contrôle de la mise en œuvre des règles nécessaires. Liste de la littérature utilisée :
1. Loi fédérale "sur les banques et les activités bancaires"
2. www.Grandars.ru [Ressource électronique] Mode d'accès : http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Date d'accès : 05/05/2016)
3. In-bank.ru [Ressource électronique] Mode d'accès : http://journal.ib-bank.ru/post/411 (Date d'accès : 05.05.2016)
Khlestova Daria Robertovna
E-mail: [email protégé]
CARACTÉRISTIQUES DE LA PROTECTION DES DONNÉES PERSONNELLES DANS LA SPHÈRE BANCAIRE
annotation
Cet article traite des caractéristiques de la protection des données personnelles des clients dans le secteur bancaire. Un certain nombre d'actes juridiques normatifs sont répertoriés, sur la base desquels un système de traitement et de protection des données personnelles dans une banque devrait être construit. A mis en évidence une liste de mesures pour organiser la sécurité des données dans les établissements bancaires.
Mots clés
Données personnelles, sécurité dans les banques, sécurité de l'information,
protection des renseignements personnels
La protection des données personnelles à l'ère des technologies de l'information est devenue particulièrement pertinente. Il existe de plus en plus de cas où des cybercriminels accèdent à des informations confidentielles en attaquant les systèmes d'information des organisations. Sans aucun doute, les attaques ne contournent pas non plus le secteur bancaire. Étant donné que les systèmes bancaires contiennent un grand nombre de données personnelles des clients, leur sécurité devrait être étroitement surveillée par l'État et les propriétaires d'établissements de crédit et financiers eux-mêmes.
Pour commencer, il convient de déterminer quel type de données personnelles d'une personne peut devenir accessible à la banque si elle devient son client. Donc, c'est obligatoire : nom, prénom et patronyme ; Date et lieu de naissance; citoyenneté; lieu d'enregistrement et résidence effective; toutes les données du passeport (série, numéro, quand et par qui le document a été délivré); numéro de portable et téléphone fixe; lieu de travail, poste. Dans la plupart des cas, les institutions demandent à la personne, et Information additionnelle, mais même sans elle, la liste des données qu'une personne fait confiance à la banque est impressionnante. Bien entendu, le client espère que ses données personnelles seront protégées de manière fiable pendant le traitement et le stockage.
Afin que les établissements de crédit et financiers puissent organiser efficacement un système de traitement et de protection des données personnelles, il est nécessaire de dresser une liste d'actes juridiques réglementaires sur lesquels la banque doit s'appuyer lorsqu'elle travaille avec les données personnelles des clients : La Constitution de la Fédération de Russie est le document le plus important du pays ; Code du travail de la Fédération de Russie ; Code civil et code pénal de la Fédération de Russie ; Loi fédérale n° 152 « sur les données personnelles » ; loi fédérale n° 149 "sur
l'information, les technologies de l'information et la protection de l'information » ; Loi fédérale n° 395-1 « sur les banques et les activités bancaires ». De plus, dans les banques, lors de la création d'un système de traitement et de stockage des données personnelles, un certain nombre de documents locaux sont créés, offrant un contrôle supplémentaire sur le travail avec les données.
Organisation bancaire dès réception de ses données personnelles d'un client, il s'engage à prendre toutes les mesures organisationnelles et techniques pour protéger les informations qui lui sont confiées contre les accès non autorisés (accidentels ou intentionnels), blocage, modification, destruction et autres actions illégales. Il convient de souligner un certain nombre de mesures pour une organisation de qualité du traitement et de la protection des données à caractère personnel dans les banques : désignation des personnes chargées du traitement et de la sécurité des données dans le système d'information de la banque ; mise en place de mesures de contrôle et familiarisation des employés avec le cadre réglementaire et les documents internes pertinents sur lesquels repose le système de sécurité des données de la banque ; identification des menaces lors du traitement des données personnelles dans la banque et mesures pour les contrer ; évaluation de l'efficacité des mesures organisationnelles et techniques appliquées pour assurer la protection des données, avant la mise en œuvre du système de protection ; comptabilisation de toutes les machines porteuses de données personnelles ; établissement de règles d'accès au système de traitement et de protection des salariés ; en cas de détection d'un accès non autorisé aux données protégées, prendre des mesures pour éliminer la menace et restaurer les données perdues. Et une mesure obligatoire pour les banques disposant d'un système d'exploitation pour le stockage et la protection des données personnelles des clients est la surveillance et l'amélioration constantes du système de sécurité.
Ainsi, il convient de noter que le traitement, le stockage et la protection des données personnelles dans les banques doivent être effectués sur la base des conditions déterminées par le cadre réglementaire de la Fédération de Russie. Chaque établissement financier doit : respecter le principe de légalité lorsqu'il organise la protection des données personnelles de ses clients ; mettre en œuvre une gamme complète de mesures pour la protection des données organisationnelles et techniques ; lors de la création de documents locaux liés à la sécurité de l'information, s'appuyer sur les meilleures pratiques russes et internationales en la matière ; remplir toutes les exigences des autorités réglementaires (FSTEC, Roskomnadzor, FSB) pour assurer la protection des données personnelles du client.
Liste de la littérature utilisée :
1. Khlestova D.R., Popov K.G. « Sur la question des aspects juridiques de la protection des données personnelles »
2. Loi fédérale "sur les banques et les activités bancaires"
3. Banque de Russie [Ressource électronique] Mode d'accès : http://www.cbr.ru/ (Date d'accès : 06/05/2016)
© Khlestova D.R., Popov K.G., 2016
Khlestova Daria Robertovna
Étudiant en 2ème année de l'IUBP BashSU, Ufa, RF [email protégé] Popov Kirill Gennadievich Candidat en sciences économiques, Professeur agrégé du Département de la sécurité de l'information, Bashkir State University, Ufa, RF
E-mail: [email protégé]
L'INTELLIGENCE ÉCONOMIQUE COMME MÉTHODE LA PLUS LÉGALE D'OBTENTION D'INFORMATIONS
annotation
L'article traite des méthodes de l'intelligence d'affaires. Cela explique aussi pourquoi la business intelligence est une activité légale en entreprise. Des principes de base mis en évidence à respecter,
Documents similaires
Base légale pour la protection des données personnelles. Classification des menaces à la sécurité de l'information. Base de données personnelles. Périphérique LAN d'entreprise et menaces. Protection logicielle et matérielle de base pour les ordinateurs personnels. Politique de sécurité de base.
thèse, ajoutée le 10/06/2011
Prérequis à la création d'un système de sécurité des données personnelles. Menaces à la sécurité de l'information. Sources d'accès non autorisé à l'ISPD. Le dispositif des systèmes d'information de données personnelles. Outils de sécurité de l'information. Politique de sécurité.
dissertation ajoutée le 10/07/2016
Analyse de la structure d'un système d'information distribué et des données personnelles qui y sont traitées. Sélection de mesures et de moyens de base pour assurer la sécurité des données personnelles contre les menaces actuelles. Détermination des coûts pour la création et le soutien du projet.
thèse, ajoutée le 01/07/2011
Système de contrôle et de gestion des accès dans l'entreprise. Analyse des informations traitées et classification des ISPD. Développement d'un modèle de menaces à la sécurité des données personnelles lors de leur traitement dans le système d'information des données personnelles de l'ACS OJSC "MMZ".
thèse, ajoutée le 11/04/2012
Description des principales solutions techniques pour équiper le système d'information sur les données personnelles situé dans la salle d'informatique. Sous-système protection antivirus... Mesures pour préparer l'introduction d'outils de sécurité de l'information.
dissertation ajoutée le 30/09/2013
Confidentialité et sécurité des informations documentées. Types de données personnelles utilisées dans les activités de l'organisation. Développement de la législation dans le domaine de la garantie de leur protection. Méthodes pour assurer la sécurité de l'information de la Fédération de Russie.
présentation ajoutée le 15/11/2016
Analyse des risques liés à la sécurité de l'information. Évaluation des remèdes existants et prévus. Un ensemble de mesures organisationnelles pour assurer la sécurité des informations et la protection des informations d'entreprise. Cas test de mise en œuvre du projet et sa description.
thèse, ajoutée le 19/12/2012
Documents réglementaires dans le domaine de la sécurité de l'information en Russie. Analyse des menaces sur les systèmes d'information. Caractéristiques de l'organisation du système de protection des données personnelles de la clinique. Mise en place d'un système d'authentification par clés électroniques.
thèse, ajoutée le 31/10/2016
informations générales sur les activités de l'entreprise. Objets de sécurité de l'information dans l'entreprise. Mesures et moyens de protection des informations. Copie de données sur un support amovible. Installation d'un serveur de sauvegarde interne. L'efficacité de l'amélioration du système de sécurité de l'information.
test, ajouté 29/08/2013
Les principales menaces à l'information. Concepts, méthodes et moyens d'assurer la protection des données. Exigences pour le système de protection. Mécanisme d'autorisation dans base d'informations pour déterminer le type d'utilisateur. Travail de l'administrateur avec le système de sécurité.
INTRODUCTION
Pertinence. Dans le monde moderne, l'information devient une ressource stratégique, l'une des principales richesses d'un État économiquement développé. L'amélioration rapide de l'informatisation en Russie, sa pénétration dans toutes les sphères des intérêts vitaux de l'individu, de la société et de l'État, ainsi que des avantages incontestables, ont provoqué l'émergence d'un certain nombre de problèmes importants. L'un d'eux était la nécessité de protéger l'information. Étant donné qu'à l'heure actuelle, le potentiel économique est de plus en plus déterminé par le niveau de développement de la structure de l'information, la vulnérabilité potentielle de l'économie aux influences de l'information augmente proportionnellement.
Diffusion systèmes informatiques, les combiner dans des réseaux de communication augmente les possibilités de pénétration électronique dans ceux-ci. Le problème de la criminalité informatique dans tous les pays du monde, quelle que soit leur situation géographique, rend nécessaire d'attirer de plus en plus l'attention et les forces du public pour organiser la lutte contre ce type de criminalité. Les délits dans les systèmes bancaires automatisés et le commerce électronique sont particulièrement répandus. Selon des données étrangères, les pertes dans les banques à la suite de délits informatiques s'élèvent à plusieurs milliards de dollars par an. Bien que le niveau d'introduction des dernières technologies de l'information dans la pratique en Russie ne soit pas si important, les crimes informatiques se font chaque jour de plus en plus sentir, et la protection de l'État et de la société contre eux est devenue une tâche ardue pour les autorités compétentes. .
Personne ne doute de la pertinence de la question de la protection des données personnelles. Tout d'abord, cela est dû au délai déterminé pour mettre les systèmes d'information sur les données personnelles (ISPD) conformément à la loi fédérale du 27 juillet 2006 n° 152-FZ « sur les données personnelles ». Cette échéance approche inexorablement, et dans le même temps la complexité évidente de remplir les exigences des documents réglementaires des régulateurs provoque de nombreux litiges et interprétations ambiguës. Dans le même temps, la nature fermée de certains documents d'orientation, leur statut juridique non défini, ainsi qu'un certain nombre d'autres questions, ne contribuent pas à la solution du problème. Tout cela crée une situation où le cadre réglementaire n'est pas définitivement déterminé, et il est nécessaire de se conformer aux exigences de la législation dès maintenant.
Mai 2009, la première réunion a eu lieu groupe de travail sur la question des données personnelles à l'ARB. Lors de l'événement, au cours d'une discussion ouverte, les domaines problématiques qui préoccupent la communauté bancaire ont été clairement identifiés. Fondamentalement, ils concernaient précisément la protection technique des données personnelles et l'interaction future entre les institutions financières et le FSTEC. Des représentants de la Banque de Russie ont annoncé dans leur discours les meilleures pratiques en matière d'organisation de la mise en œuvre de la loi « sur les données personnelles ». Fondamentalement nouvelles et importantes sont les tentatives de la Banque de Russie de trouver un compromis avec les régulateurs en termes de formulation les pré-requis techniques pour la communauté bancaire. Je voudrais souligner en particulier l'activité de la Banque centrale de la Fédération de Russie en collaboration avec le FSTEC de Russie. Compte tenu de l'énorme masse de difficultés rencontrées pour satisfaire aux exigences des directives du FSTEC, la Banque de Russie a décidé de préparer ses propres documents (projets de documents), qui sont actuellement coordonnés avec le FSTEC. On peut supposer que la probabilité d'une nouvelle norme de l'industrie pour les institutions financières sur les données personnelles est élevée.
L'objectif du cours est d'étudier les moyens de protéger les données personnelles dans les systèmes bancaires en ligne.
Pour atteindre l'objectif, les tâches suivantes ont été résolues :
étude des approches, principes de base de la sécurité ;
détermination des méthodes et moyens d'assurer la sécurité;
identification des caractéristiques permettant d'assurer la sécurité des données personnelles dans les systèmes bancaires en ligne ;
développement de mesures pour assurer la sécurité des données personnelles dans les systèmes bancaires en ligne.
L'objet de l'étude est les systèmes d'information bancaire.
Le sujet de la recherche est la sécurité des informations personnelles dans les systèmes bancaires en ligne.
La base théorique et méthodologique de la recherche était les dispositions théoriques, le travail de scientifiques, la recherche de spécialistes sur les questions de fourniture d'informations.
La base méthodologique du cours était une approche systématique de l'étude des problèmes de sécurité.
Analyses logiques, juridiques comparatives, systémiques utilisées. De plus, la méthode d'analyse structurale utilisée permet d'étudier avec la rigueur nécessaire les composantes individuelles du phénomène à l'étude et d'analyser les relations de ces éléments entre eux, ainsi qu'avec l'ensemble général.
1. Aspects théoriques de la protection des données personnelles dans les systèmes bancaires en ligne
1.1 Démarches, principes de sécurité
La sécurité des systèmes d'information s'entend comme les mesures qui protègent le système d'information d'interférences accidentelles ou délibérées dans ses modes de fonctionnement.
Il existe deux approches fondamentales de la sécurité informatique.
Le premier d'entre eux est fragmenté, dans son cadre, il y a une orientation vers la lutte contre des menaces strictement définies sous certaines conditions (par exemple, des outils antivirus spécialisés, des outils de chiffrement autonomes, etc.). L'approche présente à la fois des avantages - impliquant un niveau élevé de sélectivité par rapport à un problème bien défini, et des inconvénients - impliquant une protection fragmentée - c'est-à-dire éléments strictement définis.
Le processus de gestion de la sécurité de l'information comprend les composants illustrés à la Fig. un.
La seconde approche est systémique, sa particularité est que dans son cadre, la protection de l'information est traitée à plus grande échelle - un environnement protégé de traitement, de stockage et de transmission de l'information est créé, combinant des méthodes et des moyens hétérogènes de contrer les menaces : logiciels et matériels , juridiques, organisationnels et économiques. Grâce à l'environnement sécurisé spécifié, un certain niveau de sécurité du système d'information automatisé peut être garanti.
Une approche systématique de la protection de l'information repose sur les principes méthodologiques suivants :
objectif final - la priorité absolue de l'objectif final (global) ;
unité - considération conjointe du système dans son ensemble "et comme un ensemble de parties (éléments);
connectivité - en considérant n'importe quelle partie du système ainsi que ses connexions avec l'environnement ;
construction modulaire - allocation de modules dans le système et le considérer comme un ensemble de modules;
hiérarchies - introduction d'une hiérarchie de parties (éléments) et de leur classement ;
fonctionnalité - considération conjointe de la structure et de la fonction avec la priorité de la fonction sur la structure ;
développement - en tenant compte de la variabilité du système, de sa capacité à développer, étendre, remplacer des pièces, accumuler des informations;
décentralisation - une combinaison de centralisation et de décentralisation dans la prise de décision et la gestion ;
incertitude - prise en compte des incertitudes et des accidents dans le système.
Les chercheurs modernes distinguent les éléments méthodologiques suivants,
principes d'organisation et de mise en œuvre de la sécurité de l'information (y compris informatique).
Le principe de légalité. Consiste à suivre la législation en vigueur dans le domaine de la sécurité de l'information.
Le principe d'incertitude naît de l'ambiguïté du comportement du sujet, c'est-à-dire qui, quand, où et comment peut violer la sécurité de l'objet protégé.
Le principe de l'impossibilité de créer un système de protection idéal. Il découle du principe d'incertitude et de ressources limitées de ces fonds.
Les principes de risque minimum et de dommage minimum découlent de l'impossibilité de créer un système de protection idéal. Conformément à celui-ci, il est nécessaire de prendre en compte les conditions spécifiques d'existence de l'objet de la protection à tout moment.
Le principe du temps de sécurité Il s'agit de prendre en compte le temps absolu, c'est-à-dire pendant laquelle il faut conserver les objets de protection ; et le temps relatif, c'est-à-dire l'intervalle de temps à partir du moment où les actions malveillantes sont détectées jusqu'à ce que l'attaquant atteigne l'objectif.
Le principe de "protection de tous contre tous". Elle implique l'organisation de mesures de protection contre toutes les formes de menaces aux objets de protection, ce qui est une conséquence du principe d'incertitude.
Principes de responsabilité personnelle. Il assume la responsabilité personnelle de chaque employé de l'entreprise, de l'institution et de l'organisme du respect du régime de sécurité dans le cadre de ses pouvoirs, devoirs fonctionnels et instructions en vigueur.
Le principe de limitation des pouvoirs implique la limitation des pouvoirs du sujet à se familiariser avec les informations qui ne nécessitent pas d'accès pour l'exercice normal de ses fonctions fonctionnelles, ainsi que l'introduction d'une interdiction d'accès aux objets et zones qui ne sont pas requis par la nature de l'activité.
Le principe d'interaction et de coopération. En interne, il s'agit de cultiver une relation de confiance entre les collaborateurs en charge de la sécurité (y compris la sécurité de l'information) et le personnel. Dans la manifestation externe - l'établissement d'une coopération avec toutes les organisations et individus intéressés (par exemple, les organismes chargés de l'application des lois).
Le principe de complexité et d'individualité Il implique l'impossibilité d'assurer la sécurité de l'objet protégé par une seule mesure, mais seulement par un ensemble de mesures complexes, interdépendantes et redondantes, mises en œuvre avec une référence individuelle à des conditions spécifiques.
Le principe des lignes de sécurité séquentielles.Il implique la notification le plus tôt possible d'une atteinte à la sécurité d'un objet particulier de protection ou d'un autre incident défavorable afin d'augmenter la probabilité qu'une alerte précoce des équipements de protection fournisse aux employés chargés de la sécurité les possibilité de déterminer la cause de l'alarme à temps et d'organiser des contre-mesures efficaces.
Les principes de force égale et de puissance égale des lignes de défense. Une force égale implique l'absence de zones non protégées dans les lignes de défense. Une puissance égale suppose une quantité relativement égale de protection des lignes de protection en fonction du degré de menace pour l'objet protégé.
Les modalités permettant d'assurer la protection des informations dans l'entreprise sont les suivantes :
L'obstacle est une méthode permettant de bloquer physiquement le chemin de l'attaquant vers les informations protégées (vers l'équipement, les supports de stockage, etc.).
Le contrôle d'accès est une méthode de protection des informations en régulant l'utilisation de toutes les ressources du système d'information automatisé d'une entreprise. Le contrôle d'accès comprend les fonctionnalités de sécurité suivantes :
identification des utilisateurs, du personnel et des ressources du système d'information (attribution d'un identifiant personnel à chaque objet) ;
authentification (authentification) d'un objet ou d'un sujet selon l'identifiant qu'il présente ;
contrôle des autorisations (vérification de la conformité du jour de la semaine, de l'heure, des ressources et procédures demandées avec la réglementation en vigueur) ;
enregistrement des appels vers des ressources protégées ;
réponse (alarme, arrêt, retard dans le travail, refus de demander lors de tentatives d'actions non autorisées).
Le déguisement est une méthode de protection des informations dans un système d'information automatisé d'une entreprise au moyen de sa fermeture cryptographique.
La réglementation est une méthode de protection des informations qui crée des conditions pour le traitement, le stockage et la transmission automatisés des informations, dans lesquelles la possibilité d'un accès non autorisé à celles-ci serait minimisée.
La coercition est une méthode de protection des informations, dans laquelle les utilisateurs et le personnel du système sont contraints de se conformer aux règles de traitement, de transfert et d'utilisation des informations protégées sous peine de responsabilité matérielle, administrative et pénale.
L'incitation est une méthode de protection des informations qui encourage les utilisateurs et le personnel du système à ne pas enfreindre les règles établies en se conformant aux normes morales et éthiques établies.
Les méthodes ci-dessus pour assurer la sécurité de l'information sont mises en œuvre en utilisant les moyens de base suivants : physiques, matériels, logiciels, matériels et logiciels, cryptographiques, organisationnels, législatifs et moraux et éthiques.
Les moyens de protection physiques sont destinés à la protection externe du territoire des objets, à la protection des composants du système d'information automatisé de l'entreprise et sont mis en œuvre sous la forme de dispositifs et de systèmes autonomes.
Les moyens matériels de protection sont des dispositifs électroniques, électromécaniques et autres directement intégrés dans les blocs d'un système d'information automatisé ou conçus comme des dispositifs indépendants et interfacés avec ces blocs. Ils sont destinés à la protection interne des éléments structurels des installations et systèmes informatiques : terminaux, processeurs, équipements périphériques, lignes de communication, etc.
Les outils de protection des logiciels sont conçus pour assurer des fonctions de protection logiques et intellectuelles et sont inclus soit dans le logiciel d'un système d'information automatisé, soit dans la composition d'outils, d'ensembles et de systèmes d'équipements de contrôle.
Le logiciel de sécurité de l'information est le type de protection le plus courant, ayant les propriétés positives suivantes : polyvalence, flexibilité, facilité de mise en œuvre, capacité de changement et de développement. Cette circonstance en fait à la fois les éléments de protection les plus vulnérables du système d'information de l'entreprise.
La protection matérielle et logicielle signifie que le logiciel (firmware) et les parties matérielles sont complètement interconnectés et indissociables.
Moyens cryptographiques - moyens de protection au moyen de la transformation de l'information (cryptage).
Moyens organisationnels - mesures organisationnelles, techniques et organisationnelles et juridiques pour réglementer le comportement du personnel.
Moyens législatifs - actes juridiques du pays qui régissent les règles d'utilisation, de traitement et de transmission des informations à accès limité et qui établissent des mesures de responsabilité en cas de violation de ces règles.
Moyens moraux et éthiques - normes, traditions dans la société, par exemple : le Code de conduite professionnelle pour les membres de l'Association of Computer Users aux États-Unis.
1.2 Méthodes et moyens d'assurer la sécurité
Divers mécanismes de cryptage sont utilisés pour mettre en œuvre des mesures de sécurité. À quoi servent ces méthodes ? Initialement, lors de l'envoi de données (texte, parole ou image), elles ne sont pas protégées ou, comme l'appellent les experts, ouvertes. Les données ouvertes peuvent facilement être interceptées par d'autres utilisateurs (volontairement ou pas intelligemment). Si l'objectif est d'empêcher certaines informations de parvenir à des tiers, ces données sont cryptées. L'utilisateur à qui l'information spécifiée est destinée les déchiffre ensuite à l'aide de la transformation inverse du cryptogramme, recevant les données sous la forme dont il a besoin.
Le cryptage est symétrique (une clé secrète est utilisée pour le cryptage) et asymétrique (une clé publique est utilisée pour le cryptage et pour le décryptage - une autre, non interconnectée - c'est-à-dire que connaissant l'une d'entre elles, vous ne pouvez pas déterminer l'autre).
Les mécanismes de sécurité sont également tels que :
) Les mécanismes de signature électronique numérique reposent sur des algorithmes de chiffrement asymétriques et comportent deux procédures : la génération de la signature par l'expéditeur et sa reconnaissance par le destinataire. La formation de la signature par l'expéditeur garantit que le bloc de données est chiffré ou complété par une somme de contrôle cryptographique, et dans les deux cas, la clé secrète de l'expéditeur est utilisée. La clé publique est utilisée pour l'identification.
) Les mécanismes de contrôle d'accès vérifient l'autorité des programmes et des utilisateurs à accéder aux ressources du réseau. Lors de l'accès à une ressource via une connexion, le contrôle est effectué à la fois au point d'initiation et aux points intermédiaires, ainsi qu'au point de terminaison.
) Les mécanismes d'intégrité des données sont appliqués au bloc individuel et au flux de données. L'expéditeur complète le bloc transmis avec un montant cryptographique, et le récepteur le compare à la valeur cryptographique correspondant au bloc reçu. Une discordance indique une distorsion des informations dans le bloc.
) Mécanismes de réglage du trafic. Ils reposent sur la génération de blocs par les objets AIS, leur cryptage et l'organisation de la transmission sur les canaux du réseau. Cela neutralise la possibilité d'obtenir des informations grâce à la surveillance caractéristiques externes flux circulant dans les canaux de communication.
) Les mécanismes de contrôle du routage garantissent que les informations circulent dans le réseau de communication de manière à exclure la transmission d'informations classifiées par des canaux physiquement non fiables et dangereux.
) Les mécanismes d'arbitrage permettent de confirmer les caractéristiques des données transférées entre objets par un tiers. Pour cela, les informations envoyées ou reçues par les objets transitent par l'arbitre, ce qui lui permet de valider ultérieurement les caractéristiques évoquées.
Les principaux inconvénients du système de sécurité pour objets économiques sont :
-compréhension étroite et non systématique du problème de sécurité des objets ; -négligence de la prévention des menaces, travail selon le principe "Il y a une menace - nous commençons à l'éliminer" ; -incompétence en économie de la sécurité, incapacité à comparer les coûts et les avantages ; -Le « technocratisme » des spécialistes de la gestion et de la sécurité, l'interprétation de toutes les tâches dans le langage d'un domaine qui leur est familier. En guise de conclusion sur le premier chapitre de l'ouvrage, définissons ce qui suit. La sécurité des systèmes d'information fait référence à certaines mesures par lesquelles ils protègent le système d'information d'interférences accidentelles ou délibérées dans les modes de son fonctionnement. Pour assurer la sécurité, deux approches principales sont envisagées : 1) fragmentaire, dans le cadre de laquelle la lutte contre certaines menaces est menée sous certaines conditions ; et 2) systémique, dans lequel un environnement protégé pour le traitement, le stockage et le transfert d'informations est créé, combinant diverses méthodes et moyens de contrer les menaces. divers moyens et mécanismes. Les moyens comprennent : le cryptage, l'enregistrement électronique numérique, le contrôle d'accès, le réglage du trafic, etc. sécurité du système bancaire en ligne 2. Caractéristiques permettant d'assurer la sécurité des données personnelles dans les systèmes bancaires en ligne 2.1. Conditions générales pour assurer la sécurité des données personnelles dans les systèmes bancaires en ligne protection informations personnelles est l'état de protection des informations et de leur infrastructure de support (ordinateurs, lignes de communication, systèmes d'alimentation, etc.) contre les influences accidentelles ou délibérées portant préjudice aux propriétaires ou utilisateurs de ces informations. En outre, la sécurité de l'information des informations d'identification est comprise comme : la fiabilité garantie de l'ordinateur ; la sécurité des informations d'identification précieuses ; la protection des informations personnelles contre les modifications apportées par des personnes non autorisées ; la préservation des informations d'identification documentées dans les communications électroniques. Les objets de sécurité de l'information dans la comptabilité sont ressources d'information contenant des informations classées comme secret commercial et des informations confidentielles ; ainsi que des moyens et des systèmes d'informatisation. Le propriétaire des ressources d'information, des systèmes d'information, des technologies et des moyens de leur support est une entité qui possède et utilise les objets spécifiés et exerce les pouvoirs de disposition dans les limites établies par la loi. Un utilisateur d'information est un sujet qui se tourne vers un système d'information ou un intermédiaire pour obtenir l'information dont il a besoin et l'utilise. Les ressources d'information sont des documents individuels et des tableaux séparés de documents, des documents et des tableaux de documents dans systèmes d'information. Une menace à la sécurité de l'information est une action potentiellement possible qui, en agissant sur les composants système personnel peut causer des dommages aux propriétaires des ressources d'information ou aux utilisateurs du système. Le régime juridique des ressources informationnelles est déterminé par les normes établissant : la procédure de documentation des informations ; propriété de documents individuels et de tableaux individuels documents, documents et tableaux de documents dans les systèmes d'information; catégorie d'information par le niveau d'accès à celle-ci ; procédure de protection juridique de l'information. Le principe principal violé dans la mise en œuvre d'une menace informationnelle en comptabilité est le principe de la documentation de l'information. Un document comptable obtenu à partir d'un système d'information comptable automatisé acquiert force légale après avoir été signé par un fonctionnaire de la manière prescrite par la législation de la Fédération de Russie. Tout l'ensemble des menaces potentielles dans la comptabilité par la nature de leur occurrence peut être divisé en deux classes: naturelles (objectives) et artificielles. Les menaces naturelles sont causées par des raisons objectives, en règle générale, indépendantes de la volonté du comptable, entraînant la destruction totale ou partielle du service comptable ainsi que de ses composants. Ces phénomènes naturels comprennent : les tremblements de terre, les éclairs, les incendies, etc. Les menaces d'origine humaine sont associées aux activités humaines. Ils peuvent être divisés en événements non intentionnels (non intentionnels), causés par la capacité des employés à commettre des erreurs dues à l'inattention, à la fatigue, à un état douloureux, etc. Par exemple, un comptable, lors de la saisie d'informations dans un ordinateur, peut appuyer sur la mauvaise touche, commettre des erreurs involontaires dans le programme, introduire un virus ou divulguer accidentellement des mots de passe. Les menaces intentionnelles (intentionnelles) sont associées aux aspirations égoïstes des personnes - des malfaiteurs, créant délibérément des documents inexacts. En termes d'orientation, les menaces de sécurité peuvent être réparties dans les groupes suivants : menaces pour pénétrer et lire les données des bases de données d'identification et logiciels d'ordinateur leur traitement ; menaces sur la sécurité des identifiants, conduisant soit à leur destruction, soit à leur modification, y compris la falsification des documents de paiement (demandes de paiement, ordres, etc.) ; les menaces de disponibilité des données qui surviennent lorsqu'un utilisateur ne peut pas accéder aux informations d'identification ; la menace de refus d'effectuer des opérations, lorsqu'un utilisateur envoie un message à un autre, puis ne confirme pas les données transmises. Les processus d'information sont les processus de collecte, de traitement, d'accumulation, de stockage, de recherche et de diffusion d'informations. Le système d'information est un ensemble de documents organisés en ordre organisationnel (ensembles de documents et de technologies de l'information, y compris ceux utilisant la technologie informatique et les communications qui mettent en œuvre processus d'information). La documentation des informations est effectuée conformément à la procédure établie par les autorités de l'État chargées de l'organisation du travail de bureau, de la normalisation des documents et de leurs tableaux et de la sécurité de la Fédération de Russie. Selon la source des menaces, elles peuvent être divisées en internes et externes. La source des menaces internes sont les activités du personnel de l'organisation. Les menaces externes proviennent de l'extérieur des employés d'autres organisations, des pirates informatiques et autres. Les menaces externes peuvent être classées en : local, ce qui implique la pénétration de l'intrus sur le territoire de l'organisation et l'accès à vers un ordinateur séparé ou réseau local ; les menaces à distance sont typiques des systèmes connectés aux réseaux mondiaux (Internet, le système de règlements bancaires internationaux SWIFT, etc.). De tels dangers surviennent le plus souvent dans le système de paiement électronique lors des règlements entre fournisseurs et acheteurs, et lors de l'utilisation des réseaux Internet dans les règlements. Les sources de telles attaques d'informations peuvent se trouver à des milliers de kilomètres. De plus, non seulement les ordinateurs, mais aussi les informations comptables sont exposés. Les erreurs comptables intentionnelles et non intentionnelles, entraînant une augmentation du risque comptable, sont les suivantes : erreurs dans l'enregistrement des données comptables ; codes incorrects, opérations comptables non autorisées; violation des limites de contrôle ; manqué Comptes; erreurs dans le traitement ou la sortie des données ; erreurs dans la formation ou la correction d'ouvrages de référence ; comptes incomplets; affectation incorrecte des enregistrements par périodes ; falsification de données; violation des exigences des textes réglementaires ; violation des principes de la politique personnelle; inadéquation de la qualité des services aux besoins des usagers. Particulièrement dangereuses sont les informations constituant un secret commercial et liées à des informations personnelles et déclaratives (données sur les partenaires, clients, banques, informations analytiques sur l'activité du marché). Pour que ces informations et des informations similaires soient protégées, il est nécessaire d'établir des contrats avec les employés du service comptable, des services financiers et d'autres unités économiques, indiquant une liste d'informations qui ne font pas l'objet de publicité. La protection des informations dans les systèmes comptables automatisés repose sur les principes de base suivants. Assurer la séparation physique des zones destinées au traitement des informations classifiées et non classifiées. Assurer la protection cryptographique des informations. Assurer l'authentification des abonnés et des installations d'abonnés. Différencier l'accès des sujets et de leurs processus à l'information. Assurer l'établissement de l'authenticité et de l'intégrité des messages documentaires lors de leur transmission sur les canaux de communication. Assurer la protection des équipements et des moyens techniques du système, les locaux où ils se trouvent, contre les fuites d'informations confidentielles par les canaux techniques. Assurer la protection de la technologie de cryptage, des équipements, des outils logiciels des fuites d'informations dues aux signets matériels et logiciels. Assurer le contrôle de l'intégrité des parties logicielles et informationnelles du système automatisé. Utilisation uniquement domestique Les ressources d'information de l'État de la Fédération de Russie sont ouvertes et accessibles au public. Une exception est l'information documentée classée par la loi comme une catégorie d'accès restreint. Selon les termes de son régime juridique, les informations documentées à accès limité sont subdivisées en informations classées secrètes et confidentielles. La liste des informations confidentielles, en particulier les informations relatives aux activités commerciales, est établie par le décret du président de la Fédération de Russie du 6 mars 1997 n° 188 (annexe n°) des développements. Fournir des mesures de protection organisationnelles et de régime. Il est conseillé d'utiliser des mesures supplémentaires pour assurer la sécurité de la communication dans le système. Organisation de la protection des informations sur l'intensité, la durée et le trafic des échanges d'informations. L'utilisation de canaux et de méthodes pour la transmission et le traitement d'informations qui empêchent l'interception. La protection des informations contre les accès non autorisés vise à former trois propriétés principales des informations protégées : confidentialité (les informations classifiées ne doivent être accessibles qu'à la personne à qui elles sont destinées); l'intégrité (les informations sur la base desquelles des décisions importantes sont prises doivent être fiables, précises et complètement protégées contre d'éventuelles distorsions involontaires et malveillantes) ; préparation (l'information et les services d'information connexes doivent être disponibles, prêts à servir les parties prenantes chaque fois que le besoin s'en fait sentir). Les méthodes permettant d'assurer la protection des renseignements personnels sont les suivantes : obstacles ; contrôle d'accès, masquage, régulation, coercition, motivation. Un obstacle doit être considéré comme la méthode consistant à bloquer physiquement le chemin de l'attaquant vers les informations personnelles protégées. Cette méthode est mise en œuvre par le système d'accès de l'entreprise, y compris la présence de sécurité à l'entrée de celle-ci, bloquant le chemin des personnes non autorisées vers le service comptable, le caissier, etc. Le contrôle d'accès est une méthode de protection des informations personnelles et de signalement, mise en œuvre par : authentification - établir l'authenticité d'un objet ou d'un sujet selon l'identifiant qu'il présente (réalisé en comparant l'identifiant saisi avec celui stocké dans la mémoire de l'ordinateur) ; contrôles d'autorisation - vérification de la conformité des ressources demandées et des opérations effectuées sur les ressources allouées et les procédures autorisées ; enregistrement des appels vers des ressources protégées ; informer et répondre aux tentatives d'actions non autorisées. (La cryptographie est une méthode de protection par transformation de l'information (cryptage)). Dans le complexe BEST-4, la différenciation de l'accès à l'information est effectuée au niveau des sous-systèmes individuels et est assurée par la définition de mots de passe d'accès séparés. À la configuration initiale ou à tout moment lorsqu'il travaille avec le programme, l'administrateur système peut définir ou modifier un ou plusieurs mots de passe. Le mot de passe est demandé chaque fois que vous vous connectez au sous-système. De plus, certains modules ont leur propre système de différenciation d'accès à l'information. Il offre la possibilité de protéger chaque élément de menu avec des mots de passe spéciaux. Vous pouvez également protéger l'accès à des sous-ensembles individuels de documents primaires avec des mots de passe : par exemple, dans le poste de travail « Comptabilisation des stocks dans un entrepôt » et « Comptabilisation des marchandises et des produits », il est possible de définir des mots de passe d'accès à chaque entrepôt séparément, chaque espèces s'inscrire, dans le poste de travail automatisé « Comptabilisation des règlements auprès d'une banque » - accéder aux mots de passe de chaque compte bancaire. On notera surtout que pour délimiter efficacement l'accès à l'information, il faut tout d'abord protéger par des mots de passe les modes mêmes de détermination des mots de passe d'accès à certains blocs. 1C. Enterprise, version 7.7 a sa propre protection des informations - droits d'accès.Afin d'intégrer et de séparer l'accès des utilisateurs aux informations lorsqu'ils travaillent avec le système 1C. Ordinateur personnel, le configurateur système vous permet de définir des autorisations pour chaque utilisateur de travailler avec les informations traitées par le système. Les droits peuvent être définis dans une gamme assez large - de la possibilité de ne visualiser que certains types de documents à un ensemble complet de droits pour saisir, visualiser, corriger et supprimer tout type de données. L'attribution des droits d'accès à l'utilisateur s'effectue en 2 étapes. À la première étape, des ensembles standard de droits pour travailler avec des informations sont créés, qui, en règle générale, diffèrent par l'étendue des options d'accès fournies. À la deuxième étape, l'utilisateur se voit attribuer l'un de ces ensembles standardsà droite. L'ensemble des travaux de création de référentiels de droits s'effectue dans l'onglet "Droits" de la fenêtre "Configuration". Cette fenêtre est appelée à l'écran en sélectionnant l'item "ouvrir la configuration" du menu "Configuration" du menu principal du programme 2.2 Un ensemble de mesures pour assurer la sécurité des données personnelles dans les systèmes bancaires en ligne La justification d'un ensemble de mesures visant à assurer la sécurité des DP dans les RNIS est effectuée en tenant compte des résultats de l'évaluation du danger des menaces et de la détermination de la classe des RNIS sur la base des « Principales mesures pour l'organisation et la sécurité technique des personnes données traitées dans les systèmes d'information de données personnelles. Dans le même temps, des mesures devraient être déterminées pour : identification et fermeture des canaux techniques de fuite de DP dans ISPDN ; protection des données personnelles contre les accès non autorisés et les actions illégales ; installation, configuration et application des moyens de protection. Les mesures visant à identifier et fermer les canaux techniques de fuite de DP dans le PDIS sont formulées sur la base d'une analyse et d'une évaluation des menaces à la sécurité de DP. Les mesures visant à protéger les PD pendant leur traitement dans ISPD contre les accès non autorisés et les actions illégales comprennent : contrôle d'accès; enregistrement et comptabilité; assurer l'intégrité; contrôle de l'absence d'opportunités non déclarées ; protection antivirus; assurer une interconnexion sécurisée du RNIS ; analyse de sécurité; détection d'intrusion. Il est recommandé de mettre en œuvre le sous-système de contrôle d'accès, d'enregistrement et de comptabilité sur la base d'un logiciel de blocage des actions, de la signalisation et de l'enregistrement non autorisés. Ceux-ci sont spéciaux, non inclus dans le noyau d'aucun système opérateur logiciels et matériel-logiciels moyens de protection des systèmes d'exploitation eux-mêmes, bases de données électroniques de données personnelles et programmes d'application. Ils remplissent les fonctions de protection indépendamment ou en combinaison avec d'autres moyens de protection et visent à exclure ou à entraver l'exécution d'actions de l'utilisateur ou du contrevenant qui sont dangereuses pour l'ISPD. Ceux-ci incluent des utilitaires spéciaux et des complexes logiciels de protection qui mettent en œuvre les fonctions de diagnostic, d'enregistrement, de destruction, de signalisation et d'imitation. Les outils de diagnostic testent le système de fichiers et les bases de données PD, collectent en permanence des informations sur le fonctionnement des éléments du sous-système de sécurité de l'information. Les outils de destruction sont conçus pour détruire les données résiduelles et peuvent permettre la destruction d'urgence des données en cas de menace d'attaque non autorisée qui ne peut pas être bloquée par le système. Les moyens de signalisation sont conçus pour avertir les opérateurs lorsqu'ils accèdent à des PD protégés et pour avertir l'administrateur en cas de détection du fait d'un accès non autorisé aux PD et d'autres faits de violation du fonctionnement normal des PDIS. Les outils de simulation simulent le travail avec les contrevenants lors de la détection d'une tentative d'attaque non autorisée pour protéger les PD ou les logiciels. L'imitation vous permet d'augmenter le temps nécessaire pour déterminer l'emplacement et la nature de l'UAN, ce qui est particulièrement important dans les réseaux géographiquement distribués, et de désinformer le contrevenant de l'emplacement du PD protégé. Le sous-système permettant d'assurer l'intégrité est mis en œuvre principalement par des systèmes d'exploitation et des systèmes de gestion de bases de données. Les moyens d'augmenter la fiabilité et d'assurer l'intégrité des données transmises et la fiabilité des transactions, intégrés aux systèmes d'exploitation et aux systèmes de gestion de bases de données, reposent sur le calcul de sommes de contrôle, la notification d'un échec dans la transmission d'un paquet de messages et la retransmission d'un paquet non reçu. Le sous-système de surveillance de l'absence de capacités non déclarées est mis en œuvre dans la plupart des cas sur la base de systèmes de gestion de bases de données, d'outils de protection des informations et d'outils de protection des informations antivirus. Pour assurer la sécurité des données personnelles et de l'environnement logiciel et matériel de l'ISPD qui traite ces informations, il est recommandé d'utiliser des outils de protection antivirus spéciaux qui effectuent : détection et (ou) blocage des influences virales destructrices sur l'ensemble du système et appliqué Logiciel qui met en œuvre le traitement PD, ainsi que le traitement PD ; détection et suppression de virus inconnus ; assurer l'autosurveillance (prévention de l'infection) de cet outil antivirus lors de son lancement. Lors du choix des outils de protection antivirus, il est conseillé de prendre en compte les facteurs suivants : compatibilité de ces outils avec le logiciel ISPD standard ; le degré de diminution de la productivité du fonctionnement de l'ISPDN pour l'objectif principal ; disponibilité de moyens de contrôle centralisé du fonctionnement de la protection antivirus depuis le lieu de travail de l'administrateur de la sécurité de l'information dans l'ISPD ; la capacité d'informer rapidement l'administrateur de la sécurité de l'information dans l'ISPD de tous les événements et faits de la manifestation d'influences programmatiques et mathématiques (PMA) ; disponibilité d'une documentation détaillée sur le fonctionnement de la protection antivirus ; la possibilité de tester périodiquement ou d'auto-tester la protection antivirus ; la possibilité d'augmenter la composition des moyens de protection contre la PMA avec de nouveaux moyens supplémentaires sans restrictions significatives sur l'efficacité de l'ISPD et "conflit" avec d'autres types de moyens de protection. La description de la procédure d'installation, de configuration, de configuration et d'administration des outils de protection antivirus, ainsi que la procédure à suivre en cas de détection du fait d'une attaque de virus ou d'autres violations des exigences de protection contre les influences programmatiques et mathématiques devraient être inclus dans le manuel de l'administrateur de la sécurité de l'information dans ISPDN. Afin de différencier l'accès aux ressources ISPD lors de l'interconnexion, un pare-feu est utilisé, qui est mis en œuvre par des pare-feu logiciels et logiciels et matériels (ME). Un pare-feu est installé entre le réseau protégé, appelé réseau interne, et le réseau externe. Le pare-feu fait partie du réseau protégé. Pour cela, à travers les paramètres, des règles sont définies séparément qui restreignent l'accès du réseau interne au réseau externe et vice versa. Pour assurer une interconnexion sûre dans les ISPDN de 3 et 4 classes, il est recommandé d'utiliser ME d'au moins le cinquième niveau de sécurité. Pour assurer une interconnexion sécurisée en ISPD de classe 2, il est recommandé d'utiliser un ME d'au moins le quatrième niveau de sécurité. Pour garantir une interconnexion sécurisée en ISPD de classe 1, il est recommandé d'utiliser un ME d'au moins le troisième niveau de sécurité. Le sous-système d'analyse de sécurité est mis en œuvre sur la base de l'utilisation d'outils de test (analyse de sécurité) et de contrôle de la sécurité de l'information (audit). Les outils d'analyse de sécurité permettent de contrôler les paramètres de protection des systèmes d'exploitation sur les postes de travail et les serveurs et permettent d'évaluer la possibilité d'attaques d'intrus sur les équipements réseaux, et de contrôler la sécurité des logiciels. Pour ce faire, ils recherchent la topologie du réseau, à la recherche d'informations non sécurisées ou non autorisées. les connexions de réseau vérifiez les paramètres du pare-feu. Une telle analyse est effectuée sur la base de descriptions détaillées vulnérabilités dans les paramètres de sécurité (par exemple, commutateurs, routeurs, pare-feu) ou vulnérabilités dans les systèmes d'exploitation ou les logiciels d'application. Le résultat du fonctionnement de l'outil d'analyse de sécurité est un rapport qui résume les informations sur les vulnérabilités détectées. Les détecteurs de vulnérabilité peuvent fonctionner au niveau de la couche réseau (dans ce cas, ils sont appelés "basés sur le réseau"), du système d'exploitation ("basé sur l'hôte") et de l'application ("basé sur l'application"). À l'aide d'un logiciel de numérisation, vous pouvez rapidement dresser une carte de tous les nœuds ISPD disponibles, identifier les services et les protocoles utilisés sur chacun d'eux, déterminer leurs paramètres de base et émettre des hypothèses sur la probabilité de mise en œuvre du NDS. Sur la base des résultats de l'analyse du système, des recommandations et des mesures sont élaborées pour éliminer les lacunes identifiées. Les systèmes de détection d'intrusion sont utilisés pour identifier les menaces de détection d'intrusion grâce à l'interconnexion. De tels systèmes sont construits en tenant compte des particularités de la mise en œuvre des attaques, des étapes de leur développement et reposent sur un certain nombre de méthodes de détection des attaques. Il existe trois groupes de méthodes de détection d'attaques : méthodes de signature; méthodes de détection d'anomalies; méthodes combinées (utilisant ensemble les algorithmes définis dans les méthodes de signature et de détection d'anomalies). Pour détecter les intrusions dans les ISPDN de classes 3 et 4, il est recommandé d'utiliser des systèmes de détection d'attaques réseau utilisant des méthodes d'analyse de signature. Pour détecter les intrusions dans les ISPD de classe 1 et 2, il est recommandé d'utiliser des systèmes de détection d'attaques de réseau qui utilisent des méthodes de détection d'anomalies ainsi que des méthodes d'analyse de signature. Pour protéger les données personnelles contre les fuites par les canaux techniques, des mesures organisationnelles et techniques sont utilisées pour éliminer les fuites d'informations acoustiques (parole), d'espèces, ainsi que les fuites d'informations dues aux un rayonnement électromagnétique et conduit. En guise de conclusion sur le deuxième chapitre du travail, nous tirons les conclusions suivantes. La protection des informations personnelles est l'état de protection des informations et de son infrastructure de soutien contre les influences accidentelles ou intentionnelles de nature naturelle ou artificielle, portant préjudice aux propriétaires ou aux utilisateurs de ces informations.Les objets de la sécurité de l'information dans la comptabilité sont définis : ressources contenant des informations classées secret commercial et moyens et systèmes d'informatisation. Les principales méthodes utilisées dans le cadre de la protection de l'information sont : la détection et la protection directe. CONCLUSION Le problème de la sécurité de l'information des objets économiques est multiforme et doit être approfondi. Dans le monde moderne, l'informatisation devient une ressource nationale stratégique, l'une des principales richesses d'un État économiquement développé. L'amélioration rapide de l'informatisation en Russie, sa pénétration dans toutes les sphères des intérêts vitaux de l'individu, de la société et de l'État ont entraîné, outre des avantages incontestables, l'émergence d'un certain nombre de problèmes importants. L'un d'eux était la nécessité de protéger l'information. Considérant qu'à l'heure actuelle, le potentiel économique est de plus en plus déterminé par le niveau de développement de l'infrastructure de l'information, la vulnérabilité potentielle de l'économie aux impacts de l'information augmente proportionnellement. La mise en œuvre de menaces à la sécurité de l'information consiste à violer la confidentialité, l'intégrité et la disponibilité des informations. Dans la perspective d'une approche systématique de la protection de l'information, il est nécessaire d'utiliser tout l'arsenal des moyens de protection disponibles dans tous les éléments structurels d'un objet économique et à toutes les étapes du cycle technologique du traitement de l'information. Les méthodes et moyens de protection devraient bloquer de manière fiable les voies possibles d'accès non autorisé aux secrets protégés. L'efficacité de la sécurité de l'information signifie que les coûts de sa mise en œuvre ne doivent pas dépasser les pertes possibles dues à la mise en œuvre de menaces informatiques. La planification de la sécurité de l'information est réalisée grâce à l'élaboration de plans de sécurité de l'information détaillés par chaque service. La clarté est nécessaire dans l'exercice des pouvoirs et des droits des utilisateurs pour accéder à certains types d'informations, pour assurer le contrôle des équipements de protection et une réponse immédiate à leur défaillance. BIBLIOGRAPHIE 1.Technologies de l'information automatisées en banque / éd. prof. GÉORGIE. Titorenko. - M. : Finstatinform, 2007 2.Technologies de l'information automatisées en économie / Ed. prof. GÉORGIE. Titorenko. - M. : UNITI, 2010 .Ageev A.S. Organisation et méthodes modernes de protection de l'information. - M. : Concerne "Banque. Centre d'Affaires", 2009 .Adzhiev, V. Mythes sur la sécurité des logiciels : leçons tirées de catastrophes célèbres. - Systèmes ouverts, 199. N° 6 .Alekseev et V.I. Sécurité de l'information des municipalités. - Voronej : Maison d'édition de VSTU, 2008. .Alekseev, V.M. Critères internationaux d'évaluation de la sécurité des technologies de l'information et de leurs utilisation pratique: Cahier de texte. - Penza : Maison d'édition de Penz. Etat université, 2002 .Alekseev, V.M. Support réglementaire pour la protection des informations contre les accès non autorisés. - Penza : Maison d'édition de Penz. Etat université, 2007 .Alekseev, V.M. Assurer la sécurité de l'information dans le développement de logiciels. - Penza : Maison d'édition de Penz. Etat université, 2008 .Aleshin, L.I. Sécurité de l'information et sécurité de l'information : Conférences de L. I. Aleshin ; Moscou Etat un-t de la culture. - M. : Mosk. Etat Université de la Culture, 2010 .Akhramenka, N.F. etc. Crime et châtiment en Système de paiement Avec documents électroniques// Gestion de la sécurité de l'information, 1998 .Banques et opérations bancaires. Manuel / Éd. E.F. Joukov. - M. : Banques et bourses, UNITI, 2008 .Barsukov, V.S. Sécurité : technologies, moyens, services. - M. : Kudits - Image, 2007 .Baturin, Yu.M. Problèmes de droit informatique. - M. : Jurid. lit., 1991 .Baturin, Yu.M. Criminalité informatique et sécurité informatique. M. : Jur.lit., 2009 .Bezrukov, N.N. Introduction à la virologie computationnelle. Principes généraux fonctionnement, classification et catalogue des virus les plus courants en M5-005. K., 2005 .Bykov, V.A. Commerce électronique et sécurité / V. A. Bykov. - M. : Radio et communication, 2000 .Varfolomeev, A.A. Sécurité des informations. Fondements mathématiques de la cryptologie. Partie 1. - Moscou : MEPhI, 1995 .Vekhov, V.B. Crimes informatiques : méthodes de commission et de divulgation. - M. : Droit et Droit, 1996 .Volobuev, S.V. Une introduction à la sécurité de l'information. - Obninsk : Obn. Institut de l'énergie atomique, 2001 .Volobuev, S.V. Sécurité des informations systèmes automatisés... - Obninsk : Obn. Institut de l'énergie atomique, 2001 .Conférence scientifique et pratique panrusse "La sécurité de l'information dans le système d'enseignement supérieur", 28-29 nov. 2000, NSTU, Novossibirsk, Russie : IBVSh 2000. - Novossibirsk, 2001 23.Galatenko, Virginie Sécurité de l'information : une approche pratique V. A. Galatenko ; Éd. VB Betelin; A grandi. acad. Sciences, Nauchn.-issled. Institut des Systèmes. émis. - M. : Nauka, 1998 .Galatenko, V.A .. Fondements de la sécurité de l'information : un cours magistral. - M. : Internet-Un-t-informer. technologie, 2003 .Gennadieva, E.G. Fondements théoriques de l'informatique et de la sécurité de l'information. - M. : Radio et communication, 2000 .Geek, Sebastian Narchis. Cacher des informations dans des fichiers graphiques au format BMP Dis. ... Cand. technologie. Sciences : 13.05.19 - SPb., 2001 .Gika, S.N. Cacher des informations dans des fichiers graphiques au format BMP : Avtoref. dis. ... Cand. technologie. Sciences : 13.05.19 S.-Pétersbourg. Etat in-t toch. mécanique et optique. - SPb., 2001 .Golubev, V.V. Gestion de la sécurité. - Saint-Pétersbourg : Peter, 2004 .Gorbatov, V.S. Sécurité des informations. Fondements de la protection juridique. - M. : MEPhI (TU), 1995 .Gorlova, I.I., éd. Liberté de l'information et sécurité de l'information : Matériaux de l'international. scientifique. Conf., Krasnodar, 30-31 octobre. 2001 - Krasnodar, 2001 .Greensberg, A.S. et autres Protection des ressources d'information de l'administration publique. - M. : UNITI, 2003 .Sécurité de l'information de la Russie dans le contexte de la société mondiale de l'information "INFORUM-5": sam. matériaux du 5e Vseros. Conf., Moscou, 4-5 février 2003 - M. : OOO Éd. zhurn. Affaires et sécurité de la Russie, 2003 .Sécurité de l'information : sam. méthode. matériaux M-in éducation Ros. Fédération [et autres]. - M. : TSNIIATOMINFORM, 2003 34.Informatique// Économie et Vie. N° 25, 2001 35.Technologies de l'information en marketing : Manuel pour les universités - Moscou : 2003 .Technologies de l'information en économie et gestion : Manuel / Kozyrev A.A. - M. : Maison d'édition de Mikhailov V.A., 2005 .Lopatin, V.N. Sécurité de l'information de la Russie Dis. ... Dr Jurid. Sciences : 12.00.01 .Loukachine, V.I. Sécurité des informations. - M. : Mosk. Etat Université d'économie, de statistique et d'informatique .Luchin, I.N., Zheldakov A.A., Kuznetsov N.A. Craquage de la protection par mot de passe // Informatisation des systèmes d'application de la loi. M., 1996 .McClar, Stuart. Piratage du Web. Attaques et défense Stuart McClar, Saumil Shah, Srirai Shah. - M. : Williams, 2003 .Malyuk, A.A. Fondements théoriques de la formalisation de l'évaluation prédictive du niveau de sécurité de l'information dans les systèmes informatiques. - M. : MEPhI, 1998 SPb., 2000 .Efficacité économique des systèmes de sécurité de l'information. P.P. Chebotar - Académie moldave d'économie, 2003 .Yakovlev, V.V. Sécurité de l'information et protection de l'information dans réseaux d'entreprise transports ferroviaires. - M., 2002 .Yarochkin, V.I. Sécurité des informations. - M. : Mir, 2003 .Yarochkin, V.I. Sécurité des informations. - M. : Fonds "Mir", 2003 : Acad. Projet .Yasenev, V.N. Les systèmes d'information automatisés dans l'économie et assurant leur sécurité : Didacticiel... - N. Novgorod, 2002Travaux similaires à - Protection des données personnelles dans les systèmes bancaires en ligne
Marina Prokhorov,éditeur de la revue "Données personnelles"
Natalia Samoilova, avocat de la société "InfoTechnoProekt"
Le cadre juridique qui s'est développé à ce jour dans le domaine du traitement des données personnelles, les documents qui doivent encore être adoptés pour une organisation plus efficace des travaux sur la protection des données personnelles dans les organisations, les aspects techniques de la préparation des systèmes d'information pour les opérateurs de données - ce sont les sujets qui ont été récemment abordés dans de nombreuses publications de journaux et de magazines consacrés au problème des données personnelles. Dans cet article, je voudrais m'attarder sur un aspect tel de l'organisation du travail des établissements bancaires et de crédit comme la protection « non technique » des données personnelles traitées dans ces organismes.
Commençons par un exemple concret
Nous parlons de l'examen judiciaire de l'affaire de protection des données personnelles engagée contre Sberbank en juin 2008. L'essence de la procédure était la suivante. Un accord de cautionnement a été conclu entre le citoyen et la banque, en vertu duquel le citoyen a assumé l'obligation de répondre devant la banque de l'exécution des obligations de l'emprunteur en vertu du contrat de prêt. Ce dernier n'ayant pas rempli ses obligations dans le délai fixé par le contrat de prêt, des informations sur le garant en tant que client non fiable ont été saisies dans le système d'information automatisé de la banque « Stop List », qui, à son tour, a été à l'origine du refus de lui accorder un prêt. Dans le même temps, la banque n'a même pas informé le citoyen du manquement de l'emprunteur à ses obligations en vertu du contrat de prêt. En outre, le contrat de caution n'indiquait pas qu'en cas de mauvaise exécution par l'emprunteur de ses obligations, la banque avait le droit de saisir des informations sur le garant dans le système d'information Stop List. Ainsi, la banque a traité les données personnelles d'un citoyen en incluant des informations le concernant dans le système d'information Stop List sans son consentement, ce qui viole les exigences de la partie 1 de l'art. 9 de la loi fédérale n° 152-FZ du 27 juillet 2006 « sur les données personnelles », selon laquelle le sujet des données personnelles décide de fournir ses données personnelles et accepte leur traitement de sa propre volonté et dans son intérêt. En outre, de la manière prescrite par la partie 1 de l'art. 14 de la même loi, un citoyen s'est adressé à la banque en lui demandant de lui donner la possibilité de prendre connaissance des informations inscrites à son sujet dans le système d'information Stop List, ainsi que de bloquer ces informations et de les détruire. La banque a refusé de satisfaire les exigences du citoyen.
Sur la base des résultats de l'examen de l'affaire, le tribunal de district Leninsky de Vladivostok a satisfait aux réclamations de l'administration de Roskomnadzor pour le territoire de Primorsky contre la Sberbank de Russie pour la protection des droits des citoyens violés et a ordonné à la banque de détruire les informations sur le citoyen de le système d'information Stop List.
En quoi cet exemple est-il indicatif ? Les banques, stockant les données personnelles d'un nombre important de leurs clients, les déplacent sans hésiter d'une base de données à l'autre, et le plus souvent sans en informer le sujet des données personnelles à ce sujet, sans parler d'obtenir son consentement à de telles actions avec son Les données. Bien entendu, la banque présente un certain nombre de caractéristiques, et souvent les données personnelles des clients sont utilisées non seulement pour exécuter les accords conclus par la banque, mais aussi pour surveiller la banque quant au respect des obligations du client, mais cela signifie que toute manipulation avec des données personnelles nécessitent déjà le consentement de leur sujet. ...
Difficultés d'interprétation des dispositions
Pourquoi ne pas légaliser les transactions avec des données personnelles ? Bien entendu, cela nécessitera très probablement l'intervention de spécialistes tiers, car même les avocats des services juridiques des grandes banques ne sont des professionnels de premier plan que dans un certain domaine, et ils doivent se familiariser avec les spécificités du travail dans le domaine des données personnelles pratiquement à partir de zéro. La meilleure solution est donc d'impliquer des sociétés spécialisées dans la prestation de services d'organisation du travail avec des données personnelles, y compris celles capables de réaliser un audit de conformité des mesures de protection non techniques que vous prenez avec les exigences du législateur, pour travailler à l'organisation d'un système de protection des données personnelles.
Les résultats des études analytiques nous permettent de conclure que l'interprétation des dispositions de la loi fédérale n° 152-FZ "sur les données personnelles" pose les plus grandes difficultés.
Conformément à la partie 1 de l'article 22 du présent document réglementaire, l'exploitant est tenu d'informer l'organisme habilité du traitement des données à caractère personnel. Parmi les exceptions figure le cas où les données personnelles traitées ont été obtenues dans le cadre de la conclusion d'un accord auquel le sujet des données personnelles est partie ... et sont utilisées par l'opérateur uniquement pour l'exécution de cet accord sur la base de la clause 2 de la partie 2 de l'article 22 de la loi fédérale n° 152-FZ « sur les données personnelles ». Fonctionnant avec cette disposition même, certaines banques ne soumettent pas de notification sur le traitement des données personnelles, et beaucoup ne se considèrent pas comme des opérateurs, ce qui est fondamentalement faux.
En outre, une autre erreur courante des banques, en tant qu'opérateurs de données personnelles, associée au contrat, est la suivante. Selon l'art. 6 de la loi susmentionnée, le traitement des données personnelles peut être effectué par l'opérateur avec le consentement des personnes concernées, à l'exception des cas, y compris le traitement aux fins de l'exécution d'un accord, l'une des parties à qui fait l'objet de données personnelles. Par conséquent, de nombreux établissements bancaires expliquent leur manque de consentement du sujet des données personnelles précisément par le fait de la conclusion d'un tel accord.
Mais réfléchissons-y, la banque, en tant qu'opérateur, n'utilise-t-elle pas les données personnelles du sujet obtenues à la conclusion du contrat, par exemple, pour envoyer des notifications sur de nouveaux services, pour maintenir des « Stop Lists » ? Cela signifie que le traitement des données personnelles est effectué non seulement dans le but d'exécuter le contrat, mais également à d'autres fins, dont la réalisation présente un intérêt commercial pour les banques, par conséquent :
- les banques sont obligées de soumettre une notification sur le traitement des données personnelles à l'organisme autorisé ;
- les banques ne doivent traiter les données personnelles qu'avec le consentement du sujet.
Cela signifie que les banques doivent organiser un système pour travailler avec les données personnelles de leurs clients, c'est-à-dire pour assurer une protection non technique de ces données.
Consentement écrit au traitement des données personnelles
En ce qui concerne le consentement du sujet des données personnelles au traitement des données personnelles, la loi fédérale n° 152-FZ « sur les données personnelles » oblige les opérateurs à obtenir un consentement écrit au traitement des données personnelles uniquement dans les cas spécifiés par la loi. Dans le même temps, conformément à la partie 3 de l'art. 9 l'obligation de prouver la réception du consentement du sujet au traitement de ses données personnelles incombe à l'opérateur. Afin, le cas échéant, de ne pas perdre de temps à collecter de telles preuves (par exemple, rechercher des témoins), il est à notre avis préférable dans tous les cas d'obtenir le consentement des sujets par écrit.
Donnons un argument de plus pour forme écrite traitement des données personnelles. Souvent, les activités des banques prévoient le transfert de données (y compris personnelles) vers le territoire d'un État étranger. A cette occasion, la partie 1 de l'art. 12 de la loi fédérale n° 152-FZ « sur les données personnelles » stipule qu'avant le début du transfert transfrontalier de données personnelles, l'opérateur doit s'assurer que l'État étranger, sur le territoire duquel le transfert de données personnelles est effectué , assure une protection adéquate des droits des sujets des données personnelles. Si une telle protection n'est pas fournie, le transfert transfrontalier de données personnelles n'est possible qu'avec le consentement écrit de la personne concernée. On peut supposer qu'il est plus facile pour un employé de banque d'obtenir un consentement écrit d'un client pour traiter des données personnelles que d'établir le degré d'adéquation de sa protection dans un État étranger.
Nous attirons votre attention sur le fait que les informations qui doivent figurer dans le consentement écrit sont énumérées dans la partie 4 de l'art. 9 de la loi fédérale précitée, et cette liste est exhaustive. Et la signature sous la phrase, par exemple, dans le contrat de prêt : « J'accepte l'utilisation de mes données personnelles », conformément à la loi fédérale n° 152-FZ « Sur les données personnelles », n'est pas un consentement à leur traitement !
Il semblerait qu'il n'y ait que quelques points de la loi, et combien de complications, allant jusqu'au litige, peuvent provoquer leur interprétation erronée. De plus, aujourd'hui, alors que les données personnelles des sujets deviennent souvent une marchandise dans la concurrence de diverses structures, la résolution réussie des problèmes de leur protection, en assurant la sécurité des systèmes d'information des établissements bancaires et de crédit devient une garantie du maintien de la réputation et nom honnête de toute organisation.
Chaque jour, la prise de conscience des citoyens sur les conséquences négatives possibles de la diffusion de leurs données personnelles augmente, ce qui est facilité par l'émergence de publications spécialisées. Il existe également des ressources d'information diverses entreprises... Certains d'entre eux couvrent généralement l'ensemble des problématiques liées à la notion de "sécurité de l'information", d'autres sont consacrés à des revues de mesures et moyens de protection technique, quelqu'un, au contraire, se concentre sur les problèmes liés à la protection non technique . En d'autres termes, l'information sur la protection des données personnelles devient de plus en plus accessible, ce qui signifie que les citoyens seront plus avertis dans le domaine de la protection de leurs droits.
Il est devenu particulièrement populaire pour les divisions russes de sociétés étrangères dans le cadre de l'ajout de la partie 5 de l'article 18 à 152-FZ "Sur les données personnelles": données personnelles citoyens de la Fédération de Russie utilisant des bases de données situées sur le territoire de la Fédération de Russie " . Il y a un certain nombre d'exceptions dans la loi, mais il faut avouer qu'en cas de vérification par le régulateur, on aimerait avoir des atouts plus fiables que « mais cela ne nous regarde pas ».
Les sanctions pour les contrevenants sont très graves. Boutiques en ligne, réseaux sociaux, sites d'information, autres entreprises liées à l'Internet en cas de réclamations des autorités de contrôle, elles peuvent effectivement être clôturées. Peut-être, lors du premier contrôle, le régulateur donnera-t-il le temps d'éliminer les lacunes, mais le temps est généralement limité. Si le problème n'est pas résolu très rapidement (ce qui est difficile à faire sans préparation préalable), les pertes ne peuvent en aucun cas être compensées. Le blocage de sites Web entraîne non seulement une pause des ventes, mais également une perte de parts de marché.
L'apparition sur la « liste noire » des contrevenants à la loi sur les données personnelles pour les entreprises hors ligne est moins dramatique. Mais cela entraîne des risques de réputation, ce qui est un facteur important pour les entreprises étrangères. De plus, il ne reste désormais presque plus d'activités qui ne soient pas du tout concernées par la protection des données personnelles. Les banques, le commerce et même la fabrication - tous maintiennent une clientèle, ce qui signifie qu'ils sont soumis aux lois applicables.
Il est important de comprendre ici que la question ne peut pas non plus être considérée isolément au sein des entreprises. Il ne sera pas possible de limiter la protection des données personnelles en installant des mesures de sécurité certifiées sur les serveurs et en verrouillant les cartes papier dans les coffres-forts. Les données personnelles ont de nombreux points d'entrée dans l'entreprise - services commerciaux, services RH, services clients, parfois aussi centres de formation, commissions d'achat et autres services. La gestion de la protection des données personnelles est un processus complexe qui affecte CE, flux de documents, réglementation, enregistrement légal.
Jetons un coup d'œil à ce qu'il faut pour démarrer et maintenir un tel processus.
Quelles données sont considérées comme personnelles
Strictement parlant, toute information qui se rapporte directement ou indirectement à un individu en particulier est ses données personnelles. Remarquer ça arrive sur les gens, pas sur entités juridiques... Il s'avère qu'il suffit d'indiquer le nom complet et l'adresse de résidence pour initier la protection de ces données (ainsi que des données connexes). Cependant, obtenir e-mail avec les données personnelles d'une personne sous la forme d'une signature et numéro de téléphone pas encore une raison pour les défendre. Terme clé : « Le concept de collecte de données personnelles. Pour clarifier le contexte, je voudrais souligner plusieurs articles de la loi « sur les données personnelles ».
Article 5. Principes de traitement des données personnelles. Vous devez avoir des objectifs clairs qui expliquent clairement pourquoi ces informations sont collectées. Sinon, même avec le plein respect de toutes les autres règles et réglementations, des sanctions sont probables.
Article 10. Catégories particulières de données personnelles. Par exemple, les RH peuvent enregistrer les restrictions de voyage, y compris la grossesse pour les employées. Bien entendu, ces informations supplémentaires font également l'objet d'une protection. Cela élargit considérablement la compréhension des données personnelles, ainsi que la liste des départements et des stockages d'informations de l'entreprise dans lesquels vous devez faire attention à la protection.
Article 12. Transfert transfrontalier de données personnelles. Si un système d'information contenant des données sur les citoyens de la Fédération de Russie est situé sur le territoire d'un pays qui n'a pas ratifié la Convention sur la protection des données personnelles (par exemple, en Israël), vous devez respecter les dispositions de la législation russe.
Article 22. Avis du traitement des données personnelles. Un prérequis pour ne pas attirer indûment l'attention du régulateur. Faire des affaires liées aux données personnelles - signalez-le vous-même, sans attendre les inspections.
Où peut-on trouver les données personnelles ?
Techniquement, PD peut être situé n'importe où, des supports imprimés (classeurs papier) aux supports de machine ( disques durs, clés USB, CD, etc.). C'est-à-dire que le centre d'attention est tout stockage de données qui relève de la définition d'ISPDN (systèmes d'information de données personnelles).
La géographie de l'emplacement est une grande question distincte. D'une part, les données personnelles des Russes ( personnes citoyens de la Fédération de Russie) doivent être stockés sur le territoire de la Fédération de Russie. En revanche, à l'heure actuelle, il s'agit plus d'un vecteur d'évolution de la situation que d'un fait accompli. De nombreuses sociétés internationales et exportatrices, diverses holdings, coentreprises ont historiquement une infrastructure distribuée - et cela ne changera pas du jour au lendemain. Contrairement aux méthodes de stockage et de protection des données personnelles, qui doivent être corrigées presque maintenant, immédiatement.
La liste minimale des services impliqués dans l'enregistrement, l'organisation, l'accumulation, le stockage, la mise à jour (mise à jour, modification), l'extraction des PD :
- Service du personnel.
- Département des ventes.
- Département légal.
Comme il y a rarement un ordre parfait, en réalité, les unités les plus imprévisibles peuvent souvent être ajoutées à cette liste « attendue ». Par exemple, un entrepôt peut disposer d'informations personnalisées sur les fournisseurs, ou le service de sécurité peut conserver ses propres enregistrements détaillés de tous ceux qui entrent sur le territoire. Ainsi, soit dit en passant, la composition des PD pour les employés peut être complétée par des données sur les clients, les partenaires, les sous-traitants, ainsi que sur des inconnus et même des inconnus - dont les PD deviennent un "crime" lors de la photographie pour un laissez-passer, de la numérisation des cartes d'identité et en quelques autres cas. Les ACS (systèmes de contrôle d'accès et de gestion) peuvent facilement servir de source de problèmes dans le cadre de la protection des données personnelles. Par conséquent, la réponse à la question « Où ? » du point de vue du respect de la Loi, cela ressemble à ceci : partout sur le territoire responsable. Plus précisément, vous ne pouvez répondre qu'en réalisant un audit approprié. C'est la première étape le projet sur la protection des données personnelles. Liste complète ses phases clés :
1) Audit de la situation actuelle dans l'entreprise.
2) Concevoir une solution technique.
3) Préparation du processus de protection des données personnelles.
4) Vérification de la conformité de la solution technique et du processus de protection des données personnelles avec la législation de la Fédération de Russie et les règlements de l'entreprise.
5) Mise en place d'une solution technique.
6) Lancement de la démarche de protection des données personnelles.
1. Audit de la situation actuelle dans l'entreprise
Renseignez-vous dans un premier temps auprès de la DRH et des autres services utilisant des supports papier avec des données personnelles :
- Existe-t-il des formes de consentement au traitement des données personnelles ? Sont-ils remplis et signés ?
- Le « Règlement sur les spécificités des traitements de données à caractère personnel effectués sans recours à des outils d'automatisation » du 15 septembre 2008, n° 687, est-il respecté ?
Déterminer l'emplacement géographique de l'ISPD :
- Dans quels pays se trouvent-ils ?
- Pour quels motifs ?
- Existe-t-il des contrats pour leur utilisation ?
- Quelle protection technologique est utilisée pour empêcher les fuites de DP ?
- Quelles mesures organisationnelles sont prises pour protéger les données personnelles ?
Idéalement, un système d'information contenant des données personnelles de Russes devrait être conforme à toutes les exigences de la loi 152-FZ « sur les données personnelles », même s'il est situé à l'étranger.
Enfin, faites attention à la liste impressionnante de documents qui sont requis en cas de vérification (ce n'est pas tout, juste la liste principale) :
- Notification de traitement PD.
- Un document définissant la personne responsable de l'organisation du traitement des DP.
- La liste des employés admis au traitement des DP.
- Un document définissant le lieu de stockage des DP.
- Aide au traitement des catégories spéciales et biométriques de données personnelles.
- Certificat sur la mise en œuvre du transfert transfrontalier de PD.
- Formes typiques de documents avec PD.
- Forme typique de consentement au traitement de la DP.
- La procédure de transfert de données personnelles à des tiers.
- La procédure d'enregistrement des candidatures des personnes concernées.
- Liste des systèmes d'information sur les données personnelles (ISPDN).
- Documents réglementant la sauvegarde des données dans ISPDN.
- La liste des moyens de protection des informations utilisés.
- La procédure de destruction des données personnelles.
- Matrice d'accès.
- Modèle de menace.
- Journal de comptabilité des machines porteuses de données personnelles.
- Un document définissant les niveaux de sécurité pour chaque ISPD conformément à la PP-1119 du 1er novembre 2012 « Sur l'approbation des exigences de protection des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles ».
2. Concevoir une solution technique
Une description des mesures organisationnelles et techniques qui doivent être prises pour protéger les données personnelles est donnée au chapitre 4. « Obligations de l'exploitant » de la loi 152-FZ « Sur les données personnelles ». La solution technique doit être fondée sur les dispositions de l'article 2 de la loi 242-FZ du 21 juillet 2014.
Mais comment se conformer à la loi et traiter le PD des citoyens de la Fédération de Russie sur le territoire de la Russie dans le cas où le PDIS est toujours à l'étranger ? Il y a plusieurs options ici :
- Transfert physique du système d'information et de la base de données sur le territoire de la Fédération de Russie. Si c'est techniquement faisable, ce sera le plus simple.
- Nous laissons l'ISPD à l'étranger, mais en Russie, nous en créons une copie et établissons une réplication unidirectionnelle des données personnelles des citoyens de la Fédération de Russie de la copie russe vers la copie étrangère. Dans le même temps, dans un système étranger, il est nécessaire d'exclure la possibilité de modifier les données personnelles des citoyens de la Fédération de Russie, toutes modifications uniquement via l'ISPD russe.
- Il existe plusieurs ISPD et ils sont tous à l'étranger. Le transfert peut être coûteux, ou généralement techniquement impossible (par exemple, vous ne pouvez pas sélectionner une partie de la base de données contenant des données personnelles de citoyens de la Fédération de Russie et l'amener en Russie). Dans ce cas, la solution peut être de créer un nouvel ISPD sur n'importe quelle plate-forme disponible sur un serveur en Russie, à partir duquel la réplication unidirectionnelle vers chaque ISPD étranger sera effectuée. A noter que le choix de la plateforme reste à l'entreprise.
Si ISPD n'est pas complètement et monopolistiquement transféré vers la Russie, n'oubliez pas d'indiquer dans le certificat de transfert de données transfrontalier à qui et quel ensemble de PD est envoyé. Dans la notification de traitement, vous devez indiquer le but du transfert des données personnelles. Encore une fois, cet objectif doit être légitime et clairement justifié.
3. Préparation du processus de protection des données personnelles
Le processus de protection des données personnelles doit définir au moins les points suivants :
- Liste des personnes responsables du traitement des données personnelles dans l'entreprise.
- La procédure d'accès à l'ISPD. Idéalement, il s'agit d'une matrice d'accès avec un niveau d'accès pour chaque poste ou un employé spécifique (lecture/lecture-écriture/modification). Ou une liste de données personnelles disponibles pour chaque poste. Tout dépend de la mise en œuvre de la PI et des exigences de l'entreprise.
- Audit d'accès aux données personnelles et analyse des tentatives d'accès avec violation des niveaux d'accès.
- Analyse des raisons de l'indisponibilité des données personnelles.
- La procédure pour répondre aux demandes des sujets DP concernant leur DP.
- Révision de la liste des données personnelles qui sont transférées en dehors de l'entreprise.
- Révision des destinataires des données personnelles, y compris à l'étranger.
- Révision périodique du modèle de menace pour les données personnelles, ainsi qu'un changement du niveau de protection des données personnelles en lien avec une modification du modèle de menace.
- Support des documents de l'entreprise à jour (la liste est ci-dessus, et elle peut-être complétée, si nécessaire).
Ici, vous pouvez détailler chaque point, mais je veux porter une attention particulière au niveau de sécurité. Il est déterminé sur la base des documents suivants (lus séquentiellement) :
1. "Méthodologie pour déterminer les menaces réelles Sécurité données personnelles lors de leur traitement dans les systèmes d'information de données personnelles » (FSTEC RF 14 février 2008).
2. Décret du gouvernement de la Fédération de Russie n° 1119 du 1er novembre 2012 « sur l'approbation des exigences relatives à la protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles ».
3. Arrêté FSTEC n° 21 du 18 février 2013 « Approbation de la composition et du contenu des mesures organisationnelles et techniques visant à assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles.
N'oubliez pas non plus de considérer la nécessité de catégories de dépenses telles que :
- Organisation projet de groupe et gestion de projet.
- Développeurs pour chacune des plates-formes ISPDN.
- Capacités des serveurs (propres ou loués dans le centre de données).
À la fin des deuxième et troisième phases du projet, vous devriez avoir :
- Calcul des frais.
- Exigences de qualité.
- Termes et calendrier du projet.
- Risques techniques et organisationnels du projet.
4. Vérifier que la solution technique et le processus de protection des données personnelles sont conformes à la législation de la Fédération de Russie et aux règlements de l'entreprise
Une étape courte mais importante dans laquelle vous devez vous assurer que toutes les actions prévues ne sont pas en contradiction avec la législation de la Fédération de Russie et les règles de l'entreprise (par exemple, les politiques de sécurité). Si cela n'est pas fait, une bombe sera plantée dans les fondations du projet, qui peut « exploser » à l'avenir, détruisant les bénéfices des résultats obtenus.
5. Mise en place d'une solution technique
Tout est plus ou moins évident ici. Les détails dépendent de la situation initiale et des décisions. Mais en général, vous devriez obtenir quelque chose comme l'image suivante :
- Les capacités du serveur sont allouées.
- Les ingénieurs réseau ont fourni suffisamment débit canaux entre le récepteur et l'émetteur PDn.
- Les développeurs ont établi une réplication entre les bases de données ISPDN.
- Les administrateurs ont empêché les modifications des RNIS situés à l'étranger.
La personne responsable de la protection de la DP ou le « propriétaire du processus » peut être la même personne ou différente. Le fait même que le « propriétaire du processus » doit préparer toute la documentation et organiser l'ensemble du processus de protection des données personnelles. Pour ce faire, toutes les parties intéressées doivent être informées, les employés doivent être instruits et le service informatique doit favoriser la mise en œuvre de mesures techniques de protection des données.
6. Lancement de la démarche de protection des données personnelles
C'est une étape importante, et dans un sens, le but de tout le projet est de contrôler le flux. En plus des solutions techniques et des documents réglementaires, le rôle du propriétaire du processus est ici d'une importance cruciale. Il doit suivre les changements non seulement dans la législation, mais aussi dans l'infrastructure informatique. Cela signifie que des aptitudes et des compétences appropriées sont nécessaires.
En outre, ce qui est extrêmement important dans des conditions réelles, le propriétaire du processus de protection des DP a besoin de tous les pouvoirs nécessaires et du soutien administratif de la direction de l'entreprise. Sinon, il sera un éternel "suppliant" auquel personne ne prête attention, et au bout d'un moment, le projet pourra être relancé, en commençant à nouveau par un audit.
Nuances
Quelques points faciles à oublier :
- Si vous travaillez avec un centre de données, vous avez besoin d'un contrat de prestation de services pour la mise à disposition d'installations de serveur, selon lequel votre entreprise stocke les données sur une base légale et les contrôle.
- Vous avez besoin d'une licence pour le logiciel utilisé pour collecter, stocker et traiter des données personnelles, ou des contrats de location.
- Si l'ISPD est situé à l'étranger, un accord est nécessaire avec la société qui y possède le système - pour garantir le respect de la législation de la Fédération de Russie en ce qui concerne les données personnelles des Russes.
- Si des données personnelles sont transférées à un sous-traitant de votre entreprise (par exemple, un partenaire d'externalisation informatique), alors en cas de fuite de PD du sous-traitant, vous serez responsable des réclamations. À son tour, votre entreprise peut déposer une réclamation auprès du sous-traitant. Peut-être que ce facteur peut affecter le fait même de transférer le travail vers l'externalisation.
Et encore une fois, le plus important est que la protection des données personnelles ne peut être prise et assurée. C'est un processus. Un processus itératif en cours qui dépendra fortement des changements ultérieurs de la législation, ainsi que du format et de la rigueur de l'application de ces normes dans la pratique.
