Mbrojtja e të dhënave personale në institucionet e kreditit dhe ato financiare. Mbrojtja e të dhënave personale në banka

Siguria e të dhënave personale në bankë

Çfarë janë të dhënat personale?

Sipas përkufizimit nga ligji federal, të dhënat personale janë çdo informacion që lidhet me një specifik ose përcaktohet në bazë të një informacioni të tillë një individ (subjekt i të dhënave personale), duke përfshirë mbiemrin, emrin, patronimin, vitin, muajin, datën dhe vendin e lindjes, adresën, familja, shoqëria, statusi i pronës, arsimi, profesioni, të ardhurat, informacione të tjera.

Ku ndodhen të dhënat personale?

Të dhënat personale (PD) në bankë ndodhen në sistemet e mëposhtme:

Sistemi bankar i automatizuar (ABS);

Sistemet e Bankës Klient;

Sisteme të menjëhershme të transferimit të parave;

Sistemet e kontabilitetit të kontabilitetit;

Sistemet e kontabilitetit të burimeve njerëzore;

Sistemi i informacionit të korporatave;

Ueb portal i brendshëm.

PD mund të jetë e pranishme në dokumente letre (kontrata, formularë, porosi, udhëzime, pyetësorë, marrëveshje, etj.).

Cilat dokumente përcaktojnë kërkesat për mbrojtjen e të dhënave personale?

Ligjet federale

Ligji Federal Nr. 149-FZ i 27 korrikut 2006 "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit";

Vendimet e Qeverisë

Dekreti i qeverisë Federata Ruse Nr. 781, datë 17 nëntor 2007 "Për miratimin e rregullores për sigurimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale";

Dekreti i Qeverisë së Federatës Ruse Nr. 957 i 29 Dhjetorit 2007 "Për miratimin e rregullave për licencimin e disa llojeve të aktiviteteve në lidhje me mjetet e kriptimit (kriptografike)";

Rezoluta e Qeverisë së Federatës Ruse Nr. 687, datë 15 Shtator 2008 "Për miratimin e rregullores mbi specifikat e përpunimit të të dhënave personale të kryera pa përdorimin e mjeteve të automatizimit".

FSTEC e Rusisë

Urdhri i Përbashkët i FSTEC i Rusisë, FSB i Rusisë dhe Ministrisë së Teknologjive të Informacionit dhe Komunikimeve të Rusisë Nr. 55/86/20, datë 13 Shkurt 2008 "Për miratimin e procedurës për klasifikimin e sistemeve të informacionit të të dhënave personale";

Dokumenti udhëzues i FSTEC i Rusisë "Modeli bazë i kërcënimeve ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale";

Dokumenti udhëzues i FSTEC i Rusisë "Metodologjia për përcaktimin e kërcënimeve aktuale ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale";

Urdhri i FSTEC i Rusisë i datës 5 shkurt 2010 Nr 58 "Për miratimin e rregullores për metodat dhe metodat e mbrojtjes së informacionit në informacionin e të dhënave personale".

FSB e Rusisë

Urdhri i FAPSI i datës 13 qershor 2001 Nr. 152 "Për miratimin e udhëzimeve për organizimin dhe sigurinë e ruajtjes, përpunimit dhe transmetimit përmes kanaleve të komunikimit duke përdorur mbrojtjen kriptografike të informacionit me qasje të kufizuar që nuk përmban informacion që përbën një sekret shtetëror";

Urdhri i Shërbimit Federal të Sigurisë të Federatës Ruse të 9 Shkurt 2005 Nr. 66 "Për miratimin e rregullores për zhvillimin, prodhimin, shitjen dhe funksionimin e mjeteve të kriptimit (kriptografike) të mbrojtjes së informacionit (rregullorja PKZ-2005)";

Dokumenti udhëzues i FSB-së së Rusisë i datës 21 shkurt 2008 Nr. 149 / 54-144 " Udhëzimet për të siguruar sigurinë e të dhënave personale me ndihmën e mjeteve kriptografike gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale duke përdorur mjete automatizimi ";

Dokumenti udhëzues i FSB-së së Rusisë i datës 21 shkurt 2008 Nr. 149/6 / 6-622 "Kërkesat tipike për organizimin dhe funksionimin e kriptimit (kriptografike) do të thotë të mbrojë informacionin që nuk përmban informacion që përbën një sekret shtetëror, nëse përdoret për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale ”;

Standardi i Bankës së Rusisë

STO BR IBBS-1.0-2010 "Sigurimi siguria e informacionit organizatat e sistemit bankar të Federatës Ruse. Dispozitat e përgjithshme ";

STO BR IBBS-1.1-2007 “Garantimi i sigurisë së informacionit të organizatave në sistemin bankar të Federatës Ruse. Auditimi i Sigurisë së Informacionit ";

STO BR IBBS-1.2-2010 “Garantimi i sigurisë së informacionit të organizatave në sistemin bankar të Federatës Ruse. Metodologjia për vlerësimin e pajtueshmërisë së sigurisë së informacionit të organizatave në sistemin bankar të Federatës Ruse me kërkesat e STO BR IBBS-1.0-20xx ";

RS BR IBBS-2.0-2007 “Garantimi i sigurisë së informacionit të organizatave në sistemin bankar të Federatës Ruse. Rekomandimet metodologjike për dokumentacionin në fushën e sigurisë së informacionit në përputhje me kërkesat e STO BR IBBS-1.0 ";

RS BR IBBS-2.1-2007 “Garantimi i sigurisë së informacionit të organizatave në sistemin bankar të Federatës Ruse. Udhëzime për vetëvlerësimin e pajtueshmërisë së sigurisë së informacionit të organizatave të sistemit bankar të Federatës Ruse me kërkesat e STO BR IBBS-1.0 ";

RS BR IBBS-2.3-2010 “Siguria e informacionit e organizatave të sistemit bankar të Federatës Ruse. Kërkesat për sigurimin e sigurisë së të dhënave personale në sistemet e informacionit të të dhënave personale të organizatave të sistemit bankar të Federatës Ruse ";

RS BR IBBS-2.4-2010 “Siguria e informacionit e organizatave të sistemit bankar të Federatës Ruse. Modeli privat sektorial i kërcënimeve ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të PD të organizatave të bankave të sistemit bankar të Federatës Ruse ";

Rekomandime metodologjike për plotësimin e kërkesave ligjore gjatë përpunimit të të dhënave personale në organizatat RF BS, të zhvilluara së bashku nga Banka e Rusisë, ARB dhe Shoqata e Bankave Rajonale të Rusisë (Shoqata "Rusia").

Si duhet të mbrohen të dhënat personale?

Sipas kërkesave të dokumenteve metodologjike për mbrojtjen e PD, nënsistemet e mëposhtme janë të zakonshme për të gjitha llojet e PDIS:

Nënsistemi i kontrollit të hyrjes;

Regjistrimi dhe nënsistemi i kontabilitetit;

Nënsistemi i Integritetit;

Nënsistemi i murit mbrojtës.

Nëse ISPDN është i lidhur me internet, atëherë duhet të përdorni gjithashtu nënsistemet e mëposhtme:

Nënsistemi i sigurisë anti-virus;

Nënsistemi i zbulimit të ndërhyrjeve;

Nënsistemi i analizës së sigurisë.

Alsoshtë gjithashtu e nevojshme të përdoren brava elektronike dhe / ose çelësa elektronikë për identifikim dhe vërtetim të besueshëm të përdoruesve.

Nëse ISPD shpërndahet shtesë për të parandaluar hyrjen e paautorizuar, duke ndarë informacionin e mbrojtur nga ai publik, është e nevojshme të përdorni kriptografi kur transmetoni PD përmes kanaleve të komunikimit të pambrojtur, si dhe EDS për të konfirmuar vërtetësinë e të dhënave.

Një ndarje e tillë në nënsisteme dhe formimi në bazë të tyre i një liste të produkteve për mbrojtjen e të dhënave personale pranohet përgjithësisht dhe përdoret në shumicën e rasteve.

Cila është nevoja për të mbrojtur të dhënat personale?

Nëse detyra është të sigurojë vetëm konfidencialitetin e PD, është e nevojshme të merren masa dhe / ose të përdoren mjete teknike që synojnë parandalimin e hyrjes së paautorizuar, atëherë një PDIS i tillë bëhet standard.

Nëse vendosen kërkesa shtesë për të siguruar veti të tjera të sigurisë së informacionit, të tilla si sigurimi i integritetit, disponueshmërisë, si dhe derivatet e tyre (mos-mohim, përgjegjësi, mjaftueshmëri, besueshmëri, etj.), Atëherë një ISPD i tillë bëhet i veçantë. Në shumicën e rasteve, çdo ISPD do të jetë i veçantë, domethënë, përveç klasave PD, për të përcaktuar mekanizmat e mbrojtjes, duhet të udhëhiqet nga modeli i kërcënimit i krijuar për këtë.

Si të zvogëlohet klasa PD?

Në mënyrë që të zvogëlohen dhe thjeshtohen masat për mbrojtjen e të dhënave personale, bankat bëjnë hile të ndryshme. Më poshtë po jap mënyrat më tipike për të ulur koston e pajisjeve mbrojtëse. Sidoqoftë, në vetvete, një "riformim" i tillë i sistemeve të informacionit të Bankës është një detyrë mjaft e vështirë dhe që kërkon kohë.

Reduktimi i numrit të faqeve

Siç tregohet më lart, nëse ISPD shpërndahet, atëherë kërkesat e rritura vendosen në mbrojtjen e tij; për t'i zvogëluar ato, duhet të përpiqeni të largoheni nga ISPD të shpërndara.

Me një ISPD të shpërndarë, PD janë të vendosura në vende të ndryshme, PD transmetohen përmes kanaleve të komunikimit të pakontrolluara nga Banka, dhe në përgjithësi kjo do të thotë që PD po largohen ose largohen nga zona e kontrolluar. Pastaj, para së gjithash, është e nevojshme të lokalizoni PD duke zvogëluar numrin e vendeve në të cilat do të vendosen. Në disa raste, kjo është reale, por nëse marrim parasysh ABS, atëherë ka shumë të ngjarë që kjo të mos jetë e mundur.

Reduktimi i numrit të serverave

Nëse ISPDN është lokal, domethënë, ai funksionon brenda rrjetit lokal të Bankës, atëherë mënyra më e thjeshtë për të ulur koston e kostove të mbrojtjes do të jetë zvogëlimi i numrit të pajisjeve të serverit në të cilat PD janë të pranishme dhe / ose të përpunuara.

Reduktimi i numrit të stacioneve të punës dhe personelit

Për çdo lloj ISPD (në formën e AWP, lokale, të shpërndarë), përpunimi përfundimtar i PD trajtohet zakonisht nga personeli i Bankës. Nëse nuk përdorni akses terminali, i cili do të diskutohet më poshtë, ka kuptim të zvogëloni numrin e personelit të Bankës të përfshirë në përpunimin e PD ose që kanë qasje në to.

Ndarja e IP me ITU

Në mënyrë që të zvogëlohet sasia e të dhënave personale, dhe për këtë arsye të zvogëlohet kostoja e pajisjeve mbrojtëse, ne nje rruge te mire është ndarja e rrjeteve të informacionit në segmente në të cilat kryhet përpunimi i PD. Për ta bërë këtë, është e nevojshme të instaloni dhe përdorni firewalls, në portet e të cilave duhet të lidhen segmente me PD. Shpesh gjithçka pajisjet e serverit të vendosura në zonën e çmilitarizuar, domethënë në segmente të ndara nga rrjetet publike dhe bankare nga muret e zjarrit. Kjo metodë gjithashtu kërkon një "rishikim" të rëndësishëm të rrjeteve të informacionit. Ekziston një metodë e bazuar në të ashtuquajturën "kriptim linear", domethënë, kriptimi i kanalit klient-klient, klient-server, server-server. Një enkriptim i tillë i trafikut të rrjetit mund të zbatohet si me përdorimin e mjeteve speciale të mbrojtjes ashtu edhe me përdorimin e teknologjisë standarde IPSec, por nuk është i certifikuar nga FSB-ja e Rusisë, e cila është disavantazhi i tij i rëndësishëm.

Një mënyrë tjetër e ndarjes së ISPD në të gjithë rrjetin mund të jetë teknologjia e rrjeteve virtuale - VLAN, megjithatë, në fakt, VLAN është vetëm një identifikues në një nga fushat e një pakete rrjeti, i cili na lejon të flasim për këtë teknologji si "IT". Prandaj, ndarja e rrjeteve që përdorin VLAN nuk përjashton përdorimin e teknologjive të sigurisë së informacionit.

Ndarja e bazave të të dhënave në pjesë

Supozoni se keni një bazë të të dhënave me mijëra të dhëna: emrin e plotë. dhe shumën e depozitës.

Le të krijojmë dy baza të tjera të të dhënave. Le të prezantojmë një identifikues shtesë unik. Ne do ta ndajmë tabelën në dy pjesë, në të parën do të vendosim fushat e emrit dhe mbiemrit dhe identifikuesit, në identifikuesin tjetër dhe shumën e depozitës.

Kështu, nëse secili punonjës mund të përpunojë vetëm njërën nga këto baza të reja të të dhënave, atëherë mbrojtja e të dhënave personale thjeshtohet shumë, nëse nuk reduktohet në asgjë. Padyshim, vlera e një baze të dhënash të tillë është dukshëm më e ulët se ajo origjinale. Të dy bazat e të dhënave do të vendosen në serverin më të sigurt. Në të vërtetë, ka shumë më shumë fusha në bazën e të dhënave, por ky parim mund të funksionojë pothuajse në çdo rast, që nga ajo kohë numri i fushave të rëndësishme nga pikëpamja e sigurisë së të dhënave personale nuk është aq i madh, por përkundrazi shumë i kufizuar. Në rastin ekstrem, mund të ruani ndeshjet kryesore në një PC që nuk është pjesë e rrjetit lokal, ose madje të mos përdorni përpunim të automatizuar.

Anonimizimi i të dhënave personale

Sipas përkufizimit nga 152-FZ, depersonalizimi i të dhënave personale janë veprime, si rezultat i të cilave është e pamundur të përcaktohet përkatësia e të dhënave personale në një subjekt specifik të të dhënave personale. Nga ky përkufizim vijon një seri mënyrash me të cilat është e mundur të merret PD, me të cilën është e pamundur të përcaktohet përkatësia e PD. Për shembull, nëse të dhënat e sakta të fushave të caktuara nuk janë të rëndësishme për qëllime përpunimi, ju ose nuk mund t'i shfaqni ato, ose të shfaqni vetëm diapazonet në të cilat bien. Për shembull, mosha 20-30, 30-40, etj. Adresa mund të "rrumbullakoset" në një rreth, rreth ose qytet: Tsaritsyno, Yuzhny, Moskë. Në varësi të nevojës, procesi i depersonalizimit të të dhënave personale mund të jetë i kthyeshëm ose i pakthyeshëm. Metodat e mësipërme të "rrumbullakimit" janë të pakthyeshme, dhe kriptimi, për shembull, është i kthyeshëm. Nga këndvështrimi im, kriptimi (kodimi) mund të jetë një mënyrë për të anonimizuar të dhënat dhe duhet të përdoret për këto qëllime.

Klientë të hollë dhe hyrja në terminal

Përdorimi i teknologjive "klient i hollë" dhe teknologjia përkatëse e hyrjes në terminal në servera mund të ulin ndjeshëm kërkesat për mbrojtjen e të dhënave personale. Fakti është se kur përdorni klientë "të hollë" dhe akses terminal, nuk ka nevojë të instaloni softuer të specializuar në PC të punonjësve të Bankës, të tilla si pjesë klientësh të bazave të të dhënave, pjesë të klientëve të ABS, etj. Për më tepër, nuk ka nevojë për mjete të veçanta mbrojtëse që të instalohen në PC të punonjësve të Bankës. Këto teknologji ju lejojnë të shfaqni informacione nga bazat e të dhënave të ruajtura në servera në vendin tuaj të punës dhe të menaxhoni përpunimin e PD. Këto teknologji janë apriori të sigurta, sepse Politikat e terminalit mund të kufizojnë lehtësisht aftësinë e klientëve fundorë (personelit të Bankës) për të kopjuar, dhe kështu të shpërndajnë të dhëna personale. Kanali i komunikimit midis serverave dhe një PC me një "klient të hollë" është i koduar lehtë, dmth në mënyra të thjeshta ju mund të siguroni konfidencialitetin e të dhënave të transmetuara.

Shpejtësia e rrjedhjeve të mundshme të të dhënave do të kufizohet vetëm nga kanali vizual, i cili përcaktohet nga shpejtësia e kamerës ose videokamera, megjithatë, me futjen e masave të veçanta organizative, kopjimi i tillë bëhet shumë i vështirë.

Si mund të mbrohen të dhënat personale?

Në një kuptim të gjerë, sigurimi i mbrojtjes nga hyrja e paautorizuar kuptohet si një kompleks i masave organizative dhe teknike. Këto aktivitete bazohen në kuptimin e mekanizmave për parandalimin e hyrjes së paautorizuar në nivele të ndryshme:

Identifikimi dhe vërtetimi (gjithashtu me dy faktorë ose i fortë). Kjo mund të jetë (sistemi operativ, programi i infrastrukturës, programi i aplikimit, hardueri, siç janë çelësat elektronikë);

Regjistrimi dhe kontabiliteti. Kjo mund të jetë regjistrimi (regjistrimi, regjistrimi) i ngjarjeve në të gjitha sistemet, programet dhe mjetet e mësipërme);

Sigurimi i integritetit. Kjo mund të jetë llogaritja e tabelave të kontrollit të skedarëve të kontrolluar, duke siguruar integritetin e përbërësve të softuerit, duke përdorur një mjedis të mbyllur të softuerit, si dhe duke siguruar boot të besueshëm të sistemit operativ);

Firewall, si portë hyrëse dhe lokale;

Siguria antivirus (zbatohen deri në tre nivele të mbrojtjes, e ashtuquajtura qasje me shtresa ose me shumë shitës);

Kriptografia (e zbatuar në mënyrë funksionale në nivele të ndryshme të modelit OSI (rrjeti, transporti dhe më e larta), dhe siguron funksionalitete të ndryshme mbrojtëse).

Ka disa produkte komplekse me funksionalitet të përparuar NSD. Ata të gjithë ndryshojnë në llojet e aplikacioneve, mbështetjen e pajisjeve, mbështetjen e programeve dhe topologjinë e zbatimit.

Kur ISPDN shpërndahet ose lidhet me një rrjet publik (Internet, Rostelecom, etj.), Përdoren produkte të analizës së sigurisë (MaxPatrol nga Technologies Positive, e cila nuk ka konkurrentë të drejtpërdrejtë në Federatën Ruse), si dhe zbulimi dhe parandalimi i ndërhyrjeve (IDS / IPS) - si në në nivelin e portës dhe në nivelin e pikës përfundimtare.

Si mund të transferohen të dhënat personale?

Nëse ISPD shpërndahet, kjo do të thotë nevojë për të transmetuar PD përmes kanaleve të komunikimit të pambrojtur. Nga rruga, kanali "ajri" gjithashtu i përket kanalit të pambrojtur. Për të mbrojtur të dhënat personale në kanalet e komunikimit, mund të përdoren metoda të ndryshme:

Kriptimi i kanalit të komunikimit. Mund të sigurohet në çdo mënyrë, të tilla si VPN midis portave, VPN midis serverave, VPN midis stacioneve të punës (InfoTecs ViPNet Custom, Informzaschita APKSh Kontinenti, etj.);

Ndërrimi i paketave MPLS. Paketat transmetohen përgjatë shtigjeve të ndryshme në përputhje me etiketat që janë caktuar nga pajisjet e rrjetit. Për shembull, rrjeti MPLS i Rostelecom ka një certifikatë të pajtueshmërisë së rrjetit të kalimit të paketave me kërkesat e sigurisë së informacionit të FSTEC të Rusisë, e cila është një garanci e sigurisë së lartë të shërbimeve të ofruara në bazë të tij;

Kriptimi i dokumenteve. Softuerë të ndryshëm mund të përdoren për të kriptuar skedarët e të dhënave, si dhe skedarët e kontejnerëve (ViPNet SafeDisk, InfoWatch CryptoStorage, Crypt True, etj.);

Arkivimi i arkivit. Mund të përdoren arkivues të ndryshëm që ju lejojnë të arkivoni dhe kriptoni skedarët duke përdorur algoritme të forta kriptografike si AES. (WinRAR, WinZIP, 7-ZIP, etj.).

A duhet të përdor pajisje të mbrojtura të çertifikuara?

Sot, ekziston kërkesa e vetme e FSTEC e Rusisë për sa i përket certifikimit të mjeteve të mbrojtjes së të dhënave personale. Kërkesa ka të bëjë me sigurimin e nivelit të 4-të të mundësive të padeklaruara, prandaj, në pyetjen e fundit, unë do të jap vetëm tre teza:

Sistemi i certifikimit të pajisjeve mbrojtëse është vullnetar;

Mjafton të respektoni kërkesat ligjore;

Nuk është e nevojshme të certifikohet sistemi i informacionit për të dhënat personale në tërësi.

Shauro Evgeniy

U bë veçanërisht në kërkesë për ndarjet ruse të kompanive të huaja në lidhje me shtimin e pjesës 5 të nenit 18 në 152-FZ "Për të dhënat personale": te dhena Personale shtetas të Federatës Ruse duke përdorur bazat e të dhënave të vendosura në territorin e Federatës Ruse " . Ekzistojnë një numër përjashtimesh në ligj, por ju duhet të bini dakord që në rast të verifikimit nga rregullatori, dikush do të dëshironte të kishte karta atu më të besueshme sesa "por kjo nuk na intereson neve".

Dënimet për shkelësit janë shumë të rënda. Dyqane Online, rrjete sociale, faqet e informacionit, bizneset e tjera në lidhje me interneti në rast të pretendimeve nga autoritetet mbikëqyrëse, ato mund të mbyllen. Ndoshta, gjatë kontrollit të parë, rregullatori do të japë kohë për të eliminuar mangësitë, por koha zakonisht është e kufizuar. Nëse problemi nuk zgjidhet shumë shpejt (gjë që është e vështirë të bëhet pa përgatitje paraprake), humbjet nuk mund të kompensohen në asnjë mënyrë. Bllokimi i faqeve jo vetëm që çon në një pauzë në shitje, kjo do të thotë një humbje e pjesës së tregut.

Shfaqja në "listën e zezë" të shkelësve të ligjit të të dhënave personale për kompanitë jashtë linje është më pak dramatike. Por kjo përfshin rreziqe reputacioni, i cili është një faktor i rëndësishëm për kompanitë e huaja. Përveç kësaj, tani pothuajse nuk kanë mbetur asnjë aktivitet që nuk ka të bëjë aspak me mbrojtjen e të dhënave personale. Bankat, tregtia, madje edhe prodhimi - të gjitha mbajnë bazat e klientëve, që do të thotë se ato u nënshtrohen ligjeve përkatëse.

Importantshtë e rëndësishme të kuptohet këtu që çështja nuk mund të shihet e izoluar brenda kompanive. Mbrojtja e të dhënave personale nuk mund të kufizohet duke instaluar pajisje sigurie të certifikuara në servera dhe duke kyçur karta letre në kasaforta. Të dhënat personale kanë shumë pika hyrëse në një kompani - departamentet e shitjeve, departamentet e burimeve njerëzore, departamentet e shërbimit ndaj klientit, nganjëherë edhe qendrat e trajnimit, komisionet e blerjes dhe departamente të tjera. Menaxhimi i mbrojtjes së të dhënave personale është një proces kompleks që ndikon IT, rrjedha e dokumenteve, rregulloret, regjistrimi ligjor.

Le të hedhim një vështrim se çfarë duhet për të filluar dhe mbajtur një proces të tillë.

Cilat të dhëna konsiderohen personale

Duke folur në mënyrë rigoroze, çdo informacion që lidhet drejtpërdrejt ose indirekt me një individ të veçantë është e dhëna e tij personale. Vini re, kjo ka të bëjë me njerëzit, jo me ato personat juridik... Rezulton se mjafton të tregoni emrin e plotë dhe adresën e vendbanimit në mënyrë që të filloni mbrojtjen e këtyre të dhënave (dhe gjithashtu të lidhura). Megjithatë, duke marrë email me të dhënat personale të dikujt tjetër në formën e nënshkrimit dhe numri i telefonit ende nuk është një arsye për t'i mbrojtur ata. Termi kryesor: "Koncepti i mbledhjes së të dhënave personale". Për të sqaruar kontekstin, unë do të doja të veçoja disa nene të Ligjit "Për të dhënat personale".

Neni 5. Parimet e përpunimit të të dhënave personale. Ju duhet të keni qëllime të qarta që e bëjnë të qartë pse po mblidhet kjo informacion. Përndryshe, edhe me pajtueshmëri të plotë me të gjitha rregullat dhe rregulloret e tjera, sanksionet janë të mundshme.

Neni 10. Kategori të veçanta të të dhënave personale. Për shembull, HR mund të regjistrojë kufizime të udhëtimit, përfshirë shtatzëninë për punonjësit femra. Sigurisht, një informacion i tillë shtesë është gjithashtu subjekt i mbrojtjes. Kjo zgjeron shumë kuptimin e të dhënave personale, si dhe listën e departamenteve dhe depove të informacionit të kompanisë, në të cilën duhet t'i kushtoni vëmendje mbrojtjes.

Neni 12. Transferimi ndërkufitar i të dhënave personale. Nëse një sistem informacioni me të dhëna për shtetasit e Federatës Ruse ndodhet në territorin e një vendi që nuk ka ratifikuar Konventën për Mbrojtjen e të Dhënave Personale (për shembull, në Izrael), duhet t'i përmbaheni dispozitave të legjislacionit Rus.

Neni 22. Njoftimi për përpunimin e të dhënave personale. Një parakusht për të mos tërhequr vëmendje të panevojshme nga rregullatori. Plumbi veprimtaria sipërmarrësenë lidhje me PD - raportojeni vetë, pa pritur kontrolle.

Ku mund të gjenden të dhënat personale

Teknikisht, PD mund të vendoset kudo, nga media e shtypur (dollapët e mbushjes së letrës) te medias së makinës (disqe të forta, flash drive, CD, etj.). Kjo është, fokusi i vëmendjes është çdo ruajtje e të dhënave që bie nën përkufizimin e ISPDN (sistemet e informacionit të të dhënave personale).

Gjeografia e vendndodhjes është një pyetje e veçantë. Nga njëra anë, të dhënat personale të rusëve (individë që janë shtetas të Federatës Ruse) duhet të ruhen në territorin e Federatës Ruse. Nga ana tjetër, në momentin aktual është më shumë një vektor për zhvillimin e situatës sesa një arritje e kryer. Shumë kompani ndërkombëtare dhe të eksportit, kompani të ndryshme, ndërmarrje të përbashkëta kanë shpërndarë historikisht infrastrukturën - dhe kjo nuk do të ndryshojë brenda ditës. Ndryshe nga metodat e ruajtjes dhe mbrojtjes së të dhënave personale, të cilat duhet të rregullohen pothuajse tani, menjëherë.

Lista minimale e departamenteve të përfshira në regjistrimin, organizimin, akumulimin, ruajtjen, azhurnimin (azhurnimin, ndryshimin), nxjerrjen e PD:

• Shërbimi i personelit.
• Departamenti i shitjeve.
• Departamenti Ligjor.

Meqenëse rrallë ka një rend të përsosur, në të vërtetë, njësitë më të paparashikueshme shpesh mund të shtohen në këtë listë "të pritur". Për shembull, një depo mund të ketë informacion të personalizuar në lidhje me furnizuesit, ose shërbimi i sigurisë mund të mbajë regjistrat e tij të detajuar të të gjithë atyre që hyjnë në territor. Kështu, nga rruga, përbërja e PD për punonjësit mund të plotësohet me të dhëna për klientët, partnerët, kontraktorët, si dhe të rastit dhe madje edhe të panjohur - PD e të cilëve bëhet një "krim" kur fotografon për një leje, skanon një kartë identiteti dhe në disa raste të tjera. ACS (sistemet e kontrollit dhe menaxhimit të aksesit) lehtë mund të bëhen burim problemesh në kontekstin e mbrojtjes së të dhënave personale. Prandaj, përgjigja në pyetjen "Ku?" nga këndvështrimi i pajtueshmërisë me Ligjin, tingëllon kështu: kudo në territorin përgjegjës. Më saktësisht, ju mund të përgjigjeni vetëm duke kryer një audit të duhur. Kjo është faza e parë projekti mbi mbrojtjen e të dhënave personale. Një listë e plotë e fazave kryesore të saj:

1) Auditimi i situatës aktuale në kompani.

2) Hartimi i një zgjidhje teknike.

3) Përgatitja e procesit për mbrojtjen e të dhënave personale.

4) Kontrollimi i zgjidhjes teknike dhe procesit për mbrojtjen e të dhënave personale në përputhje me legjislacionin e Federatës Ruse dhe rregulloret e kompanisë.

5) Zbatimi i një zgjidhje teknike.

6) Fillimi i procesit për mbrojtjen e të dhënave personale.

1. Auditimi i situatës aktuale në kompani

Para së gjithash, kontrolloni me departamentin e Burimeve Njerëzore dhe në departamente të tjera duke përdorur media letre me të dhëna personale:

• A ka forma të pëlqimit për përpunimin e të dhënave personale? A janë kompletuar dhe firmosur?
• A respektohet "Rregullorja për veçoritë e përpunimit të të dhënave personale pa përdorur mjete automatizimi" e datës 15 shtator 2008 Nr. 687?

Përcaktoni vendndodhjen gjeografike të ISPD:

• Në cilat vende ndodhen ato?
• Në çfarë baze?
• A ka kontrata për përdorimin e tyre?
• Çfarë mbrojtje teknologjike përdoret për të parandaluar rrjedhjet e PD?
• Çfarë masash organizative merren për të mbrojtur të dhënat personale?

Në mënyrë ideale, sistemi i informacionit me të dhënat personale të rusëve duhet të jetë në përputhje me të gjitha kërkesat e ligjit 152-FZ "Për të dhënat personale", edhe nëse është i vendosur jashtë vendit.

Në fund, kushtojini vëmendje listës mbresëlënëse të dokumenteve që kërkohen në rast të verifikimit (kjo nuk është e gjitha, vetëm lista kryesore):

• Njoftimi i përpunimit të PD.
• Një dokument që përcakton personin përgjegjës për organizimin e përpunimit të PD.
• Lista e punonjësve të pranuar në përpunimin e PD.
• Dokumenti që përcakton vendin e ruajtjes së PD.
• Ndihmoni në përpunimin e kategorive të veçanta dhe biometrike të të dhënave personale.
• Certifikatë mbi zbatimin e transferimit ndërkufitar të PD.
• Format tipike të dokumenteve me PD.
• Formular tipik i pëlqimit për përpunimin e PD.
• Procedura për transferimin e të dhënave personale tek palët e treta.
• Procedura për regjistrimin e aplikacioneve nga subjektet e të dhënave personale.
• Lista e sistemeve të informacionit të të dhënave personale (ISPDN).
• Dokumentet që rregullojnë rezervimin e të dhënave në ISPDN.
• Lista e mjeteve të përdorura për mbrojtjen e informacionit.
• Procedura për shkatërrimin e PD.
• Matrica e hyrjes.
• Modeli i kërcënimit.
• Gazeta e kontabilitetit të transportuesve të makinerive të PD.
• Një dokument që përcakton nivelet e sigurisë për secilin ISPD në përputhje me PP-1119 të 1 nëntorit 2012 "Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale".

2. Hartimi i një zgjidhje teknike

Një përshkrim i masave organizative dhe teknike që duhet të merren për të mbrojtur të dhënat personale jepet në Kapitullin 4. "Detyrimet e operatorit" të Ligjit 152-FZ "Për të dhënat personale". Zgjidhja teknike duhet të bazohet në dispozitat e Nenit 2 të Ligjit 242-FZ të 21 Korrikut 2014.

Por si të pajtohemi me ligjin dhe procesin e PD të qytetarëve të Federatës Ruse në territorin e Rusisë në rastin kur ISPD është ende jashtë vendit? Ka disa mundësi këtu:

• Transferimi fizik i sistemit të informacionit dhe bazës së të dhënave në territorin e Federatës Ruse. Nëse është teknikisht e realizueshme, do të jetë më e lehtë.
• Ne e lëmë ISPD jashtë vendit, por në Rusi krijojmë një kopje të saj dhe vendosim një replikim në një drejtim të të dhënave personale të qytetarëve të Federatës Ruse nga kopja ruse në atë të huaj. Në të njëjtën kohë, në sistemin e huaj, është e nevojshme të përjashtohet mundësia e modifikimit të të dhënave personale të qytetarëve të Federatës Ruse, të gjitha redaktimet vetëm përmes ISPD ruse.
• Ka disa ISPD dhe të gjithë janë jashtë vendit. Transferimi mund të jetë i shtrenjtë, ose përgjithësisht jo teknikisht i realizueshëm (për shembull, nuk mund të zgjidhni një pjesë të bazës së të dhënave me të dhëna personale të qytetarëve të Federatës Ruse dhe ta sillni atë në Rusi). Në këtë rast, zgjidhja mund të jetë krijimi i një ISPD-je të re në çdo platformë të disponueshme në një server në Rusi, nga ku do të kryhet replikimi në një drejtim në secilin ISPD të huaj. Vini re se zgjedhja e platformës mbetet me kompaninë.

Nëse ISPD nuk transferohet plotësisht dhe monopolistikisht në Rusi, mos harroni të tregoni në certifikatën e transferimit të të dhënave ndërkufitare kujt dhe cilit grup PD është dërguar. Në njoftimin e përpunimit, duhet të tregoni qëllimin e transferimit të të dhënave personale. Përsëri, ky qëllim duhet të jetë i ligjshëm dhe i justifikuar qartë.

3. Përgatitja e procesit për mbrojtjen e të dhënave personale

Procesi i mbrojtjes së të dhënave personale duhet të përcaktojë të paktën pikat e mëposhtme:

• Lista e personave përgjegjës për përpunimin e të dhënave personale në kompani.
• Procedura për sigurimin e aksesit në ISPD. Në mënyrë ideale, kjo është një matricë hyrëse me një nivel aksesi për secilën pozitë ose një punonjës specifik (lexo / lexo-shkruaj / modifiko). Ose një listë e të dhënave personale në dispozicion për secilën pozitë. E gjitha varet nga zbatimi i IP dhe kërkesat e kompanisë.
• Auditimi i qasjes në të dhënat personale dhe analiza e përpjekjeve të hyrjes me shkelje të niveleve të qasjes.
• Analiza e arsyeve për mungesën e të dhënave personale.
• Procedura për përgjigjen ndaj kërkesave të subjekteve të PD-së në lidhje me PD-në e tyre.
• Rishikimi i listës së të dhënave personale që transferohen jashtë kompanisë.
• Rishikimi i marrësve të të dhënave personale, përfshirë edhe jashtë vendit.
• Rishikimi periodik i modelit të kërcënimit për të dhënat personale, si dhe një ndryshim në nivelin e mbrojtjes së të dhënave personale për shkak të një ndryshimi në modelin e kërcënimit.
• Mbështetja e dokumenteve të kompanisë të azhurnuara (lista është më sipër, dhe mund të jetë e nevojshme të plotësohen, nëse është e nevojshme).

Këtu mund të jepni detaje për secilin artikull, por dua t'i kushtoj vëmendje të veçantë nivelit të sigurisë. Përcaktohet bazuar në dokumentet e mëposhtme (lexoni në mënyrë të njëpasnjëshme):

1. "Metodologjia për përcaktimin e kërcënimeve aktuale sigurinë të dhëna personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale ”(FSTEC RF 14 shkurt 2008).

2. Dekreti i Qeverisë së Federatës Ruse Nr. 1119 i 1 nëntorit 2012 "Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale".

3. Urdhri FSTEC Nr. 21 i 18 Shkurt 2013 "Për miratimin e përbërjes dhe përmbajtjes së masave organizative dhe teknike për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale".

Gjithashtu, mos harroni të merrni parasysh nevojën për kategori të tilla të shpenzimeve si:

• Organizimi ekipi i projektit dhe menaxhimin e projektit.
• Zhvilluesit për secilën nga platformat ISPDN.
• Kapacitetet e serverit (vetanake, ose të dhëna me qira në qendrën e të dhënave).

Në fund të fazës së dytë dhe të tretë të projektit, duhet të keni:

• Llogaritja e kostove.
• Kërkesat e cilësisë.
• Kushtet dhe orari i projektit.
• Rreziqet teknike dhe organizative të projektit.

4. Kontrollimi i zgjidhjes teknike dhe procesit për mbrojtjen e të dhënave personale në përputhje me legjislacionin e Federatës Ruse dhe rregulloret e kompanisë

Një fazë e shkurtër por e rëndësishme në të cilën duhet të siguroheni që të gjitha veprimet e planifikuara nuk bien ndesh me legjislacionin e Federatës Ruse dhe rregullat e ndërmarrjes (për shembull, politikat e sigurisë). Nëse kjo nuk është bërë, një bombë do të vendoset në themel të projektit, e cila mund të "shpërthejë" në të ardhmen, duke shkatërruar përfitimet e rezultateve të arritura.

5. Zbatimi i një zgjidhje teknike

Gjithçka këtu është pak a shumë e dukshme. Specifikat varen nga situata fillestare dhe vendimet. Por në përgjithësi, duhet të merrni diçka si fotografia e mëposhtme:

• Kapaciteti i serverit i alokuar.
• Inxhinierët e rrjetit kanë siguruar kapacitet të mjaftueshëm të kanalit ndërmjet marrësit PD dhe transmetuesit.
• Zhvilluesit kanë krijuar përsëritje midis bazave të të dhënave ISPD.
• Administratorët parandaluan ndryshimet në ISPDN të vendosura jashtë vendit.

Personi përgjegjës për mbrojtjen e PD ose "pronari i procesit" mund të jetë i njëjti person ose i ndryshëm. Vetë fakti që "pronari i procesit" duhet të përgatisë të gjithë dokumentacionin dhe të organizojë të gjithë procesin e mbrojtjes së të dhënave personale. Për ta bërë këtë, të gjitha palët e interesuara duhet të njoftohen, punonjësit duhet të udhëzohen dhe shërbimi i TI duhet të lehtësojë zbatimin e masave teknike për mbrojtjen e të dhënave.

6. Fillimi i procesit për mbrojtjen e të dhënave personale

Kjo është një fazë e rëndësishme, dhe në një kuptim, qëllimi i të gjithë projektit është të vendosë kontrollin mbi rrjedhën. Përveç kësaj zgjidhje teknike dhe dokumentacionit rregullator, roli i pronarit të procesit është shumë i rëndësishëm këtu. Ai duhet të gjurmojë ndryshimet jo vetëm në legjislacion, por edhe në infrastrukturën e IT. Kjo do të thotë që ju keni nevojë për aftësitë dhe kompetencat e duhura.

Përveç kësaj, e cila është shumë e rëndësishme në kushtet e botës reale, pronarit të procesit të mbrojtjes së PD-së iu duhen të gjitha kompetencat e nevojshme dhe mbështetja administrative nga menaxhmenti i kompanisë. Përndryshe, ai do të jetë një "lutës" i përjetshëm të cilit askush nuk i kushton vëmendje dhe pas një kohe projekti mund të rifillojë, përsëri duke filluar me një auditim.

Nuancat

Disa pika që janë të lehta për tu neglizhuar:

• Nëse punoni me një qendër të dhënash, keni nevojë për një kontratë për ofrimin e shërbimeve për sigurimin e pajisjeve të serverit, sipas së cilës kompania juaj ruan të dhëna mbi bazë ligjore dhe i kontrollon ato.
• Ju duhet një licencë për softuerin që përdoret për të mbledhur, ruajtur dhe përpunuar PD, ose marrëveshje qiraje.
• Nëse ISPD ndodhet jashtë vendit, është e nevojshme një marrëveshje me kompaninë që zotëron sistemin atje - për të siguruar pajtueshmërinë me legjislacionin e Federatës Ruse në lidhje me të dhënat personale të rusëve.
• Nëse të dhënat personale transferohen te një kontraktor i kompanisë suaj (për shembull, një partneri i jashtëm i IT), atëherë në rast të rrjedhjes së të dhënave personale nga burimi i jashtëm, ju do të jeni përgjegjës për pretendimet. Nga ana tjetër, kompania juaj mund të paraqesë një kërkesë tek burimi i jashtëm. Ndoshta ky faktor mund të ndikojë në vetë faktin e transferimit të punës në burime të jashtme.

Dhe përsëri, gjëja më e rëndësishme është që mbrojtja e të dhënave personale nuk mund të merret dhe sigurohet. Ky është një proces. Një proces i vazhdueshëm përsëritës që do të varet fuqimisht nga ndryshimet e mëtejshme në legjislacion, si dhe nga formati dhe ashpërsia e zbatimit të këtyre normave në praktikë.

Marina Prokhorova, redaktor i revistës "Të dhëna personale"

Natalia Samoilova, avokat i kompanisë "InfoTechnoProekt"

Kuadri ligjor që është zhvilluar deri më tani në fushën e përpunimit të të dhënave personale, dokumentet që ende nuk janë miratuar për organizim më efektiv të punës për mbrojtjen e të dhënave personale në organizata, aspektet teknike të përgatitjes së sistemeve të informacionit për operatorët e të dhënave personale - këto janë temat që kohët e fundit janë prekur në shumë gazeta dhe botimet e revistave kushtuar problemit të të dhënave personale. Në këtë artikull do të doja të ndalem në një aspekt të tillë të organizimit të punës së institucioneve bankare dhe të kreditit si mbrojtja "jo-teknike" e të dhënave personale të përpunuara në këto organizata.

Le të fillojmë me një shembull konkret

Ne po flasim për rishikimin gjyqësor të çështjes së mbrojtjes së të dhënave personale të filluar kundër Sberbank në qershor 2008. Thelbi i procesit gjyqësor ishte si më poshtë. U lidh një marrëveshje sigurie midis qytetarit dhe bankës, në përputhje me të cilën qytetari mori detyrimin t'i përgjigjej bankës për kryerjen e detyrimeve të huamarrësit sipas marrëveshjes së huasë. Ky i fundit nuk i përmbushi detyrimet e tij brenda periudhës së përcaktuar nga marrëveshja e huasë, informacioni rreth garantuesit si një klient jo i besueshëm u fut në sistemin e automatizuar të informacionit të bankës Stop List, i cili, nga ana tjetër, ishte baza për refuzimin e dhënies së një kredie. Në të njëjtën kohë, banka as nuk e njoftoi qytetarin për përmbushjen e papërshtatshme nga huamarrësi të detyrimeve të saj sipas marrëveshjes së huasë. Për më tepër, marrëveshja e sigurimit nuk specifikonte që në rast të kryerjes së papërshtatshme nga huamarrësi të detyrimeve të saj, banka ka të drejtë të fusë informacione në lidhje me garantuesin në sistemin e informacionit Stop List. Kështu, banka përpunoi të dhënat personale të një qytetari duke përfshirë informacione rreth tij në sistemin e informacionit Stop Stop pa pëlqimin e tij, i cili shkel kërkesat e Pjesës 1 të Artit. 9 i Ligjit Federal Nr. 152-FZ i 27 korrikut 2006 "Për të dhënat personale", sipas të cilit subjekti i të dhënave personale vendos për sigurimin e të dhënave të tij personale dhe bie dakord për përpunimin e tyre me vullnetin e tij dhe në interes të tij. Përveç kësaj, në mënyrën e përshkruar nga Pjesa 1 e Artit. 14 të të njëjtit ligj, një qytetar aplikoi në bankë me kërkesën për t'i dhënë atij mundësinë të familjarizohej me informacionin e futur në lidhje me të në sistemin e informacionit Stop List, si dhe për të bllokuar këtë informacion dhe për ta shkatërruar atë. Banka nuk pranoi të plotësonte kërkesat e qytetarit.

Bazuar në rezultatet e shqyrtimit të çështjes, Gjykata e Qarkut Leninsky e Vladivostok kënaqi pretendimet e Administratës Roskomnadzor për Territorin Primorsky kundër Sberbank të Rusisë për të mbrojtur të drejtat e shkelura të një qytetari dhe urdhëroi bankën të shkatërronte informacionin për qytetarin nga sistemi i informacionit Stop List.

Si është tregues ky shembull? Bankat, duke ruajtur të dhënat personale të një numri të konsiderueshëm të klientëve të tyre, pa hezitim, i zhvendosin ato nga një bazë e të dhënave në tjetrën, dhe më shpesh pa njoftuar subjektin e të dhënave personale në lidhje me të, për të mos përmendur marrjen e pëlqimit të tij për veprime të tilla me të dhënat e tij personale. Sigurisht, bankarja ka një numër karakteristikash, dhe shpesh të dhënat personale të klientëve përdoren jo vetëm për të përmbushur marrëveshjet e lidhura nga banka, por edhe për të monitoruar bankën mbi përmbushjen e detyrimeve të klientit, por kjo do të thotë që çdo manipulim me të dhëna personale kërkon tashmë pëlqimin e subjektit të tyre. ...

Vështirësitë në interpretimin e dispozitave

Pse të mos bëni të ligjshme ndonjë transaksion me të dhënat personale? Sigurisht, kjo ka shumë të ngjarë të kërkojë përfshirjen e specialistëve të palëve të treta, pasi që edhe avokatët e departamenteve ligjore të bankave të mëdha janë profesionistë të klasit të parë vetëm në një zonë të caktuar dhe ata duhet të njihen me specifikat e punës në fushën e të dhënave personale praktikisht nga e para. Kështu që mënyra më e mirë për të dalë është të përfshihen kompani të specializuara në ofrimin e shërbimeve për organizimin e punës me të dhëna personale, përfshirë ato që janë në gjendje të kryejnë një auditim për pajtueshmërinë e masave jo-teknike të mbrojtjes që po merrni me kërkesat e ligjvënësit, për të punuar në organizimin e një sistemi të mbrojtjes së të dhënave personale.

Rezultatet e studimeve analitike na lejojnë të konkludojmë se interpretimi i të cilit dispozita të Ligjit Federal Nr. 152-FZ "Për të dhënat personale" shkakton vështirësitë më të mëdha.

Në përputhje me pjesën 1 të nenit 22 të këtij dokumenti rregullues, operatori është i detyruar të njoftojë organin e autorizuar për përpunimin e të dhënave personale. Ndër përjashtimet është rasti kur të dhënat personale të përpunuara janë marrë në lidhje me përfundimin e një marrëveshjeje në të cilën subjekti i të dhënave personale është palë ... dhe përdoret nga operatori vetëm për ekzekutimin e marrëveshjes së specifikuar në bazë të paragrafit 2 të pjesës 2 të nenit 22 të Ligjit Federal Nr. 152-FZ "Për te dhena Personale ". Duke vepruar pikërisht me këtë provizion, disa banka nuk paraqesin njoftim për përpunimin e të dhënave personale, dhe shumë prej tyre nuk e konsiderojnë veten operatorë, gjë që në thelb është e gabuar.

Gjithashtu, një tjetër gabim i zakonshëm i bankave, si operatorë të të dhënave personale, i lidhur me kontratën, është si më poshtë. Sipas Artit. 6 të ligjit të sipërpërmendur, përpunimi i të dhënave personale mund të kryhet nga operatori me pëlqimin e subjekteve të të dhënave personale, me përjashtim të rasteve, duke përfshirë përpunimin me qëllim të përmbushjes së një marrëveshjeje, njëra nga palët në të cilën është subjekt i të dhënave personale. Prandaj, shumë institucione bankare shpjegojnë mungesën e pëlqimit të subjektit të të dhënave personale pikërisht me faktin e përfundimit të një marrëveshjeje të tillë.

Por le ta mendojmë mirë, a nuk përdor banka, si një operator, të dhënat personale të subjektit të marrë në përfundim të kontratës, për shembull, për të dërguar njoftime në lidhje me shërbimet e reja, për të mbajtur "Stop Listat"? Kjo do të thotë që përpunimi i të dhënave personale kryhet jo vetëm për qëllimin e përmbushjes së kontratës, por edhe për qëllime të tjera, arritja e të cilave është me interes tregtar për bankat, prandaj:

• bankat janë të detyruara të paraqesin një njoftim për përpunimin e të dhënave personale tek organi i autorizuar;
• bankat duhet të përpunojnë të dhëna personale vetëm me pëlqimin e subjektit.

Dhe kjo do të thotë që bankat duhet të organizojnë një sistem për të punuar me të dhëna personale të klientëve të tyre, domethënë të sigurojnë mbrojtje jo-teknike të të dhënave të tilla.

Pëlqimi me shkrim për përpunimin e të dhënave personale

Sa i përket pëlqimit të subjektit të të dhënave personale në përpunimin e të dhënave personale, Ligji Federal Nr. 152-FZ "Për të Dhënat Personale" i detyron operatorët të marrin pëlqimin me shkrim për përpunimin e të dhënave personale vetëm në rastet e specifikuara nga ligji. Në të njëjtën kohë, në përputhje me Pjesën 3 të Artit. 9 detyrimi për të provuar marrjen e pëlqimit të subjektit për përpunimin e të dhënave të tij personale bie mbi operatorin. Në mënyrë që, nëse është e nevojshme, të mos humbasim kohë për të mbledhur prova të tilla (për shembull, duke kërkuar dëshmitarë), për mendimin tonë, është më mirë në çdo rast të merret pëlqimi nga subjektet me shkrim.

Le të japim një argument më shumë për formën e shkruar të përpunimit të të dhënave personale. Shpesh, veprimtaritë e bankave përfshijnë transferimin e të dhënave (përfshirë ato personale) në territorin e një shteti të huaj. Me këtë rast, Pjesa 1 e Artit. 12 i Ligjit Federal Nr. 152-FZ "Për të Dhënat Personale" thotë se para fillimit të transferimit ndërkufitar të të dhënave personale, operatori duhet të sigurohet që shteti i huaj, në territorin e të cilit kryhet transferimi i të dhënave personale, siguron mbrojtjen e duhur të të drejtave të subjekteve të të dhënave personale. Nëse një mbrojtje e tillë nuk sigurohet, transferimi ndërkufitar i të dhënave personale është i mundur vetëm me pëlqimin me shkrim të subjektit të të dhënave personale. Mund të supozohet se është më lehtë për një punonjës banke të marrë një pëlqim me shkrim nga një klient për të përpunuar të dhëna personale sesa të përcaktojë shkallën e mjaftueshmërisë së mbrojtjes së tyre në një vend të huaj.

Ne tërheqim vëmendjen tuaj për faktin se informacioni që duhet të përmbahet në pëlqimin me shkrim renditet në Pjesën 4 të Artit. 9 të Ligjit Federal të lartpërmendur, dhe kjo listë është shteruese. Dhe nënshkrimi nën frazën, për shembull, në marrëveshjen e huasë: "Pajtohem për përdorimin e të dhënave të mia personale", sipas Ligjit Federal Nr. 152-FZ "Për të Dhënat Personale", nuk është pëlqim për përpunimin e tyre!

Duket se ka vetëm disa pika të ligjit, dhe sa ndërlikime, deri në çështje gjyqësore, mund të shkaktojnë interpretimin e tyre të pasaktë. Përveç kësaj, sot, kur të dhënat personale të subjekteve shpesh bëhen një mall në luftën konkurruese të strukturave të ndryshme, zgjidhja e suksesshme e çështjeve të mbrojtjes së tyre, sigurimi i sigurisë së sistemeve të informacionit të institucioneve bankare dhe të kreditit bëhet një garanci e ruajtjes së reputacionit dhe emrit të ndershëm të çdo organizate.

Çdo ditë, rritet ndërgjegjësimi i qytetarëve për pasojat e mundshme negative të shpërndarjes së të dhënave të tyre personale, gjë që lehtësohet nga shfaqja e botimeve të specializuara. Ekzistojnë gjithashtu burime informacioni nga kompani të ndryshme. Disa prej tyre zakonisht mbulojnë të gjithë gamën e gjerë të çështjeve që lidhen me konceptin e "sigurisë së informacionit", të tjerët janë të përkushtuar për rishikimin e masave dhe mjeteve të mbrojtjes teknike, dikush, përkundrazi, përqendrohet në problemet që lidhen me mbrojtjen jo-teknike. Me fjalë të tjera, informacioni mbi mbrojtjen e të dhënave personale po bëhet gjithnjë e më i arritshëm, që do të thotë se qytetarët do të jenë më të zgjuar në fushën e mbrojtjes së të drejtave të tyre.

PREZANTIMI

Relevanca. Në botën moderne, informacioni po bëhet një burim strategjik, një nga pasuritë kryesore të një shteti të zhvilluar ekonomikisht. Përmirësimi i shpejtë i informatizimit në Rusi, depërtimi i tij në të gjitha sferat e interesave jetike të individit, shoqërisë dhe shtetit, përveç përparësive të padyshimta, shkaktoi një numër problemesh të rëndësishme. Njëra prej tyre ishte nevoja për të mbrojtur informacionin. Duke marrë parasysh që aktualisht potenciali ekonomik përcaktohet gjithnjë e më shumë nga niveli i zhvillimit të strukturës së informacionit, cenueshmëria e mundshme e ekonomisë nga ndikimet e informacionit po rritet proporcionalisht.

Përhapja e sistemeve kompjuterike, integrimi i tyre në rrjetet e komunikimit rrit mundësitë e depërtimit elektronik në to. Problemi i krimit kompjuterik në të gjitha vendet e botës, pavarësisht nga vendndodhja e tyre gjeografike, e bën të domosdoshme tërheqjen gjithnjë e më shumë të vëmendjes dhe forcave të publikut për të organizuar luftën kundër këtij lloji të krimit. Krimet në sistemet e automatizuara bankare dhe në tregtinë elektronike janë veçanërisht të përhapura. Sipas të dhënave të huaja, humbjet në banka si rezultat i krimeve kompjuterike arrijnë në shumë miliarda dollarë në vit. Megjithëse niveli i futjes së teknologjive më të fundit të informacionit në praktikë në Rusi nuk është aq i rëndësishëm, çdo ditë krimet kompjuterike po e bëjnë veten të ndihen gjithnjë e më shumë, dhe mbrojtja e shtetit dhe shoqërisë prej tyre është bërë një super detyrë për autoritetet kompetente.

Askush nuk dyshon në rëndësinë e çështjes së mbrojtjes së të dhënave personale. Para së gjithash, kjo është për shkak të periudhës së përcaktuar për sjelljen e sistemeve të informacionit të të dhënave personale (ISPD) në përputhje me Ligjin Federal të 27 korrikut 2006 Nr. 152-FZ "Për të dhënat personale". Ky afat po afrohet në mënyrë të pashmangshme, dhe në të njëjtën kohë kompleksiteti i dukshëm i përmbushjes së kërkesave të dokumenteve rregullatore të rregullatorëve provokon shumë mosmarrëveshje dhe interpretime të paqarta. Në të njëjtën kohë, natyra e mbyllur e disa dokumenteve udhëzuese, statusi i tyre i papërcaktuar juridik, si dhe një numër çështjesh të tjera, nuk kontribuojnë në zgjidhjen e problemit. E gjithë kjo krijon një situatë ku korniza rregullatore nuk është përcaktuar përfundimisht, dhe është e nevojshme të pajtoheni me kërkesat e legjislacionit tani.

në maj 2009, takimi i parë i grupit të punës për çështjet e të dhënave personale u mbajt në ARB. Në këtë ngjarje, gjatë një diskutimi të hapur, u identifikuan qartë fushat problematike që shqetësonin komunitetin bankar. Në thelb, ato kishin të bënin pikërisht me mbrojtjen teknike të të dhënave personale dhe ndërveprimin e ardhshëm midis institucioneve financiare dhe FSTEC. Përfaqësuesit e Bankës së Rusisë njoftuan në fjalën e tyre praktikat më të mira në drejtim të organizimit të zbatimit të ligjit "Për të dhënat personale". Përpjekjet e Bankës së Rusisë për të gjetur një kompromis me rregullatorët për sa i përket formulimit të kërkesave teknike për komunitetin bankar mund të quhen krejtësisht të reja dhe të rëndësishme. Veçanërisht do të doja të theksoja veprimtarinë e Bankës Qendrore të Federatës Ruse në punën me FSTEC të Rusisë. Duke marrë parasysh të gjithë masën e madhe të vështirësive në përmbushjen e kërkesave të udhëzimeve të FSTEC, Banka e Rusisë vendosi të përgatisë dokumentet e saj (draft dokumente), të cilat aktualisht po koordinohen me FSTEC. Mund të supozohet se gjasat për një standard të ri të industrisë për institucionet financiare mbi të dhënat personale janë të mëdha.

Qëllimi i punës së kursit është studimi i mënyrave për të mbrojtur të dhënat personale në sistemet bankare në internet.

Për të arritur qëllimin, u zgjidhën detyrat e mëposhtme:

studimi i qasjeve, parimet themelore të sigurisë;

përcaktimi i metodave dhe mjeteve për sigurimin e sigurisë;

identifikimin e veçorive të sigurimit të sigurisë së të dhënave personale në sistemet bankare në internet;

zhvillimin e masave për të garantuar sigurinë e të dhënave personale në sistemet bankare në internet.

Objekti i studimit janë sistemet e informacionit bankar.

Lënda e hulumtimit është siguria e informacionit personal në sistemet bankare on-line.

Baza teorike dhe metodologjike e kërkimit ishte dispozitat teorike, puna e shkencëtarëve, kërkimi nga specialistët për çështjet e sigurimit të informacionit.

Baza metodologjike e punës së kursit ishte një qasje sistematike për studimin e problemeve të sigurisë.

Përdoret analiza logjike, krahasuese juridike, sistemike. Për më tepër, metoda e analizës strukturore e përdorur bën të mundur studimin e përbërësve individualë të fenomenit nën studim me hollësinë e nevojshme dhe analizimin e marrëdhënies së këtyre elementeve me njëri-tjetrin, si dhe me tërësinë e përgjithshme.

1. Aspektet teorike të mbrojtjes së të dhënave personale në sistemet bankare on-line

1.1 Qasjet, parimet e sigurisë

Siguria e sistemeve të informacionit kuptohet si masa që mbrojnë sistemin e informacionit nga ndërhyrjet aksidentale ose të qëllimshme në mënyrat e funksionimit të tij.

Ka dy qasje themelore për sigurinë e kompjuterit.

E para prej tyre është e fragmentuar, brenda kornizës së saj ekziston një orientim drejt kundërshtimit të kërcënimeve të përcaktuara në mënyrë rigoroze në kushte të caktuara (për shembull, mjete të specializuara antivirus, mjete autonome të kriptimit, etj.). Qasja ka të dy avantazhet - duke nënkuptuar një nivel të lartë të selektivitetit për sa i përket një problemi të përcaktuar mirë, dhe disavantazhet - që nënkuptojnë mbrojtje të fragmentuar - d.m.th. elemente të përcaktuara në mënyrë rigoroze.

Procesi i menaxhimit të sigurisë së informacionit përfshin përbërësit e treguar në Fig. 1

Qasja e dytë është një qasje sistemike, veçoria e saj është se brenda kornizës së saj, mbrojtja e informacionit trajtohet në një shkallë më të gjerë - krijohet një mjedis i sigurt për përpunimin, ruajtjen dhe transferimin e informacionit, duke kombinuar metoda heterogjene dhe mjete për t'iu kundërvënë kërcënimeve: softuer dhe pajisje, ligjore, organizative dhe ekonomike. Me anë të një mjedisi të caktuar të sigurt, mund të garantohet një nivel i caktuar i sigurisë së sistemit të automatizuar të informacionit.

Një qasje sistematike për mbrojtjen e informacionit bazohet në parimet e mëposhtme metodologjike:

qëllimi përfundimtar - përparësia absolute e qëllimit përfundimtar (global);

uniteti - shqyrtimi i përbashkët i sistemit në tërësi "dhe si një tërësi pjesësh (elementesh);

lidhshmëria - duke marrë parasysh çdo pjesë të sistemit së bashku me lidhjet e tij me mjedisin;

ndërtimi modular - caktimi i moduleve në sistem dhe konsiderimi i tij si një grup modulesh;

hierarki - prezantimi i hierarkisë së pjesëve (elementeve) dhe renditja e tyre;

funksionaliteti - shqyrtimi i përbashkët i strukturës dhe funksionit me përparësinë e funksionit mbi strukturën;

zhvillimi - duke marrë parasysh ndryshueshmërinë e sistemit, aftësinë e tij për të zhvilluar, zgjeruar, zëvendësuar pjesë, grumbulluar informacion;

decentralizimi - një kombinim i centralizimit dhe decentralizimit në vendimmarrje dhe menaxhim;

pasiguria - llogaritja e pasigurive dhe aksidenteve në sistem.

Studiuesit modernë dallojnë metodologjinë e mëposhtme,

parimet organizative dhe të zbatimit të sigurisë së informacionit (përfshirë kompjuterin).

Parimi i ligjshmërisë. Përbëhet nga ndjekja e legjislacionit aktual në fushën e sigurisë së informacionit.

Parimi i pasigurisë lind nga paqartësia e sjelljes së subjektit, d.m.th. kush, kur, ku dhe si mund të cenojë sigurinë e objektit të mbrojtur.

Parimi i pamundësisë së krijimit të një sistemi ideal mbrojtjeje. Kjo rrjedh nga parimi i pasigurisë dhe burimeve të kufizuara të këtyre fondeve.

Parimet e rrezikut minimal dhe dëmit minimal burojnë nga pamundësia e krijimit të një sistemi ideal mbrojtjeje. Në përputhje me të, është e nevojshme të merren parasysh kushtet specifike për ekzistencën e objektit të mbrojtjes për çdo moment në kohë.

Parimi i kohës së sigurt. Ai përfshin marrjen parasysh të kohës absolute, d.m.th. gjatë së cilës është e nevojshme të ruhen objektet e mbrojtjes; dhe koha relative, d.m.th. intervali kohor nga momenti kur zbulohen veprimet dashakeqe derisa sulmuesi të arrijë qëllimin.

Parimi i "mbrojtjes së të gjithëve nga të gjithë". Ai përfshin organizimin e masave mbrojtëse kundër të gjitha formave të kërcënimeve ndaj objekteve të mbrojtjes, e cila është pasojë e parimit të pasigurisë.

Parimet e përgjegjësisë personale. Ai merr përgjegjësinë personale të secilit punonjës të ndërmarrjes, institucionit dhe organizatës për pajtueshmërinë me regjimin e sigurisë brenda kornizës së kompetencave të tyre, përgjegjësive funksionale dhe udhëzimeve aktuale.

Parimi i kufizimit të kompetencave nënkupton kufizimin e kompetencave të subjektit për t'u njohur me informacionin në të cilin nuk kërkohet qasje për kryerjen normale të detyrave të tij funksionale, si dhe futjen e një ndalimi të hyrjes në objekte dhe zona që nuk kërkohen nga natyra e aktivitetit.

Parimi i bashkëveprimit dhe bashkëpunimit. Brenda saj, kjo përfshin kultivimin e marrëdhënieve të besimit midis punonjësve përgjegjës për sigurinë (përfshirë sigurinë e informacionit) dhe personelit. Në manifestimin e jashtëm - vendosja e bashkëpunimit me të gjitha organizatat dhe individët e interesuar (për shembull, agjencitë e zbatimit të ligjit).

Parimi i kompleksitetit dhe individualitetit. Kjo nënkupton pamundësinë e sigurimit të sigurisë së objektit të mbrojtur nga çdo masë, por vetëm nga një sërë masash komplekse, të ndërlidhura dhe të mbivendosura, të zbatuara me një individ që lidhet me kushte specifike.

Parimi i linjave të sigurisë së njëpasnjëshme. Ai nënkupton njoftimin sa më të hershëm të mundshëm të një shkeljeje mbi sigurinë e një objekti të veçantë mbrojtjeje ose një incidenti tjetër të pafavorshëm në mënyrë që të rritet gjasat që një paralajmërim i hershëm i pajisjeve mbrojtëse t'u sigurojë punonjësve përgjegjës për sigurinë mundësinë për të përcaktuar shkakun e alarmit në kohë organizojnë kundërmasa efektive.

Parimet e forcës së barabartë dhe fuqisë së barabartë të linjave të mbrojtjes. Forca e barabartë nënkupton mungesën e zonave të pambrojtura në linjat e mbrojtjes. Fuqia e barabartë supozon një sasi relativisht të barabartë të mbrojtjes së linjave të mbrojtjes në përputhje me shkallën e kërcënimit ndaj objektit të mbrojtur.

Metodat e sigurimit të mbrojtjes së informacionit në ndërmarrje janë si më poshtë:

Pengesa është një metodë e bllokimit fizik të rrugës së një ndërhyrës drejt informacionit të mbrojtur (te pajisjet, mjetet e magazinimit, etj.).

Kontrolli i hyrjes është një metodë e mbrojtjes së informacionit duke rregulluar përdorimin e të gjitha burimeve të sistemit të automatizuar të informacionit të një ndërmarrjeje. Kontrolli i hyrjes përfshin tiparet e mëposhtme të sigurisë:

identifikimi i përdoruesve, personelit dhe burimeve të sistemit të informacionit (caktimi i një identifikuesi personal për secilin objekt);

vërtetimi (vërtetimi) i një objekti ose subjekti sipas identifikuesit të paraqitur prej tij;

kontroll i autorizimit (duke kontrolluar pajtueshmërinë e ditës së javës, kohën e ditës, burimet dhe procedurat e kërkuara me rregulloret e përcaktuara);

regjistrimi i thirrjeve drejt burimeve të mbrojtura;

përgjigje (alarm, mbyllje, vonesë në punë, refuzim për të kërkuar kur përpiqen veprime të paautorizuara).

Maskimi është një metodë e mbrojtjes së informacionit në një sistem të automatizuar informacioni të një ndërmarrjeje me anë të mbylljes së tij kriptografike.

Rregullorja është një metodë e mbrojtjes së informacionit që krijon kushte për përpunimin, ruajtjen dhe transmetimin e automatizuar të informacionit, në të cilën mundësia e qasjes së paautorizuar në të do të minimizohej.

Shtrëngimi është një metodë e mbrojtjes së informacionit, në të cilën përdoruesit dhe personeli i sistemit janë të detyruar të respektojnë rregullat për përpunimin, transferimin dhe përdorimin e informacionit të mbrojtur nën kërcënimin e përgjegjësisë materiale, administrative dhe penale.

Nxitja është një metodë e mbrojtjes së informacionit që inkurajon përdoruesit dhe personelin e sistemit të mos shkelin rregullat e vendosura duke respektuar standardet e vendosura morale dhe etike.

Metodat e mësipërme për të siguruar sigurinë e informacionit zbatohen duke përdorur mjetet themelore të mëposhtme: fizike, pajisje kompjuterike, softuer, softuer kompjuterik, kriptografik, organizativ, legjislativ dhe moral-etik.

Mjetet fizike të mbrojtjes janë të destinuara për mbrojtjen e jashtme të territorit të objekteve, mbrojtjen e përbërësve të sistemit të informacionit të automatizuar të një ndërmarrjeje dhe zbatohen në formën e pajisjeve dhe sistemeve autonome.

Mjetet e mbrojtjes së harduerit janë pajisje elektronike, elektromekanike dhe pajisje të tjera të integruara drejtpërdrejt në njësitë e një sistemi informacioni të automatizuar ose të dizajnuara si pajisje të pavarura dhe të ndërlidhura me këto njësi. Ato janë të destinuara për mbrojtjen e brendshme të elementeve strukturore të pajisjeve dhe sistemeve kompjuterike: terminalet, procesorët, pajisjet periferike, linjat e komunikimit, etj.

Mjetet e mbrojtjes së softuerit janë krijuar për të kryer funksione logjike dhe të mbrojtjes intelektuale dhe përfshihen ose në softuerin e një sistemi informacioni të automatizuar, ose në përbërjen e mjeteve, komplekseve dhe sistemeve të pajisjeve të kontrollit.

Softueri i sigurisë së informacionit është lloji më i zakonshëm i mbrojtjes, që ka këto veti pozitive: universaliteti, fleksibiliteti, lehtësia e zbatimit, aftësia për të ndryshuar dhe zhvilluar. Kjo rrethanë i bën ata në të njëjtën kohë elementet më të prekshme të mbrojtjes së sistemit të informacionit të ndërmarrjes.

Hardware dhe mbrojtje e softverit do të thotë në të cilën softueri (firmware) dhe pjesët e harduerit janë plotësisht të ndërlidhura dhe të pandara.

Mjetet kriptografike - mjetet e mbrojtjes me anë të transformimit të informacionit (kriptimi).

Mjetet organizative - masat organizative, teknike dhe organizative dhe ligjore për rregullimin e sjelljes së personelit.

Mjetet legjislative - aktet ligjore të vendit që rregullojnë rregullat për përdorimin, përpunimin dhe transmetimin e informacionit me qasje të kufizuar dhe që përcaktojnë masat e përgjegjësisë për shkeljen e këtyre rregullave.

Mjetet morale dhe etike - normat, traditat në shoqëri, për shembull: Kodi i Sjelljes Profesionale për Anëtarët e Shoqatës së Përdoruesve të Kompjuterit në Shtetet e Bashkuara.

1.2 Metodat dhe mjetet e sigurimit të sigurisë

Për të zbatuar masat e sigurisë përdoren mekanizma të ndryshëm të kriptimit. Për çfarë përdoren këto metoda? Fillimisht, kur dërgoni të dhëna (tekst, fjalim ose fotografi), ato janë të pambrojtura, ose, siç i quajnë ekspertët, të hapura. Të dhënat e hapura lehtë mund të përgjohen nga përdoruesit e tjerë (qëllimisht ose jo me zgjuarsi). Nëse ekziston një qëllim për të parandaluar marrjen e informacionit të caktuar nga palët e treta, të dhënat e tilla janë të koduara. Përdoruesi, për të cilin ka për qëllim informacionin e specifikuar, më pas e dekripton atë duke përdorur transformimin e kundërt të kriptogramit, duke marrë të dhënat në formën që i nevojitet.

Kriptimi është simetrik (një çelës sekret përdoret për enkriptim) dhe asimetrik (një çelës publik përdoret për kriptim, dhe për dekriptim - një tjetër, jo i ndërlidhur - domethënë, duke ditur njërën prej tyre, nuk mund ta përcaktoni tjetrën).

Mekanizmat e sigurisë janë të tillë si:

) Mekanizmat e nënshkrimeve elektronike dixhitale bazohen në algoritme të kriptimit asimetrik dhe përfshijnë dy procedura: gjenerimin e nënshkrimit nga dërguesi dhe identifikimin e tij nga marrësi. Formimi i nënshkrimit nga dërguesi siguron që blloku i të dhënave është i koduar ose i plotësuar me një kontroll kontrolli kriptografik, dhe në të dy rastet përdoret çelësi sekret i dërguesit. Çelësi publik përdoret për identifikim.

) Mekanizmat e kontrollit të hyrjes kontrollojnë autoritetin e programeve dhe përdoruesve për të hyrë në burimet e rrjetit. Kur hyni në një burim përmes një lidhjeje, kontrolli kryhet si në pikën e fillimit dhe në pikat e ndërmjetme, si dhe në pikën përfundimtare.

) Mekanizmat e integritetit të të dhënave zbatohen në bllokun individual dhe në rrjedhën e të dhënave. Dërguesi plotëson bllokun e transmetuar me një sasi kriptografike dhe marrësi e krahason atë me vlerën kriptografike që korrespondon me bllokun e marrë. Mospërputhja tregon shtrembërim të informacionit në bllok.

) Mekanizmat për caktimin e trafikut. Ato bazohen në gjenerimin e blloqeve nga objektet AIS, kriptimin e tyre dhe organizimin e transmetimit përmes kanaleve të rrjetit. Kjo neutralizon mundësinë e marrjes së informacionit përmes monitorimit karakteristikat e jashtme rrjedhat që qarkullojnë përmes kanaleve të komunikimit.

) Mekanizmat e kontrollit të rrugës sigurojnë që informacioni rrjedh përmes rrjetit të komunikimit në një mënyrë të tillë që të përjashtojë transmetimin e informacionit të ndjeshëm përmes kanaleve të pasigurta fizikisht jo të besueshme.

) Mekanizmat e arbitrazhit sigurojnë konfirmimin e karakteristikave të të dhënave të transferuara ndërmjet objekteve nga një palë e tretë. Për këtë, informacioni i dërguar ose i marrë nga objektet kalon përmes arbitrit, i cili i lejon atij të konfirmojë më pas karakteristikat e përmendura.

Disavantazhet kryesore të sistemit të sigurisë për objektet ekonomike janë:

-kuptimi i ngushtë, jo-sistematik i problemit të sigurisë së objektit;

-neglizhimi i parandalimit të kërcënimeve, punoni sipas parimit "Një kërcënim është shfaqur - ne fillojmë ta eleminojmë atë";

-paaftësia në ekonominë e sigurisë, pamundësia për të krahasuar kostot dhe përfitimet;

-"Teknokratizmi" i specialistëve të menaxhimit dhe sigurisë, interpretimi i të gjitha detyrave në gjuhën e një fushe të njohur për ta.

Si përfundim mbi kapitullin e parë të punës, ne përcaktojmë sa vijon. Siguria e sistemeve të informacionit i referohet masave të caktuara me të cilat ata mbrojnë sistemin e informacionit nga ndërhyrjet aksidentale ose të qëllimshme në mënyrat e funksionimit të tij. Për të garantuar sigurinë, parashikohen dy qasje kryesore: 1) fragmentare, brenda kuadrit të së cilës kryhet kundërveprimi ndaj kërcënimeve të caktuara në kushte të caktuara; dhe 2) sistemike, brenda së cilës krijohet një mjedis i mbrojtur për përpunimin, ruajtjen dhe transmetimin e informacionit, duke kombinuar metoda dhe mjete të ndryshme për t'iu kundërvënë kërcënimeve. Mjete dhe mekanizma të ndryshëm përdoren për të mbrojtur informacionin. Mjetet përfshijnë: kriptimin, regjistrimin elektronik dixhital, kontrollin e hyrjes, vendosjen e trafikut, etj.

siguria e sistemit bankar në internet

2. Karakteristikat e garantimit të sigurisë së të dhënave personale në sistemet bankare në internet

2.1 Kushtet e përgjithshme për garantimin e sigurisë së të dhënave personale në sistemet bankare në internet

Mbrojtja e informacionit personal është gjendja e mbrojtjes së informacionit dhe infrastrukturës së tij mbështetëse (kompjuterë, linja komunikimi, sisteme të furnizimit me energji elektrike, etj.) Nga ndikimet aksidentale ose të qëllimshme, të mbushura me dëmtim të pronarëve ose përdoruesve të këtij informacioni.

Gjithashtu, siguria e informacionit e kredencialeve kuptohet si: siguria e siguruar e kompjuterit; siguria e kredencialeve të vlefshme; mbrojtja e informacionit personal nga ndryshimet në të nga persona të paautorizuar; ruajtja e kredencialeve të dokumentuara në komunikimin elektronik.

Objektet e sigurisë së informacionit në kontabilitet janë burimet e informacionit që përmbajnë informacione të klasifikuara si sekrete tregtare dhe informacione konfidenciale; si dhe mjetet dhe sistemet e informatizimit.

Pronar burimet e informacionit, sistemet e informacionit, teknologjitë dhe mjetet e mbështetjes së tyre është një njësi ekonomike që zotëron dhe përdor këto objekte dhe ushtron kompetencat e asgjësimit brenda kufijve të përcaktuar me ligj.

Një përdorues i informacionit është një subjekt i cili kontakton një sistem informacioni ose një ndërmjetës për të marrë informacionin që i nevojitet dhe i përdor ato.

Burimet e informacionit janë dokumente individuale dhe vargje të veçanta të dokumenteve, dokumenteve dhe vargjeve të dokumenteve në sistemet e informacionit.

Kërcënimi ndaj sigurisë së informacionit konsiston në një veprim potencialisht të mundshëm që, duke ndikuar në përbërësit e një sistemi personal, mund të çojë në dëm të pronarëve të burimeve të informacionit ose përdoruesve të sistemit.

Regjimi ligjor i burimeve të informacionit përcaktohet nga normat që përcaktojnë:

procedurën për dokumentimin e informacionit;

pronësia e dokumenteve individuale dhe vargjeve individuale

dokumente, dokumente dhe varg dokumentesh në sistemet e informacionit; kategoria e informacionit sipas nivelit të qasjes në të; procedura për mbrojtjen ligjore të informacionit.

Parimi kryesor i shkelur në zbatimin e një kërcënimi të informacionit në kontabilitet është parimi i dokumentimit të informacionit. Një dokument i kontabilitetit i marrë nga një sistem i automatizuar i kontabilitetit të informacionit fiton forcë juridike pasi të nënshkruhet nga një zyrtar në mënyrën e parashikuar nga legjislacioni i Federatës Ruse.

E gjithë grupi i kërcënimeve të mundshme në kontabilitet nga natyra e ndodhjes së tyre mund të ndahet në dy klasa: natyrore (objektive) dhe artificiale.

Kërcënimet natyrore shkaktohen nga arsye objektive, si rregull, përtej kontrollit të llogaritarit, duke çuar në shkatërrim të plotë ose të pjesshëm të departamentit të kontabilitetit së bashku me përbërësit e tij. Fenomene të tilla natyrore përfshijnë: tërmete, rrufe, zjarre, etj.

Kërcënimet artificiale shoqërohen me aktivitete njerëzore. Ato mund të ndahen në ato të paqëllimshme (të paqëllimshme), të shkaktuara nga aftësia e punonjësve për të bërë ndonjë gabim për shkak të mosvëmendjes, ose lodhjes, gjendjes së dhimbshme, etj. Për shembull, një llogaritar, kur fut informacion në një kompjuter, mund të shtyp butonin e gabuar, të bëjë gabime të paqëllimta në program, të prezantojë një virus ose të zbulojë aksidentalisht fjalëkalimet.

Kërcënimet e qëllimshme (të qëllimshme) lidhen me aspiratat egoiste të njerëzve - keqbërës, duke krijuar qëllimisht dokumente të pasakta.

Për sa i përket fokusit të tyre, kërcënimet e sigurisë mund të ndahen në grupet e mëposhtme:

kërcënimet për të depërtuar dhe lexuar të dhëna nga bazat e të dhënave kredenciale dhe programe kompjuterike për përpunimin e tyre;

kërcënime për sigurinë e kredencialeve, duke çuar në shkatërrimin e tyre ose në ndryshim, përfshirë falsifikimin e dokumenteve të pagesës (kërkesa pagese, urdhra, etj.);

kërcënimet për disponueshmërinë e të dhënave që lindin kur një përdorues nuk mund të ketë qasje në letrat kredenciale;

kërcënimi i refuzimit për të kryer operacione kur një përdorues i dërgon një mesazh tjetrit dhe më pas nuk konfirmon të dhënat e transmetuara.

Proceset e informacionit janë proceset e mbledhjes, përpunimit, akumulimit, ruajtjes, kërkimit dhe shpërndarjes së informacionit.

Sistemi i informacionit është një grup i rregulluar në mënyrë organizative i dokumenteve (vargjeve të dokumenteve dhe teknologjive të informacionit, duke përfshirë përdorimin e teknologjisë kompjuterike dhe komunikimit, duke realizuar proceset e informacionit).

Informacioni i dokumentimit kryhet në mënyrën e përcaktuar nga autoritetet shtetërore përgjegjëse për organizimin e punës në zyrë, standardizimin e dokumenteve dhe vargjeve të tyre dhe sigurinë e Federatës Ruse.

Në varësi të burimit të kërcënimeve, ato mund të ndahen në të brendshme dhe të jashtme.

Burimi i kërcënimeve të brendshme janë aktivitetet e personelit të organizatës. Kërcënimet e jashtme vijnë nga jashtë nga punonjësit e organizatave të tjera, nga hakerat dhe të tjerët.

Kërcënimet e jashtme mund të klasifikohen në:

lokale, të cilat përfshijnë hyrjen e ndërhyrës në territorin e organizatës dhe marrjen e hyrjes në një kompjuter të veçantë ose në një rrjet lokal;

kërcënimet në distancë janë tipike për sistemet e lidhura me rrjetet globale (Interneti, sistemi i shlyerjeve bankare ndërkombëtare SWIFT, etj.).

Rreziqe të tilla më shpesh paraqiten në sistemin e pagesave elektronike gjatë shlyerjeve ndërmjet furnitorëve dhe klientëve, duke përdorur rrjetet e Internetit në vendbanime. Burimet e sulmeve të tilla të informacionit mund të jenë mijëra kilometra larg. Për më tepër, jo vetëm kompjuterët, por edhe informacioni i kontabilitetit janë të ekspozuar.

Gabimet e qëllimshme dhe të paqëllimta në kontabilitet, që çojnë në një rritje të rrezikut të kontabilitetit, janë këto: gabime në regjistrimin e të dhënave të kontabilitetit; kode të pasakta; transaksione të paautorizuara të kontabilitetit; shkelja e kufijve të kontrollit; llogaritë e humbura; gabime në përpunimin ose nxjerrjen e të dhënave; gabime në formimin ose korrigjimin e librave të referencës; llogari jo të plota; caktimi i pasaktë i regjistrave sipas periudhave; falsifikimi i të dhënave; shkelja e kërkesave të akteve rregullatore; shkelja e parimeve të politikës personale; pamjaftueshmëria e cilësisë së shërbimeve për nevojat e përdoruesve.

Veçanërisht e rrezikshme është informacioni që përbën një sekret tregtar dhe ka të bëjë me informacionin personal dhe atë të raportimit (të dhëna për partnerët, klientët, bankat, informacion analitik në lidhje me aktivitetin e tregut). Në mënyrë që ky dhe informacioni i ngjashëm të mbrohet, është e nevojshme të hartohen kontrata me punonjësit e departamentit të kontabilitetit, shërbimeve financiare dhe njësive të tjera ekonomike, duke treguar një listë të informacionit që nuk është subjekt i publicitetit.

Mbrojtja e informacionit në sistemet e automatizuara të kontabilitetit bazohet në parimet themelore vijuese.

Sigurimi i ndarjes fizike të zonave të destinuara për përpunimin e informacionit të klasifikuar dhe të paklasifikuar.

Sigurimi i mbrojtjes kriptografike të informacionit. Sigurimi i vërtetimit të pajtimtarëve dhe instalimeve të pajtimtarëve. Sigurimi i diferencimit të aksesit të subjekteve dhe proceseve të tyre në informacion. Sigurimi i vërtetimit dhe vërtetësisë së mesazheve dokumentare gjatë transmetimit të tyre përmes kanaleve të komunikimit.

Sigurimi i mbrojtjes së pajisjeve dhe mjeteve teknike të sistemit, mjediseve ku ato ndodhen, nga rrjedhja e informacionit konfidencial përmes kanaleve teknike.

Sigurimi i mbrojtjes së teknologjisë, pajisjeve, pajisjeve dhe programeve të kriptimit nga rrjedhja e informacionit përmes skedave të pajisjeve dhe programeve.

Sigurimi i kontrollit mbi integritetin e programeve dhe pjesëve të informacionit të sistemit të automatizuar.

Duke përdorur vetëm shtëpiak

Burimet shtetërore të informacionit të Federatës Ruse janë të hapura dhe të disponueshme për publikun. Përjashtim është informacioni i dokumentuar i klasifikuar nga ligji si një kategori e qasjes së kufizuar. Sipas kushteve të regjimit të tij ligjor, informacioni i dokumentuar me qasje të kufizuar ndahet në informacion të klasifikuar si sekret shtetëror dhe konfidencial. Lista e informacionit konfidenciale, në veçanti, informacioni në lidhje me aktivitetet tregtare, i vendosur nga Dekreti i Presidentit të Federatës Ruse të 6 Marsit 1997 Nr. 188 (Shtojca Nr.) Zhvillimet

Sigurimi i masave organizative dhe të sigurisë. Shtë e këshillueshme që të përdoren dhe masa shtesë për të garantuar sigurinë e komunikimit në sistem.

Organizimi i mbrojtjes së informacionit në lidhje me intensitetin, kohëzgjatjen dhe trafikun e shkëmbimit të informacionit.

Përdorimi i kanaleve dhe metodave për transmetimin dhe përpunimin e informacionit që e bëjnë përgjimin të vështirë.

Mbrojtja e informacionit nga hyrja e paautorizuar ka për qëllim formimin e tre vetive kryesore të informacionit të mbrojtur:

konfidencialiteti (informacioni i klasifikuar duhet të jetë i disponueshëm vetëm për personin për të cilin është menduar);

integriteti (informacioni mbi bazën e të cilit merren vendime të rëndësishme duhet të jetë i besueshëm, i saktë dhe i mbrojtur plotësisht nga shtrembërimet e mundshme të paqëllimshme dhe keqdashëse);

gatishmëria (informacioni dhe shërbimet përkatëse të informacionit duhet të jenë në dispozicion, të gatshëm për t'i shërbyer palëve të interesuara sa herë që paraqitet nevoja).

Metodat e sigurimit të mbrojtjes së informacionit personal janë: pengesat; kontrolli i hyrjes, maskimi, rregullimi, detyrimi, motivimi.

Një pengesë duhet të konsiderohet metoda e bllokimit fizik të rrugës së sulmuesit për informacionin e mbrojtur personal. Kjo metodë zbatohet nga sistemi i aksesit të ndërmarrjes, duke përfshirë praninë e sigurisë në hyrje të saj, duke bllokuar rrugën e personave të paautorizuar drejt departamentit të kontabilitetit, arkëtarit, etj.

Kontrolli i hyrjes është një metodë e mbrojtjes së informacionit personal dhe raportimit, e zbatuar nga:

vërtetimi - vërtetimi i vërtetësisë së një objekti ose subjekti nga identifikuesi i paraqitur prej tij (i kryer duke krahasuar identifikuesin e futur me atë të ruajtur në memorien e kompjuterit);

kontrollet e autorizimit - duke kontrolluar pajtueshmërinë e burimeve të kërkuara dhe operacionet e kryera në burimet e alokuara dhe procedurat e lejuara; regjistrimi i thirrjeve drejt burimeve të mbrojtura;

informimin dhe përgjigjen ndaj përpjekjeve për veprime të paautorizuara. (Kriptografia është një metodë e mbrojtjes duke transformuar informacionin (kriptimi)).

Në kompleksin BEST-4, diferencimi i aksesit në informacion bëhet në nivelin e nënsistemeve individuale dhe sigurohet duke vendosur fjalëkalime të ndara të hyrjes. Gjatë konfigurimit fillestar ose në çdo kohë kur punoni me programin, administratori i sistemit mund të vendosë ose ndryshojë një ose disa fjalëkalime. Fjalëkalimi kërkohet sa herë që futeni në nënsistem.

Përveç kësaj, disa module kanë sistemin e tyre të diferencimit të qasjes në informacion. Ai siguron mundësinë për të mbrojtur çdo artikull të menusë me fjalëkalime të veçanta. Ju gjithashtu mund të mbroni hyrjen në nëngrupet individuale të dokumenteve kryesore me fjalëkalime: për shembull, në AWS "Kontabiliteti i aksioneve" dhe "Kontabiliteti i mallrave dhe produkteve" ekziston një mundësi për të vendosur fjalëkalime të hyrjes në secilën depo veçmas, çdo arkë, në stacionin e automatizuar të punës "Kontabiliteti për shlyerjet me një bankë" - përdorni fjalëkalimet në secilën llogari bankare.

Veçanërisht duhet të theksohet se për të kufizuar në mënyrë efektive aksesin në informacion, para së gjithash është e nevojshme të mbrohen me fjalëkalime vetë mënyrat e përcaktimit të fjalëkalimeve për qasje në blloqe të caktuara.

Në 1C Enterprise, versioni 7.7, ekziston mbrojtja e vet e informacionit - të drejtat e hyrjes. Për të integruar dhe ndarë aksesin e përdoruesit në informacion kur punon me sistemin 1C. Një ndërmarrje në një rrjet kompjuterësh personalë, konfiguruesi i sistemit ju lejon të vendosni për secilin përdorues të drejtat për të punuar me informacionin e përpunuar sistemi Të drejtat mund të vendosen brenda një diapazoni mjaft të gjerë - nga aftësia për të parë vetëm lloje të caktuara të dokumenteve në një seri të plotë të të drejtave për futjen, shikimin, korrigjimin dhe fshirjen e çdo lloji të të dhënave.

Caktimi i të drejtave të hyrjes për një përdorues kryhet në 2 faza. Në fazën e parë, krijohen grupe standarde të të drejtave për të punuar me informacionin, të cilat, si rregull, ndryshojnë në gjerësinë e opsioneve të hyrjes të ofruara. Në fazën e dytë, përdoruesit i është caktuar një nga këto grupe tipike të të drejtave.

E gjithë puna për krijimin e grupeve standarde të të drejtave kryhet në skedën "Të drejtat" të dritares "Konfigurimi". Kjo dritare thirret në ekran duke zgjedhur artikullin "konfigurimi i hapur" nga menuja "Konfigurimi" i menusë kryesore të programit

2.2 Një grup masash për të garantuar sigurinë e të dhënave personale në sistemet bankare në internet

Arsyetimi i një sërë masash për të garantuar sigurinë e PD në ISPD kryhet duke marrë parasysh rezultatet e vlerësimit të rrezikut të kërcënimeve dhe përcaktimin e klasës së ISPD në bazë të "Masave kryesore për organizimin dhe sigurinë teknike të të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale".

Në të njëjtën kohë, duhet të përcaktohen masat për:

identifikimin dhe mbylljen e kanaleve teknike të rrjedhjeve të PD në ISPD;

mbrojtja e të dhënave personale nga qasja e paautorizuar dhe veprimet e paligjshme;

instalimi, konfigurimi dhe aplikimi i mjeteve mbrojtëse.

Masat për të identifikuar dhe mbyllur kanalet teknike të rrjedhjeve të PD në PDIS janë formuluar në bazë të një analize dhe vlerësimi të kërcënimeve ndaj sigurisë së PD.

Masat për të mbrojtur PD gjatë përpunimit të tyre në ISPD nga hyrja e paautorizuar dhe veprimet e paligjshme përfshijnë:

kontrolli i hyrjes;

regjistrimi dhe kontabiliteti;

sigurimi i integritetit;

kontrolli mbi mungesën e mundësive të padeklaruara;

mbrojtje anti-virus;

sigurimi i ndërlidhjes së sigurt të ISPDn;

analiza e sigurisë;

zbulimi i ndërhyrjeve.

Rekomandohet të zbatohet nënsistemi i kontrollit të hyrjes, regjistrimit dhe kontabilitetit në bazë të mjeteve softuerike për bllokimin e veprimeve të paautorizuara, sinjalizimin dhe regjistrimin. Këto janë speciale, nuk përfshihen në bërthamën e ndonjë sistemi operativ, softueri dhe firmware për mbrojtjen e vetë sistemeve operative, bazat e të dhënave elektronike PD dhe programet e aplikimit... Ato kryejnë funksionet e mbrojtjes në mënyrë të pavarur ose në kombinim me mjete të tjera të mbrojtjes dhe kanë për qëllim përjashtimin ose pengimin e kryerjes së veprimeve të përdoruesit ose shkelësit që janë të rrezikshëm për ISPD. Këto përfshijnë shërbime të veçanta dhe paketat e programeve kompjuterikë mbrojtje, e cila zbaton funksionet e diagnostikimit, regjistrimit, shkatërrimit, sinjalizimit dhe simulimit.

Mjetet diagnostike kryejnë testimin sistemi i skedareve dhe bazat e të dhënave PD, mbledhja e vazhdueshme e informacionit mbi funksionimin e elementeve të nënsistemit të sigurisë së informacionit.

Mjetet e shkatërrimit janë krijuar për të shkatërruar të dhënat e mbetura dhe mund të parashikojnë shkatërrimin e të dhënave emergjente në rast të një kërcënimi sulmi të paautorizuar që nuk mund të bllokohet nga sistemi.

Mjetet e sinjalizimit janë krijuar për të paralajmëruar operatorët kur ata hyjnë në PD të mbrojtura dhe për të paralajmëruar administratorin mbi zbulimin e faktit të hyrjes së paautorizuar në PD dhe fakte të tjera të shkeljes së funksionimit normal të PDIS.

Mjetet e simulimit simulojnë punën me shkelësit kur zbulojnë një përpjekje sulmi të paautorizuar për të mbrojtur PD ose softuer. Imitimi ju lejon të rrisni kohën për të përcaktuar vendin dhe natyrën e UAN, e cila është veçanërisht e rëndësishme në rrjetet e shpërndara gjeografikisht dhe të keqinformoni shkelësin në lidhje me vendndodhjen e PD-së së mbrojtur.

Nënsistemi për sigurimin e integritetit zbatohet kryesisht nga sistemet operative dhe sistemet e menaxhimit të bazës së të dhënave. Mjetet për rritjen e besueshmërisë dhe sigurimin e integritetit të të dhënave të transmetuara dhe besueshmërinë e transaksioneve, të ndërtuara në sistemet operative dhe sistemet e menaxhimit të bazës së të dhënave, bazohen në llogaritjen e shumave të kontrollit, njoftimin e dështimit në transmetimin e një pakete mesazhi dhe ritransmetimin e një pakete të pa pranuar.

Nënsistemi për monitorimin e mungesës së aftësive të padeklaruara zbatohet në shumicën e rasteve në bazë të sistemeve të menaxhimit të bazës së të dhënave, mjeteve të mbrojtjes së informacionit dhe mjeteve të mbrojtjes së informacionit anti-virus.

Për të garantuar sigurinë e PD dhe mjedisin softuer dhe harduer të ISPD që përpunon këtë informacion, rekomandohet përdorimi i mjeteve speciale mbrojtje antivirusduke kryer:

zbulimi dhe (ose) bllokimi i ndikimeve shkatërruese virale në softuerin e zbatuar në të gjithë sistemin dhe që zbaton përpunimin e PD, si dhe në PD;

zbulimi dhe heqja e viruseve të panjohura;

sigurimi i vetëkontrollit (parandalimi i infeksionit) i këtij mjeti antivirus kur lëshohet.

Kur zgjidhni mjete mbrojtëse antivirus, këshillohet të merrni parasysh faktorët e mëposhtëm:

pajtueshmëria e këtyre mjeteve me softuerin standard ISPD;

shkalla e uljes së produktivitetit të funksionimit të ISPDn për qëllimin kryesor;

disponueshmëria e mjeteve të kontrollit të centralizuar mbi funksionimin e mbrojtjes anti-virus nga vendi i punës i administratorit të sigurisë së informacionit në ISPD;

aftësia për të njoftuar menjëherë administratorin e sigurisë së informacionit në ISPD për të gjitha ngjarjet dhe faktet e shfaqjes së ndikimeve programatike dhe matematikore (PMA);

disponueshmëria e dokumentacionit të detajuar për funksionimin e mbrojtjes anti-virus;

aftësia për të testuar ose testuar në mënyrë periodike mbrojtjen anti-virus;

mundësia e rritjes së përbërjes së mjeteve të mbrojtjes kundër PMA me mjete të reja shtesë pa kufizime të konsiderueshme në efikasitetin e ISPD dhe "konfliktit" me llojet e tjera të mjeteve të mbrojtjes.

Një përshkrim i procedurës për instalimin, konfigurimin, konfigurimin dhe administrimin e mjeteve të mbrojtjes anti-virus, si dhe procedurën për veprimet në rast të zbulimit të faktit të një sulmi virusi ose shkelje të tjera të kërkesave për mbrojtje nga ndikimet programatike dhe matematikore, duhet të përfshihen në manualin e administratorit të sigurisë së informacionit në ISPDN.

Për të zbatuar caktimin e kufijve të hyrjes në burimet ISPD gjatë punimit në internet, përdoret mbrojtja e zjarrit, e cila zbatohet nga programet kompjuterike dhe softuerët dhe firewall-et e pajisjeve (ME). Një firewall është instaluar midis rrjetit të mbrojtur, i quajtur rrjeti i brendshëm dhe rrjetit të jashtëm. Firewall është pjesë e rrjetit të mbrojtur. Për të, përmes cilësimeve, vendosen veçmas rregulla që kufizojnë hyrjen nga rrjeti i brendshëm në atë të jashtëm dhe anasjelltas.

Për të siguruar ndërlidhje të sigurt në ISPDN të klasave 3 dhe 4, rekomandohet të përdorni ME të paktën nivelin e pestë të sigurisë.

Për të siguruar ndërlidhje të sigurt në ISPD të klasit 2, rekomandohet të përdorni ME të paktën të nivelit të katërt të sigurisë.

Për të siguruar ndërlidhje të sigurt në ISPD të klasës 1, rekomandohet të përdorni një ME të paktën të nivelit të tretë të sigurisë.

Nënsistemi i analizës së sigurisë zbatohet bazuar në përdorimin e mjeteve të testimit (analizës së sigurisë) dhe kontrollit të sigurisë së informacionit (auditimit).

Mjetet e analizës së sigurisë përdoren për të kontrolluar cilësimet e mbrojtjes së sistemeve operative në stacionet e punës dhe serverat dhe lejojnë vlerësimin e mundësisë së ndërhyrës që kryejnë sulme ndaj pajisjeve të rrjetit, kontrollojnë sigurinë e softverit. Për ta bërë këtë, ata hetojnë topologjinë e rrjetit, kërkojnë lidhje të pasigurta ose të paautorizuara të rrjetit dhe kontrollojnë cilësimet e firewall. Një analizë e tillë kryhet bazuar në përshkrimet e hollësishme të dobësive në cilësimet e sigurisë (për shembull, çelsat, routerët, muret e zjarrit) ose dobësitë në sistemet operative ose softuerin e aplikimit. Rezultati i funksionimit të mjetit të analizës së sigurisë është një raport që përmbledh informacionin në lidhje me dobësitë e zbuluara.

Detektorët e cenueshmërisë mund të veprojnë në shtresën e rrjetit (në këtë rast, ata quhen "të bazuar në rrjet"), sistemin operativ ("të bazuar në host") dhe aplikacionin ("të bazuar në aplikacion"). Duke përdorur softuerin e skanimit, mund të hartoni shpejt një hartë të të gjitha nyjeve të disponueshme ISPD, të identifikoni shërbimet dhe protokollet e përdorura në secilën prej tyre, të përcaktoni cilësimet e tyre themelore dhe të bëni supozime për gjasat e zbatimit të një NSD.

Bazuar në rezultatet e skanimit të sistemit, zhvillohen rekomandime dhe masa për të eliminuar mangësitë e identifikuara.

Sistemet e zbulimit të ndërhyrjeve përdoren në interesin e identifikimit të kërcënimeve të zbulimit të ndërhyrjeve përmes ndërlidhjes. Sisteme të tilla janë ndërtuar duke marrë parasysh veçoritë e zbatimit të sulmeve, fazat e zhvillimit të tyre dhe bazohen në një numër metodash për zbulimin e sulmeve.

Ekzistojnë tre grupe të metodave të zbulimit të sulmit:

metodat e nënshkrimit;

metodat për zbulimin e anomalive;

metoda të kombinuara (duke përdorur së bashku algoritme të përcaktuara në nënshkrimin dhe metodat e zbulimit të anomalisë).

Për të zbuluar ndërhyrjet në ISPDN të klasave 3 dhe 4, rekomandohet përdorimi i sistemeve të zbulimit të sulmeve në rrjet duke përdorur metoda të analizës së nënshkrimeve.

Për të zbuluar ndërhyrjet në ISPD të klasës 1 dhe 2, rekomandohet përdorimi i sistemeve të zbulimit të sulmeve në rrjet që përdorin metoda të zbulimit të anomalisë së bashku me metodat e analizës së nënshkrimeve.

Për të mbrojtur të dhënat personale nga rrjedhjet përmes kanaleve teknike, masat organizative dhe teknike përdoren për të eleminuar rrjedhjet e akustikës (të folurit), informacionit të specieve, si dhe rrjedhjes së informacionit për shkak të rrezatimit elektromagnetik anësor dhe ndërhyrjeve.

Si përfundim mbi kapitullin e dytë të punës, nxjerrim përfundimet e mëposhtme. Mbrojtja e informacionit personal është gjendja e mbrojtjes së informacionit dhe infrastrukturës së tij mbështetëse nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale, të mbushura me dëmtim të pronarëve ose përdoruesve të këtij informacioni. Objektet e sigurisë së informacionit në kontabilitet janë përcaktuar: burimet e informacionit që përmbajnë informacion të klasifikuar si sekret tregtar dhe mjetet dhe sistemet informatizimi. Metodat kryesore të përdorura në kuadrin e mbrojtjes së informacionit janë: zbulimi dhe mbrojtja direkte.

P CONRFUNDIM

Problemi i sigurisë së informacionit të objekteve ekonomike është shumëplanësh dhe kërkon studim të mëtejshëm.

Në botën moderne, informatizimi po bëhet një burim strategjik kombëtar, një nga pasuritë kryesore të një shteti të zhvilluar ekonomikisht. Përmirësimi i shpejtë i informatizimit në Rusi, depërtimi i tij në të gjitha sferat e interesave jetësore të individit, shoqërisë dhe shtetit solli, përveç avantazheve të padyshimta, shfaqjen e një numri problemesh të rëndësishme. Njëra prej tyre ishte nevoja për të mbrojtur informacionin. Duke marrë parasysh që aktualisht potenciali ekonomik përcaktohet gjithnjë e më shumë nga niveli i zhvillimit të infrastrukturës së informacionit, cenueshmëria e mundshme e ekonomisë ndaj ndikimeve të informacionit po rritet proporcionalisht.

Zbatimi i kërcënimeve të sigurisë së informacionit është shkelja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Nga pikëpamja e një qasje sistematike për mbrojtjen e informacionit, është e nevojshme të përdoret i gjithë arsenali i mjeteve të mbrojtjes në dispozicion në të gjitha elementet strukturorë të një objekti ekonomik dhe në të gjitha fazat e ciklit teknologjik të përpunimit të informacionit. Metodat dhe mjetet e mbrojtjes duhet të bllokojnë në mënyrë të besueshme mënyrat e mundshme të qasjes së paligjshme në sekretet e mbrojtura. Efektiviteti i sigurisë së informacionit do të thotë që kostot e zbatimit të tij nuk duhet të tejkalojnë humbjet e mundshme nga zbatimi i kërcënimeve të informacionit. Planifikimi i sigurisë së informacionit realizohet përmes zhvillimit të planeve të hollësishme të sigurisë së informacionit nga secili shërbim. Nevojitet qartësi në ushtrimin e kompetencave dhe të drejtave të përdoruesve për të hyrë në lloje të caktuara të informacionit, në sigurimin e kontrollit të pajisjeve mbrojtëse dhe reagimin e menjëhershëm ndaj dështimit të tyre.

LISTA E REFERENCAVE

1.Teknologjitë e automatizuara të informacionit në bankë / bot. prof. G.A. Titorenko. - M.: Finstatinform, 2007

2.Teknologjitë e automatizuara të informacionit në ekonomi / Ed. prof. G.A. Titorenko. - M.: UNITI, 2010

.Ageev A.S. Organizimi dhe metodat moderne të mbrojtjes së informacionit. - M.: Shqetësimi "Banka. Qendra e Biznesit", 2009

.Adzhiev V. Mitet e sigurisë së softverit: Mësime nga katastrofat e famshme. - Sisteme të hapura, 199. №6

.Alekseev dhe V.I. Siguria e informacionit e komunave. - Voronezh: Shtëpia botuese e VSTU, 2008.

.Alekseev, V.M. Kriteret ndërkombëtare për vlerësimin e sigurisë së teknologjisë së informacionit dhe zbatimin praktik të tyre: Teksti shkollor. - Penza: Shtëpia botuese Penz. shtet universitet, 2002

.Alekseev, V.M. Mbështetje rregullatore për mbrojtjen e informacionit nga hyrja e paautorizuar. - Penza: Shtëpia botuese e Penz. shtet universitet, 2007

.Alekseev, V.M. Garantimi i sigurisë së informacionit në zhvillimin e softuerit. - Penza: Shtëpia botuese Penz. shtet universitet, 2008

.Aleshin, L.I. Mbrojtja e informacionit dhe siguria e informacionit: Kurs leksionesh nga L. I. Aleshin; Moska shtet un-t e kulturës. - M.: Mosk. shtet Universiteti i Kulturës, 2010

.Akhramenka, N.F. dhe të tjerët.Krimi dhe Ndëshkimi në Sistemin e Pagesave me Dokumente Elektronike // Menaxhimi i Sigurisë së Informacionit, 1998

.Bankat dhe operacionet bankare. Libër shkollor / Ed. E.F. Zhukov. - M.: Bankat dhe bursat, UNITI, 2008

.Barsukov, V.S. Siguria: teknologjitë, mjetet, shërbimet. - M.: Kudits - Image, 2007

.Baturin, Yu.M. Problemet e së drejtës kompjuterike. - M.: Jurid. lit., 1991

.Baturin, Yu.M. Krimi kompjuterik dhe siguria e kompjuterit. M.: Jur. Lit., 2009

.Bezrukov, N.N. Hyrje në virologjinë kompjuterike. Parimet e përgjithshme të funksionimit, klasifikimi dhe katalogu i viruseve më të zakonshëm në M5-005. K., 2005

.Bykov, V.A. Biznes elektronik dhe siguri / V. A. Bykov. - M.: Radioja dhe komunikimi, 2000

.Varfolomeev, A.A. Siguria e informacionit. Themelet matematikore të kriptologjisë. Pjesa 1. - Moskë: MEPhI, 1995

.Vekhov, V.B. Krimet kompjuterike: Metodat e kryerjes dhe zbulimit. - M.: Ligji dhe Ligji, 1996

.Volobuev, S.V. Hyrje në sigurinë e informacionit. - Obninsk: Obn. Instituti i Energjisë Atomike, 2001

.Volobuev, S.V. Siguria e informacionit sisteme të automatizuara... - Obninsk: Obn. Instituti i Energjisë Atomike, 2001

.Konferencë shkencore-praktike gjithë-ruse "Siguria e informacionit në sistemin e arsimit të lartë", 28-29 nëntor. 2000, NSTU, Novosibirsk, Rusi: IBVSh 2000. - Novosibirsk, 2001

23.Galatenko, V.A. Siguria e informacionit: Një qasje praktike V. A. Galatenko; Ed. VB Betelin; U rrit. akad Shkencave, Nauchn.-lëshuar. Instituti i Sistemeve. lëshuar. - M.: Nauka, 1998

.Galatenko, VA .. Bazat e sigurisë së informacionit: Një kurs leksionesh. - M.: Informoni Internet-Un-t. teknologjitë, 2003

.Gennadieva, E.G. Bazat teorike të shkencës kompjuterike dhe sigurisë së informacionit. - M.: Radioja dhe komunikimi, 2000

.Geek, Sebastian Narchis. Fshehja e informacionit në skedarët grafikë të formatit BMP Dis. ... Cand. teknike Shkencat: 05.13.19 - SPb., 2001

.Gika, S.N. Fshehja e informacionit në skedarët grafikë të formatit BMP: Avtoref. dis ... Cand. teknike Shkencat: 05.13.19 S.-Petersburg. shtet in-t toch. mekanika dhe optika. - SPb., 2001

.Golubev, V.V. Menaxhimi i sigurisë. - Shën Petersburg: Pjetër, 2004

.Gorbatov, V.S. Siguria e informacionit. Themelet e mbrojtjes ligjore. - M.: MEPhI (TU), 1995

.Gorlova, I.I., bot. Liria e informacionit dhe siguria e informacionit: Materiale të ndërkombëtarëve. shkencore Konf., Krasnodar, 30-31 tetor. 2001 - Krasnodar, 2001

.Greensberg, A.S. dhe Mbrojtja tjetër e burimeve të informacionit të administratës publike. - M.: UNITI, 2003

.Siguria e informacionit e Rusisë në kontekstin e shoqërisë globale të informacionit "INFORUM-5": Sht. materiale të 5-të Rusisht. Konf., Moskë, 4-5 shkurt 2003 - M.: OOO Ed. zhurn Biznesi dhe Siguria e Rusisë, 2003

.Siguria e informacionit: Sht. metoda materiale M-në arsim Ros. Federata [dhe të tjerët]. - M.: TSNIIATOMINFORM, 2003

34.Teknologjia e informacionit // Ekonomia dhe Jeta. Nr. 25, 2001

35.Teknologjitë e informacionit në marketing: Libër mësuesi për universitetet. - Moskë: 2003

.Teknologjitë e informacionit në ekonomi dhe menaxhim: Libër mësuesi / Kozyrev A.A. - M.: Shtëpia botuese e Mikhailov V.A., 2005

.Lopatin, V.N. Siguria e informacionit e Rusisë Dis. ... Dr. juridik. Shkencat: 12.00.01

.Lukashin, V.I. Siguria e informacionit. - M.: Mosk. shtet Universiteti i Ekonomisë, Statistikës dhe Informatikës

.Luchin, I.N., Zheldakov A.A., Kuznetsov N.A. Mbrojtja e thyerjes së fjalëkalimit // Informatizimi i sistemeve të zbatimit të ligjit. M., 1996

.McClar, Stuart. Hacking Web. Sulmet dhe Mbrojtja Stuart McClar, Saumil Shah, Srirai Shah. - M.: Williams, 2003

.Malyuk, A.A. Bazat teorike të zyrtarizimit të vlerësimit parashikues të nivelit të sigurisë së informacionit në sistemet e përpunimit të të dhënave. - M.: MEPhI, 1998 SPb., 2000

.Efikasiteti ekonomik i sistemeve të sigurisë së informacionit. P. Chebotar - Akademia Ekonomike e Moldavisë, 2003

.Yakovlev, V.V. Siguria e informacionit dhe mbrojtja e informacionit në rrjetet e korporatave të transportit hekurudhor. - M., 2002

.Yarochkin, V.I. Siguria e informacionit. - M.: Mir, 2003

.Yarochkin, V.I. Siguria e informacionit. - M.: Fondi "Mir", 2003: Akad. Projekti

.Yasenev, V.N. Sistemet e automatizuara të informacionit në ekonomi dhe garantimi i sigurisë së tyre: Libër mësuesi. - N. Novgorod, 2002

Punime të ngjashme me - Mbrojtja e të dhënave personale në sistemet bankare në internet

Dokumente të ngjashme

Baza ligjore për mbrojtjen e të dhënave personale. Klasifikimi i kërcënimit të sigurisë së informacionit. Baza e të dhënave personale. Pajisja LAN e ndërmarrjes dhe kërcënimet. Mbrojtja themelore e programeve dhe pajisjeve kompjuterike. Politika themelore e sigurisë.

teza, shtuar më 06/10/2011


Parakushtet për krijimin e një sistemi të sigurisë së të dhënave personale. Kërcënimet e sigurisë së informacionit. Burimet e hyrjes së paautorizuar në ISPD. Pajisja e sistemeve të informacionit të të dhënave personale. Mjetet e sigurisë së informacionit. Politika e sigurisë.

punim afatgjatë shtuar më 10/07/2016


Analiza e strukturës së një sistemi informacioni të shpërndarë dhe të dhënave personale të përpunuara në të. Përzgjedhja e masave dhe mjeteve themelore për të garantuar sigurinë e të dhënave personale nga kërcënimet aktuale. Përcaktimi i kostove të krijimit dhe mirëmbajtjes së projektit.

teza, shtuar më 07/01/2011


Sistemi i kontrollit të hyrjes në ndërmarrje. Analiza e informacionit të përpunuar dhe klasifikimi i ISPD. Zhvillimi i një modeli të kërcënimeve ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit të të dhënave personale të SHDSH OJSC "MMZ".

teza, shtuar 04/11/2012


Përshkrimi i zgjidhjeve kryesore teknike për pajisjen e sistemit të informacionit për të dhënat personale që ndodhet në dhomën e kompjuterit. Nënsistemi i mbrojtjes anti-virus. Masat për t'u përgatitur për prezantimin e mjeteve të sigurisë së informacionit.

letër afati e shtuar 30.09.2013


Konfidencialiteti dhe siguria e informacionit të dokumentuar. Llojet e të dhënave personale të përdorura në aktivitetet e organizatës. Zhvillimi i legjislacionit në fushën e sigurimit të mbrojtjes së tyre. Metodat për të siguruar sigurinë e informacionit të Federatës Ruse.

prezantimi shtuar më 15/11/2016


Analiza e rrezikut të sigurisë së informacionit. Vlerësimi i mjeteve juridike ekzistuese dhe të planifikuara. Një grup masash organizative për të garantuar sigurinë e informacionit dhe mbrojtjen e informacionit të ndërmarrjes. Rasti i testimit të zbatimit të projektit dhe përshkrimi i tij.

teza, shtuar më 12/19/2012


Dokumente normative ligjore në fushën e sigurisë së informacionit në Rusi. Analiza e kërcënimeve ndaj sistemeve të informacionit. Karakteristikat e organizimit të sistemit të mbrojtjes së të dhënave personale të klinikës. Zbatimi i një sistemi vërtetimi duke përdorur çelësat elektronikë.

teza, shtuar më 10/31/2016


Informacione të përgjithshme për aktivitetet e ndërmarrjes. Objekte të sigurisë së informacionit në ndërmarrje. Masat dhe mjetet e sigurisë së informacionit. Kopjimi i të dhënave në media të lëvizshme. Instalimi i një serveri të brendshëm rezervë. Efektiviteti i përmirësimit të sistemit të sigurisë së informacionit.

provë, shtuar më 08/29/2013


Kërcënimet kryesore për informacionin. Konceptet, metodat dhe mënyrat e sigurimit të mbrojtjes së të dhënave. Kërkesat për sistemin e mbrojtjes. Një mekanizëm autorizimi në bazën e informacionit për të përcaktuar llojin e përdoruesit. Puna e administratorit me sistemin e sigurisë.