšanas iespēju, novērojot caur sakaru kanāliem cirkulējošo plūsmu ārējās īpašības.

) Maršrutēšanas kontroles mehānismi nodrošina informācijas plūsmu pa sakaru tīklu tā, lai izslēgtu klasificētas informācijas pārsūtīšanu pa nedrošiem fiziski neuzticamiem kanāliem.

) Arbitrāžas mehānismi sniedz apstiprinājumu datu īpašībām, kuras trešā persona pārsūta starp vienībām. Lai to panāktu, objektu nosūtītā vai saņemtā informācija iet caur šķīrējtiesnesi, kas ļauj viņam vēlāk apstiprināt minētās īpašības.

Ekonomisko objektu drošības sistēmas galvenie trūkumi ir:

-šaura, nesistemātiska objekta drošības problēmas izpratne;

-nolaidība pret draudu novēršanu, darbs pēc principa "Ir parādījušies draudi - mēs sākam tos novērst";

-nekompetence drošības ekonomikā, nespēja salīdzināt izmaksas un ieguvumus;

-Vadības un drošības speciālistu “tehnokrātisms”, visu uzdevumu interpretācija viņiem pazīstamas jomas valodā.

Kā secinājumu par darba pirmo nodaļu mēs definējam sekojošo. Informācijas sistēmu drošība attiecas uz noteiktiem pasākumiem, ar kuriem tie aizsargā informācijas sistēmu no nejaušas vai apzinātas iejaukšanās tās darbības režīmos. Drošības nodrošināšanai ir paredzētas divas galvenās pieejas: 1) fragmentāra, kuras ietvaros noteiktos apstākļos notiek pretdarbība noteiktiem draudiem; 2) sistēmiska, kurā tiek veidota aizsargāta vide informācijas apstrādei, glabāšanai un pārsūtīšanai, apvienojot dažādas metodes un līdzekļus draudu apkarošanai. Informācijas aizsardzībai tiek izmantoti dažādi līdzekļi un mehānismi. Starp līdzekļiem ir: šifrēšana, digitāla elektroniska ierakstīšana, piekļuves kontrole, trafika iestatīšana utt.

tiešsaistes banku sistēmas drošība

2. Personas datu drošības nodrošināšanas iespējas tiešsaistes banku sistēmās

2.1. Vispārīgi nosacījumi personas datu drošības nodrošināšanai tiešsaistes banku sistēmās

Personas informācijas aizsardzība ir informācijas un tās atbalsta infrastruktūras (datoru, sakaru līniju, barošanas sistēmu utt.) Aizsardzības stāvoklis no nejaušas vai tīšas ietekmes, kas kaitē šīs informācijas īpašniekiem vai lietotājiem.

Arī akreditācijas datu drošību saprot: nodrošināta datora uzticamība; vērtīgu akreditācijas datu drošība; personiskās informācijas aizsardzība pret nepiederošo personu izmaiņām tajā; dokumentētu akreditācijas datu saglabāšana elektroniskajā saziņā.

Informācijas drošības objekti grāmatvedībā ir informācijas resursi, kas satur informāciju, kas klasificēta kā komercnoslēpums, un konfidenciālu informāciju; kā arī informatizācijas līdzekļus un sistēmas.

Informācijas resursu, informācijas sistēmu, tehnoloģiju un to atbalsta līdzekļu īpašnieks ir vienība, kurai pieder un tiek izmantoti šie objekti, un likumā noteiktajās robežās tiek realizētas iznīcināšanas pilnvaras.

Informācijas lietotājs ir subjekts, kurš sazinās ar informācijas sistēmu vai starpnieku, lai iegūtu viņam nepieciešamo informāciju, un to izmanto.

Informācijas resursi ir atsevišķi dokumenti un atsevišķi dokumentu, dokumentu un dokumentu bloku bloki informācijas sistēmās.

Informācijas drošības apdraudējums ir potenciāli iespējama darbība, kas, ietekmējot personiskās sistēmas komponentus, var nodarīt kaitējumu informācijas resursu īpašniekiem vai sistēmas lietotājiem.

Informācijas resursu tiesisko režīmu nosaka normas, kas nosaka:

informācijas dokumentēšanas kārtību;

atsevišķu dokumentu un atsevišķu masīvu īpašumtiesības

dokumenti, dokumenti un dokumentu bloki informācijas sistēmās; informācijas kategorija pēc piekļuves pakāpes tai; informācijas tiesiskās aizsardzības kārtība.

Galvenais princips, kas pārkāpts, īstenojot informācijas draudu grāmatvedībā, ir informācijas dokumentēšanas princips. Grāmatvedības dokuments, kas iegūts no automatizētas informācijas uzskaites sistēmas, iegūst juridisku spēku pēc tam, kad ierēdnis to ir parakstījis tādā veidā, kā to nosaka Krievijas Federācijas tiesību akti.

Visu iespējamo draudu kopumu grāmatvedībā pēc to rašanās rakstura var iedalīt divās klasēs: dabiskos (objektīvos) un mākslīgos.

Dabiskos draudus izraisa objektīvi iemesli, kas parasti nav grāmatveža kontrolē, kā rezultātā grāmatvedības nodaļa kopā ar tās sastāvdaļām tiek pilnībā vai daļēji iznīcināta. Pie šādām dabas parādībām pieder: zemestrīces, zibens spērieni, ugunsgrēki utt.

Mākslīgie draudi ir saistīti ar cilvēka darbību. Tos var iedalīt neapzinātos (neapzinātos), ko izraisa darbinieku spēja pieļaut kļūdas neuzmanības, noguruma, slimību utt. Piemēram, grāmatvedis, ievadot informāciju datorā, var nospiest nepareizo taustiņu, programmā izdarīt nejaušas kļūdas, ieviest vīrusu vai nejauši atklāt paroles.

Tīši (tīši) draudi ir saistīti ar cilvēku - ļaundaru - savtīgiem centieniem, apzināti veidojot neprecīzus dokumentus.

Runājot par to fokusu, drošības draudus var iedalīt šādās grupās:

draudi iekļūt un nolasīt datus no akreditācijas datu bāzēm un datorprogrammām to apstrādei;

draudi akreditācijas datu drošībai, kas noved pie to iznīcināšanas vai izmaiņām, tostarp maksājumu dokumentu (maksājuma pieprasījumu, rīkojumu utt.) viltošana;

datu pieejamības draudi, kas rodas, ja lietotājs nevar piekļūt akreditācijas datiem;

draudi atteikties veikt darbības, kad viens lietotājs nosūta ziņojumu otram un pēc tam neapstiprina pārsūtītos datus.

Informācijas procesi ir informācijas vākšanas, apstrādes, uzkrāšanas, uzglabāšanas, meklēšanas un izplatīšanas procesi.

Informācijas sistēma ir organizatoriski sakārtots dokumentu kopums (dokumentu un informācijas tehnoloģiju masīvi, ieskaitot datortehnoloģijas un komunikācijas izmantošanu, realizējot informācijas procesus).

Informācijas dokumentēšana tiek veikta saskaņā ar valsts iestāžu noteikto kārtību, kas atbild par biroja darba organizēšanu, dokumentu un to masīvu standartizēšanu un Krievijas Federācijas drošību.

Atkarībā no draudu avota tos var iedalīt iekšējos un ārējos.

Iekšējo draudu avots ir organizācijas personāla darbība. Ārējie draudi rodas no ārpuses no citu organizāciju darbiniekiem, no hakeriem un citiem.

Ārējos draudus var iedalīt:

vietējie, kas ietver iebrucēju, kurš ienāk organizācijas teritorijā un iegūst piekļuvi atsevišķam datoram vai vietējam tīklam;

attāli draudi ir raksturīgi sistēmām, kas savienotas ar globālajiem tīkliem (internets, SWIFT starptautiskā banku sistēma utt.).

Šādas briesmas visbiežāk rodas elektronisko norēķinu sistēmā norēķinu laikā starp piegādātājiem un klientiem, norēķinos izmantojot interneta tīklus. Šādu informācijas uzbrukumu avoti var atrasties tūkstošiem kilometru attālumā. Turklāt tas ietekmē ne tikai datorus, bet arī grāmatvedības informāciju.

Tīšas un netīšas kļūdas grāmatvedībā, kas izraisa grāmatvedības riska palielināšanos, ir šādas: kļūdas grāmatvedības datu reģistrēšanā; nepareizi kodi; neautorizēti grāmatvedības darījumi; kontroles robežu pārkāpšana; nokavētie konti; kļūdas datu apstrādē vai nosūtīšanā; kļūdas uzziņu grāmatu veidošanā vai labošanā; nepilnīgi konti; nepareiza ierakstu piešķiršana pa periodiem; datu viltošana; normatīvo aktu prasību pārkāpšana; personiskās politikas principu pārkāpšana; pakalpojumu kvalitātes neatbilstība lietotāju vajadzībām.

Īpašas briesmas rada informācija, kas veido komercnoslēpumu un attiecas uz personisko un ziņošanas informāciju (dati par partneriem, klientiem, bankām, analītiska informācija par tirgus darbību). Lai šī un līdzīgā informācija būtu aizsargāta, jāsastāda līgumi ar grāmatvedības, finanšu pakalpojumu un citu saimniecisko vienību darbiniekiem, norādot informācijas sarakstu, kas nav pakļauts publicitātei.

Informācijas aizsardzība automatizētajās grāmatvedības sistēmās balstās uz šādiem pamatprincipiem.

Nodrošināt fizisku nodalījumu klasificētas un neklasificētas informācijas apstrādei paredzētajās vietās.

Informācijas kriptogrāfiskas aizsardzības nodrošināšana. Abonentu un abonentu instalāciju autentifikācijas nodrošināšana. Nodrošinot subjektu un viņu procesu pieejas informācijai diferenciāciju. Nodrošināt dokumentālo ziņojumu autentiskuma un integritātes noteikšanu, tos pārsūtot pa sakaru kanāliem.

Nodrošināt sistēmas aprīkojuma un tehnisko līdzekļu, telpu, kur tie atrodas, aizsardzību no konfidenciālas informācijas noplūdes pa tehniskiem kanāliem.

Nodrošināt šifrēšanas tehnoloģijas, aprīkojuma, aparatūras un programmatūras aizsardzību pret informācijas noplūdi, izmantojot aparatūras un programmatūras cilnes.

Kontroles nodrošināšana par automatizētās sistēmas programmatūras un informācijas daļu integritāti.

Izmantot tikai iekšzemes

Krievijas Federācijas valsts informācijas resursi ir atvērti un publiski pieejami. Izņēmums ir dokumentēta informācija, kuru likumi klasificē kā ierobežotas piekļuves kategoriju. Dokumentēta informācija ar ierobežotu piekļuvi saskaņā ar tās tiesiskā režīma nosacījumiem ir sadalīta informācijā, kas klasificēta kā valsts noslēpums un konfidenciāla. Konfidenciālas informācijas, jo īpaši ar komercdarbību saistītas informācijas saraksts ir izveidots ar Krievijas Federācijas prezidenta 1997. gada 6. marta dekrētu Nr. 188 (pielikuma Nr.).

Organizatorisko un drošības pasākumu nodrošināšana. Ir ieteicams izmantot un papildu pasākumus, lai nodrošinātu saziņas drošību sistēmā.

Informācijas par informācijas apmaiņas intensitāti, ilgumu un plūsmu aizsardzības organizēšana.

Kanālu un metožu izmantošana informācijas pārsūtīšanai un apstrādei, kas apgrūtina pārtveršanu.

Informācijas aizsardzība pret nesankcionētu piekļuvi ir paredzēta trīs galvenajām aizsargājamās informācijas īpašībām:

konfidencialitāte (klasificētai informācijai jābūt pieejamai tikai personai, kurai tā paredzēta);

integritāte (informācijai, uz kuras pamata tiek pieņemti svarīgi lēmumi, jābūt uzticamai, precīzai un pilnībā aizsargātai no iespējamiem nejaušiem un ļaunprātīgiem sagrozījumiem);

gatavība (informācijai un ar to saistītiem informācijas pakalpojumiem jābūt pieejamiem, gataviem apkalpot ieinteresētās puses, kad vien rodas vajadzība).

Personiskās informācijas aizsardzības nodrošināšanas metodes ir: šķēršļi; piekļuves kontrole, maskēšanās, regulēšana, piespiešana, motivācija.

Par šķērsli jāuzskata metode, kā fiziski bloķēt uzbrucēja ceļu uz aizsargāto personisko informāciju. Šo metodi ievieš uzņēmuma piekļuves sistēma, ieskaitot drošības klātbūtni pie ieejas tajā, bloķējot nepiederošo personu ceļu uz grāmatvedības nodaļu, kasieri utt.

Piekļuves kontrole ir metode personiskās un ziņošanas informācijas aizsardzībai, ko ievieš:

autentifikācija - objekta vai subjekta autentiskuma noteikšana ar viņa uzrādīto identifikatoru (tiek veikta, salīdzinot ievadīto identifikatoru ar datora atmiņā saglabāto);

autorizācijas pārbaude - pieprasīto resursu un piešķirto resursu veikto darbību un atļauto procedūru atbilstības pārbaude; zvanu reģistrēšana aizsargātajiem resursiem;

informēšana un reaģēšana uz neatļautu darbību mēģinājumiem. (Kriptogrāfija ir aizsardzības metode, pārveidojot informāciju (šifrēšanu)).

BEST-4 kompleksā piekļuves informācijai diferenciācija tiek veikta atsevišķu apakšsistēmu līmenī un tiek nodrošināta, nosakot atsevišķas piekļuves paroles. Sākotnējās iestatīšanas laikā vai jebkurā laikā, strādājot ar programmu, sistēmas administrators var iestatīt vai mainīt vienu vai vairākas paroles. Parole tiek pieprasīta katru reizi, kad piesakāties apakšsistēmā.

Turklāt dažiem moduļiem ir sava piekļuves informācijai diferencēšanas sistēma. Tas nodrošina iespēju aizsargāt katru izvēlnes vienumu ar īpašām parolēm. Piekļuvi atsevišķām primāro dokumentu apakškopām var aizsargāt arī ar parolēm: piemēram, automatizētajā darbstacijā "Krājumu uzskaite" un "Preču un produktu uzskaite" ir iespēja katrai noliktavai iestatīt piekļuves paroles atsevišķi, automatizētajā darbstacijā "Skaidras naudas darījumu uzskaite" - piekļūt parolēm katrs kases aparāts, automatizētajā darbstacijā "Norēķinu ar banku uzskaite" - piekļuves paroles katram bankas kontam.

Īpaši jāatzīmē, ka, lai efektīvi norobežotu piekļuvi informācijai, vispirms ar parolēm jāaizsargā paši paroļu noteikšanas veidi piekļuvei noteiktiem blokiem.

1C Enterprise 7.7 versijā ir sava informācijas aizsardzība - piekļuves tiesības. Lai integrētu un koplietotu lietotāja piekļuvi informācijai, strādājot ar 1C sistēmu. Uzņēmums personālo datoru tīklā, sistēmas konfigurators ļauj katram lietotājam iestatīt tiesības strādāt ar apstrādāto informāciju. sistēmā. Tiesības var noteikt diezgan plašā diapazonā - sākot no iespējas apskatīt tikai noteikta veida dokumentus, līdz pilnam tiesību kopumam jebkura veida datu ievadīšanai, apskatei, labošanai un dzēšanai.

Piekļuves tiesību piešķiršana lietotājam tiek veikta divos posmos. Pirmajā posmā tiek izveidoti standarta tiesību komplekti darbam ar informāciju, kas parasti atšķiras pēc piedāvāto piekļuves iespēju plašuma. Otrajā posmā lietotājam tiek piešķirta viena no šīm tipiskajām tiesību kopām.

Viss darbs pie tiesību kopu izveidošanas tiek veikts loga "Konfigurācija" cilnē "Tiesības". Šis logs tiek izsaukts ekrānā, programmas galvenās izvēlnes izvēlnē "Konfigurācija" atlasot vienumu "Atvērt konfigurāciju"

2.2 Pasākumu kopums, lai nodrošinātu personas datu drošību tiešsaistes banku sistēmās

Pasākumu kopuma pamatojums PD drošības nodrošināšanai ISPD tiek veikts, ņemot vērā draudu bīstamības novērtēšanas un ISPD klases noteikšanas rezultātus, pamatojoties uz "Galvenie pasākumi personas datu informācijas sistēmās apstrādāto personas datu organizēšanai un tehniskajai drošībai".

Tajā pašā laikā jānosaka pasākumi:

pD noplūdes tehnisko kanālu identificēšana un slēgšana ISPD;

personas datu aizsardzība pret neatļautu piekļuvi un nelikumīgām darbībām;

aizsardzības līdzekļu uzstādīšana, konfigurēšana un pielietošana.

Pasākumi PD noplūdes tehnisko kanālu identificēšanai un aizvēršanai PDIS tiek formulēti, pamatojoties uz PD drošības draudu analīzi un novērtējumu.

Pasākumi PD aizsardzībai to apstrādes laikā ISPD no nesankcionētas piekļuves un nelikumīgām darbībām ietver:

piekļuves kontrole;

reģistrācija un grāmatvedība;

integritātes nodrošināšana;

kontrole par nedeklarētu iespēju neesamību;

pretvīrusu aizsardzība;

nodrošināt drošu ISPDn savienojumu;

drošības analīze;

ielaušanās atklāšana.

Piekļuves kontroles, reģistrācijas un uzskaites apakšsistēmu ieteicams ieviest, pamatojoties uz programmatūras rīkiem neatļautu darbību bloķēšanai, signalizēšanai un reģistrēšanai. Tās ir pašu operētājsistēmu īpaša programmatūras, programmatūras un aparatūras aizsardzība, personas datu elektroniskās datu bāzes un lietojumprogrammas, kas nav iekļautas nevienas operētājsistēmas kodolā. Viņi aizsargfunkcijas veic neatkarīgi vai kombinācijā ar citiem aizsardzības līdzekļiem, un to mērķis ir izslēgt vai kavēt ISPD bīstamu lietotāja vai pārkāpēja darbību izpildi. Tie ietver īpašas utilītas un programmatūras aizsardzības sistēmas, kas īsteno diagnostikas, reģistrācijas, iznīcināšanas, signalizācijas un imitācijas funkcijas.

Diagnostikas rīki pārbauda failu sistēmu un PD datubāzes, nepārtraukti vāc informāciju par informācijas drošības apakšsistēmas elementu darbību.

Iznīcināšanas rīki ir paredzēti, lai iznīcinātu atlikušos datus, un var nodrošināt ārkārtas datu iznīcināšanu NSD draudu gadījumā, kurus sistēma nevar bloķēt.

Signalizācijas līdzekļi ir paredzēti, lai brīdinātu operatorus, kad viņi piekļūst aizsargātiem PD, un brīdinātu administratoru, kad tiek atklāts fakts, ka tiek traucēta PD, un citi fakti par PDIS parastā darbības režīma pārkāpumiem.

Simulācijas rīki simulē darbu ar likumpārkāpējiem, kad tiek atklāts nesankcionēts uzbrukuma mēģinājums aizsargāt PD vai programmatūru. Atdarināšana ļauj palielināt laiku UAN vietas un rakstura noteikšanai, kas ir īpaši svarīgi ģeogrāfiski izplatītos tīklos, un maldināt pārkāpēju par aizsargātā PD atrašanās vietu.

Apakšsistēmu integritātes nodrošināšanai galvenokārt īsteno operētājsistēmas un datu bāzu pārvaldības sistēmas. Operētājsistēmās un datu bāzu pārvaldības sistēmās iebūvētie līdzekļi pārsūtīto datu ticamības un darījumu uzticamības palielināšanai un darījumu uzticamības pamatā ir kontrolsummu aprēķināšana, paziņošana par ziņojumu paketes pārsūtīšanas kļūmi un nesaņemtas paketes atkārtota pārsūtīšana.

Apakšsistēma nedeklarētu iespēju neesamības uzraudzībai vairumā gadījumu tiek ieviesta, pamatojoties uz datu bāzu pārvaldības sistēmām, informācijas aizsardzības rīkiem un pretvīrusu informācijas aizsardzības rīkiem.

Lai nodrošinātu personas datu un ISPD programmatūras un aparatūras vides drošību, kas apstrādā šo informāciju, ieteicams izmantot īpašus pretvīrusu aizsardzības rīkus, kas veic:

destruktīvas vīrusu ietekmes atklāšana un (vai) bloķēšana visas sistēmas un lietišķajā programmatūrā, kas īsteno PD apstrādi, kā arī uz PD;

nezināmu vīrusu atklāšana un noņemšana;

nodrošinot šī antivīrusu rīka paškontroli (infekcijas novēršanu), kad tas tiek palaists.

Izvēloties pretvīrusu aizsardzības rīkus, ieteicams ņemt vērā šādus faktorus:

šo rīku saderība ar standarta ISPD programmatūru;

iSPDn darbības produktivitātes samazināšanās pakāpe galvenajam mērķim;

centralizētas kontroles līdzekļu pieejamība pretvīrusu aizsardzības darbībai ISPD informācijas drošības administratora darbavietā;

spēja nekavējoties informēt ISPD informācijas drošības administratoru par visiem notikumiem un faktiem, kas saistīti ar programmatiskās un matemātiskās ietekmes (PMA) izpausmi;

detalizētas dokumentācijas pieejamība par pretvīrusu aizsardzības darbību;

spēja periodiski pārbaudīt vai pašpārbaudīt pretvīrusu aizsardzību;

iespēja palielināt aizsardzības pret PMA sastāvu ar jauniem papildu līdzekļiem bez būtiskiem ISPD efektivitātes ierobežojumiem un "konflikta" ar citiem aizsardzības līdzekļiem.

ISPDN informācijas drošības administratora rokasgrāmatā jāiekļauj pretvīrusu aizsardzības rīku instalēšanas, konfigurēšanas, konfigurēšanas un administrēšanas procedūras apraksts, kā arī darbības kārtība vīrusu uzbrukuma fakta atklāšanas vai citu prasību par aizsardzības pret programmatisko un matemātisko ietekmi pārkāpumu gadījumā.

Lai diferencētu piekļuvi ISPD resursiem savienojuma laikā, tiek izmantots ugunsmūris, kuru realizē programmatūras un programmatūras un aparatūras ugunsmūri (ME). Ugunsmūris ir uzstādīts starp aizsargāto tīklu, ko sauc par iekšējo tīklu, un ārējo tīklu. Ugunsmūris ir daļa no aizsargātā tīkla. Tam ar iestatījumu palīdzību tiek atsevišķi noteikti noteikumi, kas ierobežo piekļuvi no iekšējā tīkla uz ārējo un otrādi.

Lai nodrošinātu drošu starpsavienojumu 3. un 4. klases ISPD, ieteicams izmantot vismaz piektā līmeņa drošības ME.

Lai nodrošinātu drošu starpsavienojumu 2. klases ISPD, ieteicams izmantot vismaz ceturtā drošības līmeņa ME.

Lai nodrošinātu drošu savienojumu 1. klases ISPD, ieteicams izmantot vismaz trešā drošības līmeņa ME.

Drošības analīzes apakšsistēma tiek ieviesta, pamatojoties uz testēšanas (drošības analīzes) un informācijas drošības kontroles (audita) rīku izmantošanu.

Drošības analīzes rīki tiek izmantoti, lai kontrolētu darbstaciju un serveru operētājsistēmu aizsardzības iestatījumus un ļautu novērtēt iebrucēju iespējas veikt uzbrukumus tīkla iekārtām, kontrolēt programmatūras drošību. Lai to izdarītu, viņi pārbauda tīkla topoloģiju, meklē nedrošus vai neatļautus tīkla savienojumus un pārbauda ugunsmūra iestatījumus. Šāda analīze tiek veikta, pamatojoties uz detalizētiem drošības iestatījumu (piemēram, slēdžu, maršrutētāju, ugunsmūri) ievainojamību vai operētājsistēmu vai lietojumprogrammatūras ievainojamību aprakstiem. Drošības analīzes rīka darba rezultāts ir pārskats, kurā apkopota informācija par atklātajām ievainojamībām.

Neaizsargātības detektori var darboties tīkla slānī (šajā gadījumā tos sauc par "balstītiem uz tīklu"), operētājsistēmā ("balstīti uz resursdatoriem") un lietojumprogrammās ("balstīti uz lietojumprogrammām"). Izmantojot skenēšanas programmatūru, jūs varat ātri sastādīt visu pieejamo ISPD mezglu karti, identificēt katrā no tiem izmantotos pakalpojumus un protokolus, noteikt to pamata iestatījumus un izdarīt pieņēmumus par NSD ieviešanas varbūtību.

Pamatojoties uz sistēmas skenēšanas rezultātiem, tiek izstrādāti ieteikumi un pasākumi konstatēto trūkumu novēršanai.

Ielaušanās atklāšanas sistēmas tiek izmantotas, lai identificētu draudus nesankcionētai piekļuvei, izmantojot savienojumu. Šādas sistēmas tiek veidotas, ņemot vērā uzbrukumu īstenošanas īpatnības, to attīstības stadijas, un to pamatā ir vairākas uzbrukumu atklāšanas metodes.

Ir trīs uzbrukumu noteikšanas metožu grupas:

parakstu metodes;

anomāliju noteikšanas metodes;

kombinētās metodes (kopā izmantojot parakstu un anomāliju noteikšanas metodēs definētos algoritmus).

Lai atklātu ielaušanos 3. un 4. klases ISPDN, ieteicams izmantot tīkla uzbrukumu noteikšanas sistēmas, izmantojot parakstu analīzes metodes.

Lai atklātu ielaušanos 1. un 2. klases ISPD, ieteicams izmantot tīkla uzbrukumu noteikšanas sistēmas, kas kopā ar parakstu analīzes metodēm izmanto anomāliju noteikšanas metodes.

Lai aizsargātu personas datus no noplūdes pa tehniskiem kanāliem, tiek izmantoti organizatoriski un tehniski pasākumi, lai novērstu akustiskās (runas), sugas informācijas noplūdi, kā arī informācijas noplūdi sānu elektromagnētiskā starojuma un traucējumu dēļ.

Kā secinājumu par darba otro nodaļu mēs izdarām šādus secinājumus. Personiskās informācijas aizsardzība ir informācijas un tās atbalsta infrastruktūras aizsardzības stāvoklis pret nejaušu vai apzinātu dabiska vai mākslīga rakstura ietekmi, kas kaitē šīs informācijas īpašniekiem vai lietotājiem. Informācijas drošības objekti grāmatvedībā ir noteikti: informācijas resursi, kas satur informāciju, kas klasificēta kā komercnoslēpums, un līdzekļi un sistēmas informatizācija. Galvenās informācijas aizsardzības ietvaros izmantotās metodes ir: atklāšana un tieša aizsardzība.

SECINĀJUMS

Ekonomisko objektu informācijas drošības problēma ir daudzšķautņaina un prasa sīkāku izpēti.

Mūsdienu pasaulē informatizācija kļūst par stratēģisku nacionālo resursu, kas ir viena no galvenajām ekonomiski attīstītās valsts bagātībām. Strauja informatizācijas uzlabošanās Krievijā, iekļūšana visās indivīda, sabiedrības un valsts vitālo interešu jomās papildus neapšaubāmām priekšrocībām izraisīja virkni nozīmīgu problēmu parādīšanos. Viens no tiem bija nepieciešamība aizsargāt informāciju. Ņemot vērā, ka šobrīd ekonomisko potenciālu arvien vairāk nosaka informācijas infrastruktūras attīstības līmenis, proporcionāli pieaug ekonomikas potenciālā neaizsargātība attiecībā uz informācijas ietekmi.

Informācijas drošības draudu īstenošana ir informācijas konfidencialitātes, integritātes un pieejamības pārkāpšana. No sistemātiskas pieejas informācijas aizsardzībai ir jāizmanto viss pieejamo aizsardzības līdzekļu arsenāls visos ekonomiskā objekta strukturālajos elementos un visos informācijas apstrādes tehnoloģiskā cikla posmos. Aizsardzības metodēm un līdzekļiem ir droši jānobloķē iespējamie nelegālās piekļuves veidi aizsargātiem noslēpumiem. Informācijas drošības efektivitāte nozīmē, ka tās ieviešanas izmaksas nedrīkst pārsniegt iespējamos zaudējumus no informācijas draudu ieviešanas. Informācijas drošības plānošana tiek veikta, katram dienestam izstrādājot detalizētus informācijas drošības plānus. Skaidrība ir nepieciešama, izmantojot lietotāju pilnvaras un tiesības piekļūt noteiktam informācijas veidam, nodrošinot aizsardzības līdzekļu kontroli un tūlītēju reaģēšanu uz to kļūmēm.

BIBLIOGRĀFIJA

1.Automatizētās informācijas tehnoloģijas banku jomā / red. prof. G.A. Titorenko. - M.: Finstatinform, 2007. gads

2.Automatizētās informācijas tehnoloģijas ekonomikā / Red. prof. G.A. Titorenko. - M.: UNITI, 2010. gads

.Ageev A.S. Informācijas aizsardzības organizācija un mūsdienu metodes. - M.: Bažas "Banka. Biznesa centrs", 2009. gads

.Adžijevs V. Programmatūras drošības mīti: atziņas no slavenām katastrofām. - Open Systems, 199. Nr. 6

.Aleksejevs un V.I. Pašvaldību informācijas drošība. - Voroņeža: VSTU izdevniecība, 2008.

.Aleksejevs, V.M. Starptautiskie kritēriji informācijas tehnoloģiju drošības novērtēšanai un to praktiskai pielietošanai: Mācību grāmata. - Penza: izdevniecība Penz. Valsts universitāte, 2002. gads

.Aleksejevs, V.M. Normatīvais atbalsts informācijas aizsardzībai pret nesankcionētu piekļuvi. - Penza: Penz izdevniecība. Valsts universitāte, 2007. gads

.Aleksejevs, V.M. Informācijas drošības nodrošināšana programmatūras izstrādē. - Penza: Penz izdevniecība. Valsts universitāte, 2008. gads

.Aleshin, L.I. Informācijas drošība un informācijas drošība: L. I. Alešina lekcijas; Maskava Valsts kultūras un-t. - M.: Mosk. Valsts Kultūras universitāte, 2010

.Akhramenka, N.F. Noziegumi un sods norēķinu sistēmā ar elektroniskiem dokumentiem // Informācijas drošības vadība, 1998

.Bankas un banku operācijas. Mācību grāmata / Red. E.F. Žukovs. - M.: Bankas un biržas, UNITI, 2008

.Barsukovs, V.S. Drošība: tehnoloģijas, līdzekļi, pakalpojumi. - M.: Kudits - attēls, 2007. gads

.Baturins, Yu.M. Datoru tiesību problēmas. - M.: Jurid. lit., 1991. gads

.Baturins, Yu.M. Datornoziegumi un datoru drošība. M.: Jur.lit., 2009

.Bezrukovs, N.N. Ievads skaitļošanas viroloģijā. Vispārējo M5-005 vīrusu darbības principi, klasifikācija un katalogs. K., 2005. gads

.Bikovs, V.A. Elektroniskais bizness un drošība / V. A. Bikovs. - M.: Radio un sakari, 2000

.Varfolomejevs, A.A. Informācijas drošība. Kriptoloģijas matemātiskie pamati. 1. daļa - Maskava: MEPhI, 1995

.Vehovs, V.B. Datornoziegumi: izdarīšanas un izpaušanas metodes. - M.: Likums un likums, 1996

.Volobujevs, S.V. Ievads informācijas drošībā. - Obņinsk: Obn. Atomenerģijas institūts, 2001

.Volobujevs, S.V. Automatizēto sistēmu informācijas drošība. - Obņinsk: Obn. Atomenerģijas institūts, 2001

.Viskrievijas zinātniski praktiskā konference "Informācijas drošība augstākās izglītības sistēmā", 28.-29. 2000, NSTU, Novosibirsk, Krievija: IBVSh 2000. - Novosibirsk, 2001

23.Galatenko, V.A. Informācijas drošība: praktiska pieeja V. A. Galatenko; Red. VB Betelīns; Uzauga. akad. Zinātnes, Zinātniski-salās. Sistēmu institūts. salās. - M.: Nauka, 1998. gads

.Galatenko, V.A .. Informācijas drošības pamati: lekciju kurss. - M.: Internets - neziņojiet. tehnoloģijas, 2003. gads

.Genādjeva, E.G. Datorzinātnes un informācijas drošības teorētiskie pamati. - M.: Radio un sakari, 2000

.Geeks, Sebastians Narčis. Informācijas paslēpšana grafiskajos failos ar BMP formātu Dis. ... Cand. tech. Zinātnes: 05.13.19 - SPb., 2001

.Gika, S.N. Informācijas slēpšana BMP formāta grafiskajos failos: Avtoref. dis. ... Cand. tech. Zinātnes: 05.13.19 S.-Pēterburga. Valsts in-t toch. mehānika un optika. - SPb., 2001

.Golubevs, V.V. Drošības pārvaldība. - Sanktpēterburga: Pēteris, 2004. gads

.Gorbatovs, V.S. Informācijas drošība. Tiesiskās aizsardzības pamati. - M.: MEPhI (TU), 1995. gads

.Gorlova, I. I., ed. Informācijas brīvība un informācijas drošība: Starptautiskās informācijas materiāli. zinātniski. Conf., Krasnodara, 30.-31.oktobris. 2001. gads - Krasnodara, 2001. gads

.Grīnsbergs, A.S. un citas valsts pārvaldes informācijas resursu aizsardzība. - M.: UNITI, 2003. gads

.Krievijas informācijas drošība globālās informācijas sabiedrības "INFORUM-5" kontekstā: sestd. 5. Viskrievijas materiāli. Konf., Maskava, 4.-5. Februāris 2003. gads - M.: OOO Ed. zhurn. Krievijas Bizness un drošība, 2003

.Informācijas drošība: sestd. metodi. materiāli M-izglītībā Ros. Federācija [un citi]. - M.: TSNIIATOMINFORM, 2003. gads

34.Informācijas tehnoloģijas // Ekonomika un dzīve. 2001. gada 25. nr

35.Informācijas tehnoloģijas mārketingā: mācību grāmata universitātēm. - Maskava: 2003

.Informācijas tehnoloģijas ekonomikā un vadībā: mācību grāmata / Kozyrev A.A. - M.: Mihailova V.A. izdevniecība, 2005

.Lopatins, V.N. Krievijas informācijas drošība Dis. ... Dr. jurid. Zinātnes: 12.00.01

.Lukašins, V.I. Informācijas drošība. - M.: Mosk. Valsts Ekonomikas, statistikas un informātikas universitāte

.Lučins, I. N., Želdakovs A. A., Kuzņecovs N. A. Paroles aizsardzības uzlaušana // Tiesībaizsardzības sistēmu informatizācija. M., 1996. gads

.Makklārs, Stjuarts. Datorurķēšana tīmeklī. Uzbrukumi un aizsardzība Stjuarts Makklārs, Saumil Šahs, Šrirai Šahs. - M.: Viljamss, 2003. gads

.Maļuks, A.A. Informācijas drošības līmeņa prognozējošā novērtējuma formalizēšanas teorētiskie pamati datu apstrādes sistēmās. - M.: MEPhI, 1998 SPb., 2000

.Informācijas drošības sistēmu ekonomiskā efektivitāte. P. P. Čebotārs - Moldovas Ekonomikas akadēmija, 2003

.Jakovļevs, V.V. Informācijas drošība un informācijas aizsardzība korporatīvajos dzelzceļa transporta tīklos. - M., 2002. gads

.Yaročkins, V.I. Informācijas drošība. - M.: Mir, 2003. gads

.Yaročkins, V.I. Informācijas drošība. - M.: Fonds "Mir", 2003: akad. Projekts

.Jasenevs, V.N. Automatizētas informācijas sistēmas ekonomikā un to drošības nodrošināšana: mācību grāmata. - N. Novgoroda, 2002. gads

Līdzīgi darbi kā - personas datu aizsardzība tiešsaistes banku sistēmās

Līdzīgi dokumenti

    Personas datu aizsardzības juridiskais pamats. Informācijas drošības draudu klasifikācija. Personas datu bāze. Uzņēmuma LAN ierīce un draudi. Pamata programmatūras un aparatūras aizsardzība personālajiem datoriem. Pamata drošības politika.

    disertācija, pievienota 2011.06.10

    Priekšnoteikumi personas datu drošības sistēmas izveidei. Informācijas drošības draudi. Neautorizētas piekļuves ISPD avoti. Personas datu informācijas sistēmu ierīce. Informācijas drošības rīki. Drošības politika.

    kursa darbs pievienots 2016. gada 10. jūlijā

    Izplatītās informācijas sistēmas struktūras un tajā apstrādāto personas datu analīze. Pamata pasākumu un līdzekļu izvēle, lai nodrošinātu personas datu drošību no pašreizējiem draudiem. Projekta izveides un atbalsta izmaksu noteikšana.

    disertācija, pievienota 2011.01.01

    Piekļuves kontroles sistēma uzņēmumā. Apstrādātās informācijas analīze un ISPD klasifikācija. Personas datu drošības draudu modeļa izstrāde to apstrādes laikā A / S "MMZ" ACS personas datu informācijas sistēmā.

    disertācija, pievienota 2012. gada 11. aprīlī

    Galveno tehnisko risinājumu apraksts personālo datu informācijas sistēmas aprīkošanai, kas atrodas datoru telpā. Pretvīrusu aizsardzības apakšsistēma. Pasākumi, lai sagatavotos informācijas drošības rīku ieviešanai.

    kursa darbs pievienots 30.09.2013

    Dokumentētas informācijas konfidencialitāte un drošība. Organizācijas darbībā izmantoto personas datu veidi. Tiesību aktu izstrāde to aizsardzības nodrošināšanas jomā. Krievijas Federācijas informācijas drošības nodrošināšanas metodes.

    prezentācija pievienota 15.11.2016

    Informācijas drošības riska analīze. Esošo un plānoto tiesiskās aizsardzības līdzekļu novērtējums. Organizatorisku pasākumu kopums, lai nodrošinātu informācijas drošību un uzņēmuma informācijas aizsardzību. Projekta ieviešanas testa gadījums un tā apraksts.

    disertācija, pievienota 2012.12.19

    Juridiskie dokumenti informācijas drošības jomā Krievijā. Informācijas sistēmu draudu analīze. Klīnikas personas datu aizsardzības organizācijas organizācijas raksturojums. Autentifikācijas sistēmas ieviešana, izmantojot elektroniskās atslēgas.

    disertācija, pievienota 31.10.2016

    Vispārīga informācija par uzņēmuma darbību. Informācijas drošības objekti uzņēmumā. Informācijas drošības pasākumi un līdzekļi. Datu kopēšana uz noņemamu datu nesēju. Iekšējā rezerves servera instalēšana. Informācijas drošības sistēmas uzlabošanas efektivitāte.

    tests, pievienots 29.08.2013

    Galvenie informācijas apdraudējumi. Koncepcijas, metodes un veidi, kā nodrošināt datu aizsardzību. Prasības aizsardzības sistēmai. Autorizācijas mehānisms infobāzē, lai noteiktu lietotāja tipu. Administratora darbs ar drošības sistēmu.

Līdzīgas publikācijas: