기계적 인조 인간. 운영 체제. 멀티미디어. 소셜 미디어. 도구. 코덱. 그래픽 아트
현재 위치: » »

온라인 뱅킹 시스템의 개인 데이터 보호. Alfa Bank OJSC의 개인 데이터 보호 시스템 개선 은행 부문의 개인 데이터

필요한 규칙의 구현을 제어합니다. 사용된 문헌 목록:

1. 연방법 "은행 및 은행 활동에 관한"

2. www.Grandars.ru [ 전자자원] 액세스 모드: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (접속 날짜: 2016년 5월 5일)

3. In-bank.ru [전자 자원] 접속 모드: http://journal.ib-bank.ru/post/411 (접속 날짜: 2016년 5월 5일)

Khlestova 다리아 로베르토브나

이메일: [이메일 보호됨]

은행 부문의 개인정보 보호 기능

주석

이 기사에서는 은행 업계에서 고객 개인 데이터를 보호하는 기능에 대해 설명합니다. 은행에서 개인 데이터를 처리하고 보호하기 위한 시스템을 구축해야 하는 기반으로 여러 규제 및 법적 행위가 나열되어 있습니다. 은행 기관의 데이터 보안을 조직하기 위한 조치 목록이 강조되었습니다.

키워드

개인 데이터, 은행 보안, 정보 보안,

개인정보 보호

정보기술 시대에 개인정보 보호는 특히 중요해졌습니다. 공격자가 조직의 정보 시스템을 공격하여 기밀 정보에 접근하는 사례가 점점 더 많아지고 있습니다. 의심할 바 없이, 공격은 은행 부문을 우회하지 않습니다. 은행 시스템에는 고객의 개인 데이터가 많이 포함되어 있으므로 보안은 국가와 금융 기관 소유자의 세심한 주의를 기울여야 합니다.

첫째, 개인이 고객이 되면 은행에서 어떤 개인 데이터를 사용할 수 있는지 이해하는 것이 좋습니다. 따라서 성, 이름 및 후원이 필요합니다. 생년월일 및 출생지 시민권; 등록 장소 및 실제 거주지; 모든 여권 데이터(시리즈, 번호, 문서 발행 시기 및 발급자) 휴대폰 번호와 집 전화; 근무지, 직위. 대부분의 경우 기관에서는 개인에게 요청하고, 추가 정보, 그러나 그것 없이도 사람이 은행에 맡긴 데이터 목록은 인상적인 것으로 나타났습니다. 물론, 고객은 자신의 개인 데이터가 처리 및 저장되는 동안 안정적으로 보호되기를 바랍니다.

금융 기관이 개인 데이터를 처리하고 보호하기 위한 시스템을 효율적으로 구성할 수 있으려면 은행이 고객의 개인 데이터를 처리할 때 의존해야 하는 규제 및 법적 조치 목록을 개괄적으로 설명해야 합니다. 러시아 연방은 국가의 가장 중요한 문서입니다. 러시아 연방 노동법; 러시아 연방 민법 및 형법; 연방법 제 152호 "개인 데이터에 관한"; 연방법 제 149 호 "에

정보, 정보 기술 및 정보 보호”; 연방법 No. 395-1 "은행 및 은행 활동에 관한". 또한 은행에서는 개인 데이터 처리 및 저장 시스템을 만들 때 데이터 작업에 대한 추가 제어를 제공하는 여러 로컬 문서가 생성됩니다.

은행 조직고객으로부터 개인 데이터를 받은 후, 회사는 무단 접근(우발적 또는 고의적), 차단, 수정, 파괴 및 기타 불법 행위로부터 자신에게 맡겨진 정보를 보호하기 위해 모든 조직적, 기술적 조치를 수행할 의무가 있습니다. 은행의 개인 데이터 처리 및 보호를 위한 고품질 조직을 위한 여러 조치를 강조할 가치가 있습니다. 은행 정보 시스템의 데이터 처리 및 보안을 담당하는 담당자 임명 은행의 데이터 보안 시스템의 기반이 되는 관련 규제 프레임워크 및 내부 문서에 대한 직원의 숙지 및 통제 조치 구현 은행에서 개인 데이터를 처리하는 동안 위협 식별 및 이에 대응하는 조치 보호 시스템을 실행하기 전에 데이터 보호를 보장하기 위해 적용된 조직적, 기술적 조치의 효율성을 평가합니다. 개인 데이터의 모든 컴퓨터 저장 매체에 대한 회계 직원의 처리 및 보안 시스템에 대한 접근 규칙을 수립합니다. 보호된 데이터에 대한 무단 액세스가 감지되면 위협을 제거하고 손실된 데이터를 복원하기 위한 조치가 취해집니다. 그리고 고객 개인 데이터를 저장하고 보호하기 위한 기존 시스템을 갖춘 은행에 대한 필수 조치는 보안 시스템의 지속적인 모니터링과 개선입니다.

따라서 은행에서 개인 데이터의 처리, 저장 및 보호는 러시아 연방의 규제 체계에서 정의한 조건에 따라 수행되어야 한다는 점은 주목할 가치가 있습니다. 각 금융 기관은 다음을 수행해야 합니다. 고객의 개인 데이터 보호를 조직할 때 합법성의 원칙을 준수해야 합니다. 조직 및 기술 데이터 보호를 위한 광범위한 조치를 수행합니다. 담보 관련 현지 문서 작성 시 정보 보안이 분야에서 최고의 러시아 및 국제 관행에 의존합니다. 고객의 개인 데이터 보호를 보장하기 위해 규제 당국(FSTEK, Roskomnadzor, FSB)의 모든 요구 사항을 준수합니다.

사용된 문헌 목록:

1. Khlestova D.R., Popov K.G. “개인정보 보호의 법적 측면 문제에 대해”

2. 연방법 "은행 및 은행 활동에 관한"

3. 러시아 은행 [전자 자원] 접속 모드: http://www.cbr.ru/ (접속 날짜: 2016년 5월 6일)

©Khlestova D.R., Popov K.G., 2016

Khlestova 다리아 로베르토브나

IUPP BashSU 2학년 학생, 우파, 러시아 연방 이메일: [이메일 보호됨] Popov Kirill Gennadievich Ph.D., 부교수, 정보 보안학과, Bashkir State University, Ufa, Russian Federation

이메일: [이메일 보호됨]

정보를 획득하는 가장 합법적인 방법인 비즈니스 인텔리전스

주석

이 기사에서는 비즈니스 인텔리전스 방법에 대해 설명합니다. 또한 비즈니스 인텔리전스가 비즈니스에서 합법적인 활동인 이유도 설명합니다. 준수해야 할 강조된 기본 원칙은 다음과 같습니다.

유사한 문서

    개인 데이터 보호를 위한 입법 체계. 정보 보안 위협의 분류. 개인 데이터베이스. 엔터프라이즈 LAN의 설계 및 위협. PC용 기본 소프트웨어 및 하드웨어 보호. 기본 보안 정책.

    논문, 2011년 6월 10일에 추가됨

    개인정보 보안 시스템을 구축하기 위한 전제조건입니다. 정보 보안 위협. ISPD에 대한 무단 액세스 소스. 개인 데이터 정보 시스템 설계. 정보 보안 도구. 보안 정책.

    과정 작업, 2016년 10월 7일에 추가됨

    분산정보시스템의 구조와 그 안에서 처리되는 개인정보를 분석합니다. 현재 위협으로부터 개인 데이터의 보안을 보장하기 위한 기본 조치 및 수단 선택. 프로젝트를 생성하고 유지하는 데 드는 비용을 결정합니다.

    논문, 2011년 7월 1일에 추가됨

    엔터프라이즈 액세스 제어 및 관리 시스템. 가공정보 분석 및 ISPD 분류. OJSC MMZ의 개인 데이터 정보 시스템 ACS에서 개인 데이터를 처리하는 동안 개인 데이터 보안에 대한 위협 모델 개발.

    논문, 2012년 4월 11일에 추가됨

    컴퓨터 수업에 있는 개인 데이터 정보 시스템을 갖추기 위한 주요 기술 솔루션에 대한 설명입니다. 서브시스템 바이러스 백신 보호. 정보 보안 조치 시행을 준비하는 활동.

    코스 작업, 2013년 9월 30일에 추가됨

    문서화된 정보의 기밀성 및 보안. 조직 활동에 사용되는 개인 데이터 유형. 보호를 보장하는 분야의 법률 개발. 러시아 연방의 정보 보안을 보장하는 방법.

    프레젠테이션, 2016년 11월 15일에 추가됨

    정보 보안 위험 분석. 기존 및 계획된 보호 수단 평가. 정보 보안과 기업 정보 보호를 보장하기 위한 일련의 조직적 조치입니다. 프로젝트 구현 및 설명의 테스트 예입니다.

    논문, 2012년 12월 19일에 추가됨

    러시아 정보 보안 분야의 규제 문서. 정보 시스템에 대한 위협 분석. 병원의 개인정보 보호 시스템 구성의 특징. 전자키를 이용한 인증시스템 구현.

    논문, 2016년 10월 31일 추가됨

    일반 정보기업의 활동에 대해. 기업의 정보 보안 개체. 정보보호 조치 및 수단. 이동식 미디어에 데이터를 복사합니다. 내부 백업 서버를 설치합니다. 정보보안 시스템 개선의 효율성.

    테스트, 2013년 8월 29일에 추가됨

    정보에 대한 주요 위협. 데이터 보호를 보장하는 개념, 방법 및 방법. 보호 시스템 요구 사항. 권한 부여 메커니즘 정보 베이스사용자 유형을 결정합니다. 보안 시스템에 대한 관리자의 작업입니다.

소개

관련성. 안에 현대 세계정보는 경제적으로 발전한 국가의 주요 부 중 하나인 전략적 자원이 됩니다. 러시아의 정보화의 급속한 개선, 개인, 사회 및 국가의 중요한 이익이 있는 모든 영역에 대한 정보화의 침투는 의심할 여지 없는 이점 외에도 여러 가지 중요한 문제의 출현을 초래했습니다. 그 중 하나는 정보를 보호해야 한다는 것이었습니다. 현재 경제적 잠재력이 정보 구조의 발전 수준에 따라 점점 더 결정되고 있다는 점을 고려할 때, 정보 영향으로 인한 경제의 잠재적 취약성은 그에 비례하여 증가하고 있습니다.

확산 컴퓨터 시스템, 이를 통신 네트워크에 결합하면 전자적으로 침투할 가능성이 높아집니다. 전 세계 모든 국가의 컴퓨터 범죄 문제는 지리적 위치에 관계없이 점점 더 많은 대중의 관심을 끌고 이러한 유형의 범죄에 맞서 싸우기 위한 조직적인 노력을 필요로 합니다. 자동화된 은행 시스템과 전자상거래에서 범죄가 특히 널리 퍼졌습니다. 외국 자료에 따르면 컴퓨터 범죄로 인한 은행 손실은 연간 수십억 달러에 이릅니다. 러시아에서 최신 정보 기술의 구현 수준은 그리 중요하지 않지만 컴퓨터 범죄는 날로 점점 더 많이 느껴지고 있으며 국가와 사회를 보호하는 것이 관할 당국의 최우선 과제가 되었습니다.

개인정보 보호 문제의 관련성을 의심하는 사람은 아무도 없습니다. 이는 주로 개인 데이터 정보 시스템(PDIS)을 2006년 7월 27일자 연방법 No. 152-FZ "개인 데이터에 관한" 준수로 설정한 기한 때문입니다. 이 마감일은 엄청나게 다가오고 있으며 동시에 규제 지침 문서의 요구 사항을 충족하는 데 따른 명백한 어려움은 많은 논란과 모호한 해석을 불러일으킵니다. 동시에 일부 관리 문서의 비밀성, 불확실한 법적 지위 및 기타 여러 문제는 문제 해결에 기여하지 않습니다. 이 모든 것이 규제 체계가 아직 확정되지 않은 상황을 만들고 있으며 이제 법적 요구 사항을 준수해야 합니다.

2009년 5월 첫 회의 개최 실무 그룹 ARB의 개인 데이터 문제에 대해. 이번 행사에서는 공개 토론을 통해 은행계가 우려하는 문제 영역이 매우 명확하게 확인되었습니다. 주로 개인 데이터의 기술적 보호와 금융 기관과 FSTEC 간의 향후 상호 작용에 관한 것입니다. 러시아 은행 대표자들은 "개인 데이터에 관한"법률 시행을 조직하는 연설에서 발표했습니다. 근본적으로 새롭고 중요한 것은 러시아 은행이 공식화와 관련하여 규제 기관과 타협점을 찾으려는 시도입니다. 기술 요구 사항은행 커뮤니티를 위해. 특히 러시아 FSTEC과 협력하는 러시아 중앙은행의 활동에 주목하고 싶습니다. 러시아 은행은 FSTEC 관리 문서의 요구 사항을 충족하는 데 많은 어려움이 있다는 점을 고려하여 현재 FSTEC과 일치하는 자체 문서(초안 문서)를 준비하기로 결정했습니다. 개인정보에 대한 금융기관의 새로운 산업표준이 등장할 가능성이 높다고 추측할 수 있다.

목적 코스 작업온라인 뱅킹 시스템에서 개인 데이터를 보호하는 방법에 대한 연구입니다.

목표를 달성하기 위해 다음 작업이 해결되었습니다.

보안을 보장하는 접근 방식과 기본 원칙을 연구합니다.

보안을 보장하는 방법 및 수단 결정;

온라인 뱅킹 시스템에서 개인 데이터의 보안을 보장하는 기능을 식별합니다.

온라인 뱅킹 시스템의 개인 데이터 보안을 보장하기 위한 조치 개발.

연구의 대상은 은행 정보 시스템입니다.

연구 주제는 온라인 뱅킹 시스템의 개인정보 보안입니다.

연구의 이론적, 방법론적 기초는 다음과 같다. 이론적 원리, 과학자의 연구, 정보 제공 문제에 대한 전문가의 연구.

과정 작업의 방법론적 기초는 보안 문제 연구에 대한 체계적인 접근 방식이었습니다.

논리적 분석, 비교법적 분석, 체계적 분석이 사용되었습니다. 또한 사용된 구조 분석 방법을 사용하면 연구 중인 현상의 개별 구성 요소를 주의 깊게 연구하고 이러한 요소 간의 관계는 물론 전체 전체와의 관계를 분석할 수 있습니다.

1. 온라인 뱅킹 시스템의 개인정보 보호에 대한 이론적 측면

1.1 접근 방식, 보안 원칙

정보 시스템의 보안을 보장한다는 것은 운영 모드에서 우발적이거나 의도적인 간섭으로부터 정보 시스템을 보호하는 조치를 의미합니다.

컴퓨터 보안을 보장하는 데는 두 가지 기본 접근 방식이 있습니다.

그 중 첫 번째는 단편화되어 있으며 프레임워크 내에서 특정 조건(예: 특수 안티 바이러스 도구, 독립 실행형 암호화 도구 등)에서 엄격하게 정의된 위협에 대응하는 데 중점을 두고 있습니다. 이 접근 방식에는 엄격하게 정의된 문제와 관련하여 높은 수준의 선택성을 제안하는 장점과 보호 단편화를 제안하는 단점이 있습니다. 엄격하게 정의된 요소

정보 보안 관리 프로세스에는 그림 1에 표시된 구성 요소가 포함됩니다. 1.

두 번째 접근 방식은 체계적이며 그 특징은 프레임워크 내에서 정보 보호가 더 큰 규모로 처리된다는 것입니다. 소프트웨어 및 하드웨어, 법적, 조직적, 경제적. 지정된 보안 환경을 통해 자동화된 정보 시스템의 보안을 일정 수준 보장할 수 있습니다.

정보 보호에 대한 체계적인 접근 방식은 다음 방법론적 원칙을 기반으로 합니다.

최종 목표 - 최종(전역) 목표의 절대 우선순위입니다.

통일성 - 시스템 전체에 대한 공동 고려"와 부분(요소)의 모음;

연결성 - 환경과의 연결과 함께 시스템의 모든 부분을 고려합니다.

모듈식 구성 - 시스템의 모듈을 식별하고 이를 모듈 세트로 간주합니다.

계층 구조 - 부품(요소)의 계층 구조와 순위를 소개합니다.

기능성 - 구조보다 기능을 우선시하여 구조와 기능을 공동으로 고려합니다.

개발 - 시스템의 가변성, 개발, 확장, 부품 교체, 정보 축적 능력을 고려합니다.

분권화 - 결정 및 관리에 있어서 중앙집중화와 분권화의 조합;

불확실성 - 시스템의 불확실성과 우발성을 고려합니다.

현대 연구자들은 다음과 같은 방법론적 사항을 식별합니다.

정보(컴퓨터 포함) 보안의 조직 및 구현 원칙.

합법성의 원칙. 정보 보안 분야의 현행법에 따라 구성됩니다.

불확실성의 원리: 주체의 행동이 모호하기 때문에 발생합니다. 누가, 언제, 어디서, 어떻게 보호 대상의 보안을 침해할 수 있습니까?

이상적인 보호 시스템을 만드는 것이 불가능하다는 원칙. 이는 이러한 자금의 불확실성과 제한된 자원의 원칙에 따른 것입니다.

최소 위험과 최소 피해의 원칙은 이상적인 보호 시스템을 만드는 것이 불가능하기 때문에 발생합니다. 이에 따라 언제든지 보호 대상의 특정 존재 조건을 고려할 필요가 있습니다.

안전한 시간의 원칙은 절대 시간을 고려하는 것입니다. 그 동안 보호 대상을 보존해야 합니다. 및 상대 시간, 즉 악의적인 행위가 탐지된 순간부터 공격자가 목표를 달성할 때까지의 시간입니다.

"모든 사람으로부터 모든 사람을 보호한다"는 원칙. 여기에는 불확실성 원칙의 결과인 보호 대상에 대한 모든 형태의 위협에 대한 보호 조치의 조직이 포함됩니다.

개인 책임의 원칙. 권한, 기능적 책임 및 현재 지침의 틀 내에서 보안 체제를 준수하기 위해 기업, 기관 및 조직의 각 직원의 개인적인 책임을 맡습니다.

권한 제한의 원칙. 이는 정상적인 기능적 직무 수행을 위해 접근이 필요하지 않은 정보에 익숙해지는 주체의 권한을 제한하고 대상 및 영역에 대한 접근을 금지하는 것을 포함합니다. 그의 활동 특성상 체류가 필요하지 않습니다.

상호 작용과 협력의 원칙. 내부적으로는 보안(정보 보안 포함)을 담당하는 직원과 직원 간의 신뢰 관계를 구축하는 것이 포함됩니다. 외부 표현 - 모든 관심 있는 조직 및 개인(예: 법 집행 기관)과 협력을 구축합니다.

복잡성과 개별성의 원칙 이는 어떤 하나의 조치로는 보호 대상의 보안을 보장할 수 없으며 특정 조건에 대한 개별적인 참조를 통해 구현되는 복잡하고 상호 연결되고 중복되는 일련의 조치를 통해서만 보장할 수 있음을 의미합니다.

연속적인 안전선의 원칙 보호 장비의 조기 경보 신호가 안전을 담당하는 직원에게 기회를 제공할 가능성을 높이기 위해 특정 보호 대상의 보안 침해 또는 기타 불리한 사고에 대해 가능한 가장 빠른 시일 내에 통지하는 것을 포함합니다. 경보의 원인을 적시에 파악하고 효과적인 대응책을 마련합니다.

보호선의 동일한 강도와 동일한 전력의 원칙. 동일한 강도는 보호 라인 내에 보호되지 않은 영역이 없음을 의미합니다. 동등성은 보호 대상에 대한 위협 정도에 따라 보호 라인의 보호 수준이 상대적으로 동일하다는 것을 전제로 합니다.

기업에서 정보 보안을 보장하는 방법은 다음과 같습니다.

장애물은 보호되는 정보(장비, 저장매체 등)에 대한 공격자의 경로를 물리적으로 차단하는 방법이다.

접근 제어는 기업의 자동화된 정보 시스템의 모든 자원 사용을 규제하여 정보를 보호하는 방법입니다. 액세스 제어에는 다음과 같은 보안 기능이 포함됩니다.

정보 시스템의 사용자, 인력 및 자원 식별(각 개체에 개인 식별자 할당)

제시된 식별자를 사용하여 객체 또는 주체의 인증(진위성 확립);

권한 확인(요일, 시간, 요청된 리소스 및 절차가 확립된 규정을 준수하는지 확인)

보호 자원에 대한 요청 등록

응답(알람, 종료, 작업 지연, 무단 작업 시도 시 요청 거부).

마스킹은 기업의 자동화된 정보 시스템에 있는 정보를 암호화 방식으로 폐쇄하여 보호하는 방법입니다.

규제는 그러한 조건을 만드는 정보 보호 방법입니다. 자동화된 처리, 정보의 저장 및 전송에 대한 무단 액세스 가능성이 최소화됩니다.

강제란 사용자와 시스템 직원이 물질적, 행정적, 형사적 책임을 위협하는 가운데 보호된 정보의 처리, 전송 및 사용에 대한 규칙을 준수하도록 강요하는 정보 보호 방법입니다.

인센티브는 사용자와 시스템 직원이 확립된 도덕적, 윤리적 기준을 준수함으로써 확립된 규칙을 위반하지 않도록 장려하는 정보 보안 방법입니다.

위의 정보 보안 보장 방법은 물리적, 하드웨어, 소프트웨어, 하드웨어-소프트웨어, 암호화, 조직적, 입법적, 도덕적, 윤리적 기본 수단을 사용하여 구현됩니다.

물리적 보호 수단은 사물 영역의 외부 보호, 기업의 자동화된 정보 시스템 구성 요소 보호를 위한 것이며 자율 장치 및 시스템의 형태로 구현됩니다.

하드웨어 보호란 자동화된 정보 시스템의 블록에 직접 내장되거나 다음 형식으로 설계된 전자, 전자 기계 및 기타 장치를 의미합니다. 독립 장치그리고 이 블록들과 결합합니다. 그들은 다음을 위한 것입니다 내부 보호컴퓨터 장비 및 시스템의 구조 요소: 터미널, 프로세서, 주변 장비, 통신 회선 등

소프트웨어 보호 도구는 논리적 및 지적 보호 기능을 수행하도록 설계되었으며 자동화된 정보 시스템의 소프트웨어 또는 도구, 컴플렉스 및 제어 장비 시스템의 구성에 포함됩니다.

정보 보안 소프트웨어는 가장 일반적인 보호 유형으로, 다양성, 유연성, 구현 용이성, 변경 및 개발 가능성과 같은 긍정적인 속성을 가지고 있습니다. 이러한 상황으로 인해 이는 동시에 기업의 정보 시스템을 보호하는 데 가장 취약한 요소가 됩니다.

하드웨어-소프트웨어 보호 수단은 소프트웨어(펌웨어)와 하드웨어 부분이 완전히 상호 연결되어 분리할 수 없는 수단입니다.

암호화 수단은 정보를 변환(암호화)하여 보호하는 수단입니다.

조직적 수단 - 직원의 행동을 규제하기 위한 조직적, 기술적, 조직적, 법적 조치.

입법 수단은 제한된 접근 정보의 사용, 처리 및 전송에 대한 규칙을 규제하고 이러한 규칙 위반에 대한 처벌을 설정하는 국가의 법적 행위입니다.

도덕적, 윤리적 수단 - 사회의 규범, 전통(예: 미국 컴퓨터 사용자 협회 회원을 위한 직업 행동 강령).

1.2 보안 방법 및 수단

보안 조치를 구현하기 위해 다양한 암호화 메커니즘이 사용됩니다. 이러한 방법은 무엇을 위해 사용됩니까? 처음에는 데이터(텍스트, 음성 또는 그림)를 보낼 때 보호되지 않거나 전문가가 말하는 대로 공개됩니다. 공개 데이터는 (의도적이든 아니든) 다른 사용자가 쉽게 가로챌 수 있습니다. 특정 정보가 제3자에게 접근되는 것을 방지하려는 목적이 있는 경우 해당 데이터는 암호화됩니다. 지정된 정보를 수신하려는 사용자는 암호의 역변환을 사용하여 이를 해독하고 필요한 형식의 데이터를 받습니다.

암호화는 대칭(하나의 비밀 키는 암호화에 사용됨)과 비대칭(하나의 공개 키는 암호화에 사용되고 다른 공개 키는 상호 연관되지 않은 해독에 사용됨 - 즉, 둘 중 하나를 알고 있으면 다른 키를 결정할 수 없음)이 될 수 있습니다.

보안 메커니즘에는 다음이 포함됩니다.

) 디지털 전자 서명 메커니즘은 비대칭 암호화 알고리즘을 기반으로 하며 발신자의 서명 형성과 수신자의 인식이라는 두 가지 절차를 포함합니다. 보낸 사람이 서명을 생성하면 데이터 블록이 암호화되거나 암호화 체크섬으로 보완되며 두 경우 모두 보낸 사람의 비밀 키가 사용됩니다. 식별에는 공개 키가 사용됩니다.

) 액세스 제어 메커니즘은 네트워크 리소스에 액세스하는 프로그램 및 사용자의 권한을 확인합니다. 연결을 통해 리소스에 액세스하면 시작 지점과 중간 지점은 물론 끝 지점에서도 제어가 수행됩니다.

) 데이터 무결성 메커니즘은 개별 블록과 데이터 스트림에 적용됩니다. 송신자는 암호화폐 수량으로 전송된 블록을 완성하고, 수신자는 이를 수신된 블록에 해당하는 암호화폐 값과 비교합니다. 불일치는 블록의 정보가 왜곡되었음을 나타냅니다.

) 트래픽 설정 메커니즘. 이는 AIS 객체에 의한 블록 생성, 암호화 및 네트워크 채널을 통한 전송 구성을 기반으로 합니다. 이는 관찰을 통해 정보를 얻을 가능성을 무력화합니다. 외부 특성의사소통 채널을 통해 순환하는 흐름.

) 라우팅 제어 메커니즘은 안전하지 않고 물리적으로 신뢰할 수 없는 채널을 통한 비밀 정보의 전송을 배제하는 방식으로 통신 네트워크를 통한 정보 이동 경로의 선택을 보장합니다.

) 중재 메커니즘은 제3자가 법인 간에 전송한 데이터의 특성을 확인합니다. 이를 위해 객체가 보내거나 받은 정보는 중재자를 통과하여 이후에 언급된 특성을 확인할 수 있습니다.

경제 시설 보안 시스템의 주요 단점은 다음과 같습니다.

-시설 안전 문제에 대한 협소하고 비체계적인 이해;

-위협 예방을 무시하고 "위협이 나타나면 제거하기 시작합니다"라는 원칙에 따라 작업합니다.

-보안 경제성의 무능력, 비용과 결과 비교의 무능력;

-관리 및 보안 전문가의 "기술주의", 익숙한 영역의 언어로 모든 작업을 해석합니다.

작업 첫 번째 장의 결론으로 ​​우리는 다음을 결정합니다. 정보 시스템의 보안 보장은 운영 모드에서 우발적이거나 의도적인 간섭으로부터 정보 시스템을 보호하는 특정 조치를 의미합니다. 보안을 보장하기 위해 두 가지 주요 접근 방식이 있습니다. 1) 단편화, 특정 조건에서 특정 위협에 대응합니다. 2) 위협에 대응하는 다양한 방법과 수단을 결합하여 정보의 처리, 저장 및 전송을 위한 안전한 환경을 조성하는 체계적 정보를 보호하기 위해, 다양한 수단그리고 메커니즘. 수단에는 암호화, 디지털 전자 녹음, 액세스 제어, 트래픽 스테이징 등

은행 온라인 시스템안전

2. 온라인 뱅킹 시스템의 개인정보 보안 보장 기능

2.1. 온라인 뱅킹 시스템의 개인 데이터 보안을 보장하기 위한 일반 조건

보호 개인 정보- 이는 해당 정보의 소유자 또는 사용자에게 피해를 줄 수 있는 우발적 또는 의도적 영향으로부터 정보 및 해당 지원 인프라(컴퓨터, 통신 회선, 전원 공급 시스템 등)의 보안 상태입니다.

자격 증명의 정보 보안은 또한 컴퓨터의 신뢰성 보장, 귀중한 자격 증명의 안전, 승인되지 않은 사람에 의한 개인 정보 변경으로부터의 보호, 전자 통신에서 문서화된 자격 증명의 보존을 의미합니다.

회계에서 정보 보안의 대상은 다음과 같습니다. 정보 자원영업 비밀 및 기밀 정보로 분류된 정보가 포함된 경우 정보 기술 도구 및 시스템도 포함됩니다.

정보 자원, 정보 시스템, 기술 및 이를 지원하는 수단의 소유자는 해당 객체의 소유권과 사용을 행사하고 법이 정한 한도 내에서 처분 권한을 행사하는 주체입니다.

정보이용자는 자신이 필요로 하는 정보를 획득하고 이를 이용하기 위해 정보시스템이나 중개자를 찾는 주체이다.

정보 자원은 개별 문서와 개별 문서 배열, 문서 및 문서 배열입니다. 정보 시스템.

정보 보안 위협은 구성 요소에 미치는 영향을 통해 다음과 같은 잠재적인 조치로 구성됩니다. 개인 시스템정보자원의 소유자나 시스템 사용자에게 피해를 줄 수 있습니다.

정보 자원의 법적 체제는 다음을 설정하는 규칙에 의해 결정됩니다.

정보 문서화 절차;

개별 문서 및 개별 파일의 소유권

정보 시스템의 문서, 문서 및 문서 배열; 접근 수준에 따른 정보 카테고리 정보의 법적 보호 절차.

회계에서 정보 위협을 구현할 때 위반되는 주요 원칙은 정보를 문서화하는 원칙입니다. 자동 회계 정보 시스템에서 수신된 회계 문서는 러시아 연방 법률에 따라 공무원이 서명한 후 법적 효력을 갖습니다.

회계상의 잠재적 위협 전체는 발생 특성에 따라 자연적(객관적) 및 인위적이라는 두 가지 클래스로 나눌 수 있습니다.

자연적 위협은 일반적으로 회계사의 통제를 넘어서는 객관적인 이유로 인해 발생하며 회계 부서와 해당 구성 요소가 완전히 또는 부분적으로 파괴됩니다. 이러한 자연 현상에는 지진, 번개, 화재 등이 포함됩니다.

인간이 만든 위협은 인간 활동과 관련이 있습니다. 이는 직원의 부주의로 인해 실수를 저지르는 능력이나 피로, 질병 등으로 인해 발생하는 의도하지 않은 (비의도적)으로 나눌 수 있습니다. 예를 들어, 회계사가 컴퓨터에 정보를 입력할 때 잘못된 키를 누르거나, 프로그램에 의도하지 않은 오류를 일으키거나, 바이러스를 유입시키거나, 실수로 비밀번호를 공개할 수 있습니다.

의도적 (의도적) 위협은 사람들의 이기적인 열망, 즉 의도적으로 허위 문서를 생성하는 공격자와 관련이 있습니다.

보안 위협은 초점에 따라 다음 그룹으로 나눌 수 있습니다.

자격 증명 데이터베이스의 데이터 침투 및 읽기 위협 컴퓨터 프로그램처리;

지불 문서(지불 요청, 주문 등)의 위조를 포함하여 자격 증명의 파기 또는 수정으로 이어지는 자격 증명의 안전에 대한 위협

사용자가 자격 증명에 액세스할 수 없을 때 발생하는 데이터 가용성 위협

한 사용자가 다른 사용자에게 메시지를 전송한 후 전송된 데이터를 확인하지 않을 경우 작업 수행을 거부하겠다고 위협합니다.

정보 프로세스는 정보를 수집, 처리, 축적, 저장, 검색 및 배포하는 프로세스입니다.

정보 시스템은 조직적으로 주문된 문서 세트(컴퓨터 기술 및 통신 사용을 포함한 문서 및 정보 기술의 배열, 구현 정보 프로세스).

정보의 문서화는 사무 조직, 문서 및 그 배열 표준화, 러시아 연방 보안을 담당하는 정부 기관이 확립한 방식으로 수행됩니다.

위협의 근원에 따라 내부 위협과 외부 위협으로 나눌 수 있습니다.

내부 위협의 원인은 조직 직원의 활동입니다. 외부 위협외부 조직의 직원, 해커 및 기타 사람으로부터 유입됩니다.

외부 위협은 다음과 같이 나눌 수 있습니다.

로컬 침입자는 조직의 영역에 침입하여 다음에 대한 액세스 권한을 얻습니다. 별도의 컴퓨터또는 로컬 네트워크;

원격 위협은 다음과 연결된 시스템에서 일반적입니다. 글로벌 네트워크(인터넷, 국제은행 결제시스템 SWIFT 등)

이러한 위험은 전자결제 시스템에서 공급자와 구매자 간 대금지불 시, 인터넷망을 이용한 대금결제 시 가장 자주 발생합니다. 이러한 정보 공격의 출처는 수천 킬로미터 떨어진 곳에 있을 수 있습니다. 또한 컴퓨터뿐만 아니라 회계 정보도 영향을 받습니다.

회계 위험의 증가로 이어지는 회계의 의도적 및 비의도적 오류는 다음과 같습니다. 회계 데이터 기록 오류; 잘못된 코드, 무단 회계 거래, 통제 한계 위반; 놓쳤다 계정; 데이터 처리 또는 출력 오류; 디렉토리 형성 또는 수정 오류; 불완전한 계정; 기간에 대한 기록의 잘못된 할당; 데이터 위조; 규제 요구 사항 위반; 개인 정책 원칙 위반 서비스 품질과 사용자 요구 사이의 불일치.

영업 비밀을 구성하고 개인 및 보고 정보(파트너, 고객, 은행에 관한 데이터, 시장 활동에 대한 분석 정보)와 관련된 정보는 특히 위험합니다. 이 정보 및 이와 유사한 정보를 보호하려면 회계, 금융 서비스 및 기타 경제 부서 직원과 공개 대상이 아닌 정보 목록을 명시하는 계약을 체결해야 합니다.

자동 회계 시스템의 정보 보호는 다음과 같은 기본 원칙을 기반으로 합니다.

분류된 정보와 미기밀 정보를 처리하기 위한 영역을 물리적으로 분리합니다.

정보의 암호화 보호를 보장합니다. 가입자 및 가입자 설치 인증을 보장합니다. 정보에 대한 주체의 접근 및 프로세스의 차별화를 보장합니다. 커뮤니케이션 채널을 통해 전송될 때 다큐멘터리 메시지의 신뢰성과 무결성을 보장합니다.

다음을 통한 기밀 정보 유출로부터 시스템의 장비 및 기술적 수단, 해당 시설이 위치한 장소를 보호합니다. 기술 채널.

암호화 기술, 장비, 기술 및 소프트웨어하드웨어 및 소프트웨어 북마크로 인한 정보 유출로부터

자동화 시스템의 소프트웨어 및 정보 부분의 무결성에 대한 제어를 보장합니다.

보호 메커니즘으로 국내 것만 사용

러시아 연방의 국가 정보 자원은 공개되어 있으며 공개적으로 접근 가능합니다. 법률에 따라 접근이 제한된 것으로 분류된 문서화된 정보는 예외입니다. 문서화된 정보 제한된 액세스법적 제도의 조건에 따라 국가 비밀과 기밀로 분류되는 정보로 구분됩니다. 기밀 정보 목록, 특히 상업 활동과 관련된 정보는 1997년 3월 6일자 러시아 연방 대통령령 제188호(부록 번호) 개발에 의해 제정되었습니다.

조직 및 정권 보호 조치를 보장합니다. 시스템의 통신 보안을 보장하기 위해 추가 조치를 사용하는 것이 좋습니다.

정보 교환의 강도, 기간 및 트래픽에 대한 정보 보호를 구성합니다.

가로채기를 어렵게 만드는 정보를 전송하고 처리하기 위해 채널과 방법을 사용합니다.

무단 액세스로부터 정보를 보호하는 것은 보호되는 정보의 세 가지 주요 속성을 형성하는 것을 목표로 합니다.

기밀성(기밀 정보는 의도된 사람만 접근할 수 있어야 함)

무결성(중요한 결정의 기초가 되는 정보는 신뢰할 수 있고 정확해야 하며 의도하지 않은 악의적인 왜곡으로부터 완전히 보호되어야 함)

준비 상태(정보 및 관련 정보 서비스가 이용 가능해야 하며 필요할 때마다 이해관계자에게 서비스를 제공할 준비가 되어 있어야 함)

개인정보 보호를 보장하는 방법은 다음과 같습니다. 접근통제, 위장, 규제, 강요, 유인.

장애물은 보호된 개인정보에 대한 공격자의 경로를 물리적으로 차단하는 방법으로 간주되어야 합니다. 이 방법은 입구에 보안이 존재하고 승인되지 않은 사람이 회계 부서, 현금 데스크 등에 접근하는 경로를 차단하는 등 기업의 액세스 시스템에 의해 구현됩니다.

액세스 제어는 다음을 통해 구현되는 개인 정보 및 보고 정보를 보호하는 방법입니다.

인증 - 제시된 식별자를 통해 객체 또는 주체의 진위 여부를 확인합니다(입력된 식별자를 컴퓨터 메모리에 저장된 식별자와 비교하여 수행됨).

권한 확인 - 요청된 자원의 준수 여부와 할당된 자원 및 허용된 절차에 따라 수행된 작업을 확인합니다. 보호 자원에 대한 요청 등록

무단 행위 시도에 대해 알리고 대응합니다. (암호화란 정보를 변환(암호화)하여 보호하는 방법입니다.)

BEST-4 단지에서는 개별 하위 시스템 수준에서 정보에 대한 접근이 제한되며 별도의 접근 비밀번호를 설정하여 정보에 대한 접근이 보장됩니다. ~에 초기 설정또는 프로그램 작업 중에 언제든지 시스템 관리자가 하나 이상의 비밀번호를 설정하거나 변경할 수 있습니다. 하위 시스템에 로그인할 때마다 비밀번호가 요청됩니다.

또한 일부 모듈에는 정보에 대한 접근을 제한하는 자체 시스템이 있습니다. 특별한 비밀번호로 각 메뉴 항목을 보호하는 기능을 제공합니다. 비밀번호는 기본 문서의 개별 하위 집합에 대한 액세스를 보호할 수도 있습니다. 예를 들어 자동화된 작업장에서 "창고의 재고 회계" 및 "상품 및 제품에 대한 회계"에서는 자동화된 작업장에서 각 창고에 별도로 액세스 비밀번호를 설정할 수 있습니다. "회계" 현금 거래" - 자동화된 작업장 "은행 정산 회계"에서 각 금전 등록기의 비밀번호에 액세스합니다. - 각 은행 계좌의 비밀번호에 액세스합니다.

특히 주목할만한 점은 정보에 대한 접근을 효과적으로 제한하려면 우선 특정 블록에 대한 접근을 위한 비밀번호 결정 모드를 비밀번호로 보호해야 한다는 사실입니다.

1C.Enterprise, 버전 7.7에는 자체 정보 보호 - 액세스 권한이 있습니다. 네트워크에서 1C.Enterprise 시스템을 사용할 때 정보에 대한 사용자 액세스를 통합하고 분리하기 위해 개인용 컴퓨터, 시스템 구성자를 사용하면 각 사용자가 시스템에서 처리하는 정보를 사용하여 작업할 수 있는 권한을 설정할 수 있습니다. 권한은 특정 유형의 문서만 볼 수 있는 권한부터 모든 유형의 데이터를 입력하고, 보고, 수정하고 삭제할 수 있는 전체 권한에 이르기까지 상당히 넓은 범위 내에서 설정될 수 있습니다.

사용자에게 액세스 권한을 할당하는 작업은 2단계로 수행됩니다. 첫 번째 단계에서는 일반적으로 제공되는 액세스 기능의 범위에 따라 정보 작업에 대한 표준 권한 세트가 생성됩니다. 두 번째 단계에서는 사용자에게 다음 중 하나가 할당됩니다. 표준 세트오른쪽

표준 권한 집합을 생성하는 모든 작업은 "구성" 창의 "권한" 탭에서 수행됩니다. 이 창은 프로그램 메인 메뉴의 “구성” 메뉴에서 “구성 열기” 항목을 선택하면 호출됩니다.

2.2 온라인 뱅킹 시스템의 개인정보 보안을 보장하기 위한 일련의 조치

ISPD에서 개인 데이터의 보안을 보장하기 위한 일련의 조치에 대한 정당성은 위협의 위험을 평가하고 "조직 및 기술 지원을 위한 기본 조치"를 기반으로 ISPD 클래스를 결정한 결과를 고려하여 수행됩니다. 개인 데이터 정보 시스템에서 처리되는 개인 데이터의 보안.”

이 경우 다음과 같은 조치를 취해야 합니다.

정보 시스템의 개인 데이터 유출에 대한 기술적 채널을 식별하고 폐쇄합니다.

무단 접근 및 불법 행위로부터 개인 데이터를 보호합니다.

보호 장비의 설치, 구성 및 사용.

정보시스템 내 개인정보 유출의 기술적 채널을 식별하고 폐쇄하기 위한 조치는 개인정보 보안에 대한 위협 분석 및 평가를 기반으로 수립됩니다.

ISPD에서 개인 데이터를 처리하는 동안 무단 접근 및 불법 행위로부터 개인 데이터를 보호하기 위한 조치는 다음과 같습니다.

액세스 제어;

등록 및 회계;

무결성 보장;

선언되지 않은 기능의 부재를 제어합니다.

바이러스 백신 보호;

ISPD의 안전한 네트워크 상호작용을 보장합니다.

보안 분석;

침입 감지.

무단 활동, 신호 및 등록을 차단하기 위한 소프트웨어 도구를 기반으로 액세스 제어, 등록 및 회계 하위 시스템을 구현하는 것이 좋습니다. 이것들은 특별하며 어떤 것의 핵심에도 포함되지 않습니다. 운영 체제운영 체제 자체, 전자 개인 데이터 데이터베이스 및 응용 프로그램을 보호하기 위한 소프트웨어 및 하드웨어 및 소프트웨어. 이는 독립적으로 또는 다른 보호 수단과 결합하여 보호 기능을 수행하며 ISPD에 위험한 사용자 또는 위반자의 작업 실행을 제거하거나 복잡하게 만드는 것을 목표로 합니다. 여기에는 다음이 포함됩니다 특수 유틸리티진단, 등록, 파기, 경보 및 시뮬레이션 기능을 구현하는 소프트웨어 보호 시스템.

진단 도구는 테스트를 수행합니다. 파일 시스템및 PD 데이터베이스, 정보 보안 하위 시스템 요소의 기능에 대한 정보의 지속적인 수집.

파기 도구는 잔여 데이터를 파기하도록 설계되었으며 시스템에서 차단할 수 없는 무단 액세스 위협이 발생할 경우 긴급 데이터 파기를 제공할 수 있습니다.

신호 수단은 운영자가 보호된 PD에 접근할 때 경고하고, PD에 대한 무단 접근 사실과 ISPD의 정상 작동 모드를 위반하는 기타 사실을 탐지할 때 관리자에게 경고하도록 설계되었습니다.

시뮬레이션 도구는 보호된 개인 데이터나 소프트웨어를 조작하려는 시도가 감지되면 위반자에 대한 작업을 시뮬레이션합니다. 모방을 사용하면 지리적으로 분산된 네트워크에서 특히 중요한 승인되지 않은 데이터의 위치와 성격을 확인하는 데 시간을 늘리고 보호된 개인 데이터의 위치에 대해 범죄자에게 잘못된 정보를 제공할 수 있습니다.

무결성 하위 시스템은 주로 운영 체제와 데이터베이스 관리 시스템에 의해 구현됩니다. 신뢰성을 높이고 전송된 데이터의 무결성과 트랜잭션 신뢰성을 보장하기 위한 도구는 운영 체제 및 데이터베이스 관리 시스템에 내장되어 있으며 계산을 기반으로 합니다. 체크섬, 메시지 패킷 전송 실패 알림, 승인되지 않은 패킷의 재전송.

선언되지 않은 기능의 부재를 모니터링하기 위한 하위 시스템은 대부분의 경우 데이터베이스 관리 시스템, 정보 보안 도구 및 바이러스 백신 정보 보안 도구를 기반으로 구현됩니다.

PD와 이 정보를 처리하는 ISPD의 소프트웨어 및 하드웨어 환경의 보안을 보장하기 위해 다음을 사용하는 것이 좋습니다. 특별한 수단다음을 수행하는 안티 바이러스 보호:

시스템 전반에 걸쳐 적용되는 파괴적인 바이러스 효과의 탐지 및/또는 차단 소프트웨어, 개인 데이터 및 개인 데이터 처리를 구현합니다.

알려지지 않은 바이러스의 탐지 및 제거;

이 바이러스 백신 제품이 출시될 때 자체 모니터링(감염 예방)을 보장합니다.

바이러스 백신 보호 도구를 선택할 때 다음 요소를 고려하는 것이 좋습니다.

표준 ISPD 소프트웨어와 이러한 도구의 호환성;

주요 목적에 대한 ISPD 성능 저하 정도

ISPD의 정보 보안 관리자 작업장에서 안티 바이러스 보호 도구 기능을 중앙 집중식으로 관리할 수 있는 수단의 가용성

소프트웨어 및 수학적 영향(PMI)의 모든 이벤트 및 사실에 대해 ISPD의 정보 보안 관리자에게 즉시 통보할 수 있는 능력

안티 바이러스 보호 도구의 작동에 대한 자세한 문서의 가용성

안티 바이러스 보호 도구를 주기적으로 테스트하거나 자체 테스트하는 기능

ISPD의 성능에 큰 제한을 두지 않고 다른 유형의 보호 수단과의 "충돌" 없이 새로운 추가 수단을 사용하여 제2차 세계 대전에 대한 보호 수단 구성을 확장할 수 있는 능력.

안티 바이러스 보호 도구를 설치, 구성, 구성 및 관리하는 절차에 대한 설명과 바이러스 공격 또는 기타 프로그램 수학적 영향으로부터 보호하기 위한 요구 사항을 위반한 경우의 조치 절차에 대한 설명이 포함되어야 합니다. ISPD의 정보보호 관리자 매뉴얼에 있습니다.

네트워크 상호 작용 중에 ISDN 리소스에 대한 액세스를 제한하기 위해 소프트웨어 및 하드웨어-소프트웨어 방화벽(FW)에 의해 구현되는 방화벽이 사용됩니다. 내부 네트워크라고 불리는 보호되는 네트워크와 외부 네트워크 사이에는 방화벽이 설치됩니다. 방화벽은 보호되는 네트워크의 일부입니다. 이를 위해 설정을 통해 내부 네트워크에서 외부 네트워크로 또는 그 반대로 액세스를 제한하는 규칙이 별도로 설정됩니다.

클래스 3 및 4 ISPD에서 안전한 인터네트워킹을 보장하려면 최소한 5번째 보안 수준의 ME를 사용하는 것이 좋습니다.

클래스 2 ISPD에서 안전한 인터네트워킹을 보장하려면 최소한 네 번째 보안 수준에서 ME를 사용하는 것이 좋습니다.

클래스 1 ISPD에서 안전한 인터네트워킹을 보장하려면 최소한 세 번째 보안 수준에서 ME를 사용하는 것이 좋습니다.

보안 분석 하위 시스템은 테스트(보안 분석) 및 정보 보안 제어(감사) 도구의 사용을 기반으로 구현됩니다.

보안 분석 도구는 워크스테이션과 서버에서 운영 체제의 보안 설정을 모니터링하고 공격자가 네트워크 장비에 대한 공격을 수행할 가능성을 평가하고 소프트웨어 보안을 모니터링하는 데 사용됩니다. 이를 위해 네트워크 토폴로지를 조사하여 보호되지 않거나 승인되지 않은 네트워크를 찾습니다. 네트워크 연결, 방화벽 설정을 확인하세요. 이러한 분석은 다음을 기반으로 수행됩니다. 자세한 설명보안 설정(예: 스위치, 라우터, 방화벽)의 취약성 또는 운영 체제 또는 응용 프로그램 소프트웨어의 취약성. 보안 분석 도구의 결과는 감지된 취약점에 대한 정보를 요약한 보고서입니다.

취약점 탐지 도구는 네트워크 수준(이 경우 "네트워크 기반"이라고 함), 운영 체제 수준("호스트 기반") 및 응용 프로그램 수준("응용 프로그램 기반")에서 작동할 수 있습니다. 스캐닝 소프트웨어를 사용하면 사용 가능한 모든 ISDN 노드의 맵을 신속하게 생성하고, 각 노드에서 사용되는 서비스와 프로토콜을 식별하고, 기본 설정을 결정하고, NSD 구현 가능성에 관해 가정할 수 있습니다.

스캐닝 결과를 기반으로 시스템은 식별된 결함을 제거하기 위한 권장 사항과 조치를 개발합니다.

인터네트워킹을 통해 NSD 위협을 식별하기 위해 침입 탐지 시스템이 사용됩니다. 이러한 시스템은 공격 구현의 세부 사항, 개발 단계를 고려하여 구축되었으며 다양한 공격 탐지 방법을 기반으로 합니다.

공격 탐지 방법에는 세 가지 그룹이 있습니다.

서명 방법;

이상 탐지 방법;

결합된 방법(시그니처 방법과 이상 탐지 방법에 정의된 알고리즘을 함께 사용)

클래스 3 및 4 ISPD의 침입을 탐지하려면 탐지 시스템을 사용하는 것이 좋습니다. 네트워크 공격, 서명 분석 방법을 사용합니다.

클래스 1 및 클래스 2 ISPD에 대한 침입을 탐지하려면 시그니처 분석 방법과 함께 이상 탐지 방법을 사용하는 네트워크 공격 탐지 시스템을 사용하는 것이 좋습니다.

기술적 경로를 통한 개인정보 유출을 방지하기 위해 음향(음성), 유형정보 유출, 부작용으로 인한 정보 유출을 방지하기 위한 조직적, 기술적 조치를 취하고 있습니다. 전자기 방사선그리고 팁.

작업의 두 번째 장에 대한 결론으로 ​​우리는 다음과 같은 결론을 도출합니다. 개인 정보 보호는 이 정보의 소유자 또는 사용자에게 피해를 입힐 수 있는 자연적 또는 인공적 성격의 우발적 또는 의도적 영향으로부터 정보 및 지원 인프라의 보안 상태입니다. 회계에서 정보 보안의 대상은 다음과 같이 정의됩니다. 영업비밀, 도구 및 시스템 정보화로 분류된 정보를 포함하는 정보자원. 정보 보호 프레임워크 내에서 사용되는 주요 방법은 탐지 및 직접 보호입니다.

결론

경제적 대상의 정보 보안 문제는 다면적이며 추가 연구가 필요합니다.

현대 사회에서 정보화는 경제적으로 발전한 국가의 주요 자산 중 하나인 전략적 국가 자원이 되고 있습니다. 러시아의 정보화의 급속한 개선, 개인, 사회 및 국가의 중요한 이익이 있는 모든 영역에 대한 정보화의 침투는 의심할 여지 없는 이점 외에도 여러 가지 중요한 문제의 출현을 수반했습니다. 그 중 하나는 정보를 보호해야 한다는 것이었습니다. 현재 경제적 잠재력이 정보 인프라의 개발 수준에 따라 점점 더 결정되고 있다는 점을 고려할 때, 정보 영향과 관련된 경제의 잠재적 취약성은 비례적으로 증가하고 있습니다.

정보 보안 위협의 구현은 정보의 기밀성, 무결성 및 가용성을 위반하는 것으로 구성됩니다. 정보 보호에 대한 체계적인 접근 방식의 관점에서 볼 때, 경제 주체의 모든 구조적 요소와 정보 처리 기술 주기의 모든 단계에서 사용 가능한 보안 수단의 전체 무기고를 사용하는 것이 필요합니다. 보호 방법과 수단은 확실하게 보호되어야 합니다. 가능한 방법보호된 비밀에 대한 무단 액세스. 정보 보안의 효율성은 구현 비용이 더 높아서는 안 된다는 것을 의미합니다. 손실 가능성정보 위협의 구현에서. 정보보안 기획은 각 부서별로 세부적인 정보보안 계획을 수립하여 수행됩니다. 보안 조치에 대한 통제와 보안 조치 실패에 대한 즉각적인 대응을 보장하기 위해 특정 유형의 정보에 접근할 수 있는 사용자의 권한 및 권리 행사를 명확하게 할 필요가 있습니다.

서지

1.은행/교육 분야의 자동화된 정보 기술. 교수 G.A. 티토렌코. -M.: Finstatinform, 2007

2.경제학의 자동화된 정보 기술 / Ed. 교수 G.A. 티토렌코. - M.: 유니티, 2010

.Ageev A. S. 조직 및 현대적인 정보 보호 방법. - M .: "은행 비즈니스 센터"에 대한 우려, 2009

.Adzhiev, V. 소프트웨어 보안에 대한 신화: 유명한 재난으로부터 얻은 교훈. - 개방형 시스템, 199. №6

.알렉세예프, V.I. 지방자치단체의 정보보안. - 보로네시: VSTU 출판사, 2008.

.Alekseev, V.M. 정보 기술 및 그 보안의 보안을 평가하기 위한 국제 기준 실제 사용: 교과서. - 펜자: 펜즈 출판사. 상태 2002년 대학

.Alekseev, V.M. 무단 액세스로부터 정보 보호를 규제합니다. - 펜자: 펜즈 출판사. 상태 2007년 대학

.Alekseev, V.M. 소프트웨어 개발 중 정보 보안을 보장합니다. - 펜자: 펜즈 출판사. 상태 2008년 대학

.알레신, L.I. 정보 보호 및 정보 보안: 강의 과정 L. I. Aleshin; 모스크바 상태 문화대학교. -M .: 모스크바. 상태 문화대학교, 2010

.아크라멘카, N.F. 및 기타 범죄와 처벌 결제 시스템와 함께 전자 문서// 정보 보안 관리, 1998

.은행 및 은행 업무. 교과서 / Ed. E.F. Zhukova. - M.: 은행과 거래소, UNITY, 2008

.바르수코프, V.S. 보안: 기술, 도구, 서비스. - M .: Kudits - 이미지, 2007

.바투린, Yu.M. 컴퓨터법의 문제. -M .: 법적. 문학, 1991

.바투린, Yu.M. 컴퓨터 범죄와 컴퓨터 보안. M.: Yur.lit., 2009

.베즈루코프, N.N. 컴퓨터 바이러스학 소개. 일반 원칙 M5-005에서 가장 흔한 바이러스의 기능, 분류 및 카탈로그. K., 2005

.비코프, V.A. 전자 비즈니스 및 보안 / V. A. Bykov. - M.: 라디오 및 통신, 2000

.Varfolomeev, A.A. 정보 보안. 암호학의 수학적 기초. 1부. - M.: MEPHI, 1995

.베호프, V.B. 컴퓨터 범죄: 범행 및 탐지 방법. - M.: 법과 법률, 1996

.볼로부에프, S.V. 정보보안 입문. - 오브닌스크: Obn. 원자력연구소, 2001

.볼로부에프, S.V. 자동화 시스템의 정보 보안. - 오브닌스크: Obn. 원자력연구소, 2001

.전 러시아 과학 및 실무 컨퍼런스 "고등 교육 시스템의 정보 보안", 11월 28-29일. 2000, NSTU, 노보시비르스크, 러시아: IBVSh 2000. - 노보시비르스크, 2001

23.갈라텐코, V.A. 정보 보안: 실용적인 접근 방식 V. A. Galatenko; 에드. V. B. 베텔리나; 로스. acad. 과학, 연구 시스템 연구소. 연구 - M.: 과학, 1998

.Galatenko, V.A.. 정보 보안의 기초: 강의 과정. - M.: 인터넷정보대학. 기술, 2003

.Gennadieva, E.G. 컴퓨터 과학 및 정보 보안의 이론적 기초. - M.: 라디오 및 통신, 2000

.기카, 세바스티안 나르키스. 정보 숨기기 그래픽 파일 BMR 형식 Dis. ...캔디. 기술. 과학: 19.05.13 - 상트페테르부르크, 2001

.기카, S.N. BMP 형식의 그래픽 파일에 정보 숨기기: 저자의 초록. 디스. ...캔디. 기술. 과학: 05.13.19 상트페테르부르크. 상태 내부 포인트 역학 및 광학. - 2001년 상트페테르부르크

.골루베프, V.V. 보안 관리. - 상트페테르부르크: 피터, 2004

.고르바토프, V.S. 정보 보안. 법적 보호의 기본. - M.: MEPHI(TU), 1995

.Gorlova, I.I., 에디션. 정보 자유 및 정보 보안: 국제 자료. 과학적 컨퍼런스, 크라스노다르, 10월 30-31일. 2001 - 크라스노다르, 2001

.그린스버그, A.S. 기타 공공행정의 정보자원 보호. - M .: 유니티, 2003

.글로벌 맥락에서 러시아의 정보 보안 정보 사회"INFOFORUM-5": 토요일. 재료 5 번째 전 러시아인. 회의, 모스크바, 2월 4-5일. 2003 - M.: LLC Ed. 잡지 러시아의 비즈니스와 보안, 2003

.정보보안: 토. 방법. 자료 러시아 연방 교육부. 연맹 [및 기타]. - M.: TSNIIATOMINFORM, 2003

34.정보 기술// 경제와 삶. 2001년 25일

35.마케팅 정보 기술: 대학 교과서 - M.: 2003

.경제 및 경영 정보 기술: 교과서 / Kozyrev A.A. - M.: 출판사 Mikhailov V.A., 2005

.Lopatin, V.N. 러시아의 정보 보안 Dis. ... 법학 박사. 과학: 12.00.01

.루카신, V.I. 정보 보안. -M .: 모스크바. 상태 경제, 통계 및 정보학 대학

.Luchin, I.N., Zheldakov A.A., Kuznetsov N.A. 해킹 비밀번호 보호 // 법 집행 시스템의 정보화. 엠., 1996

.맥클루어, 스튜어트. 웹 해킹. 공격 및 수비 Stuart McClar, Saumil Shah, Sriraj Shah. -M.: 윌리엄스, 2003

.말육, A.A. 데이터 처리 시스템의 정보 보안 수준에 대한 예측 평가를 공식화하기 위한 이론적 기초. -M.: MEPHI, 1998SPb., 2000

.정보 보안 시스템의 경제적 효율성. 체보타르 P.P. - 몰도바 경제 아카데미, 2003

.야코블레프, V.V. 정보 보안 및 정보 보호 기업 네트워크철도 운송. - 엠., 2002

.야로치킨, V.I. 정보 보안. - M .: 미르, 2003

.야로치킨, V.I. 정보 보안. - M.: 재단 "미르", 2003: Acad. 프로젝트

.야세네프, V.N. 경제의 자동화된 정보 시스템 및 보안 보장: 지도 시간. - N. 노브고로드, 2002

유사한 작업 - 온라인 뱅킹 시스템의 개인정보 보호

마리나 프로호로바,잡지 "개인 데이터"의 편집자

나탈리아 사모일로바,회사 "InfoTechnoProject"의 변호사

개인 데이터 처리 분야에서 현재까지 개발된 규제 프레임워크, 조직의 개인 데이터 보호에 대한 보다 효과적인 작업 조직을 위해 아직 채택되지 않은 문서, 개인 데이터 운영자를 위한 정보 시스템 준비의 기술적 측면 - 이는 개인 데이터 문제를 다루는 많은 신문과 저널 간행물에서 최근 다뤄진 주제입니다. 이 기사에서는 이러한 조직에서 처리되는 개인 데이터의 "비기술적" 보호로서 은행 및 신용 기관의 업무를 구성하는 측면에 대해 설명하고 싶습니다.

구체적인 예부터 시작해 보겠습니다.

우리는 2008년 6월 Sberbank를 상대로 시작된 개인 데이터 보호 사건에 대한 사법 검토에 대해 이야기하고 있습니다. 재판의 본질은 다음과 같습니다. 시민과 은행 사이에 보증 계약이 체결되었으며 이에 따라 시민은 대출 계약에 따른 차용인의 의무 이행을 위해 은행에 답변해야 할 의무를 수락했습니다. 후자는 대출 계약에 의해 설정된 기간 내에 의무를 이행하지 않았으며 신뢰할 수 없는 고객인 보증인에 대한 정보가 은행의 자동화된 정보 시스템 "중지 목록"에 입력되었으며, 이는 결국 그에게 제공을 거부하는 근거가 되었습니다. 대출로. 더욱이 은행은 차용인이 대출 계약에 따른 의무를 부적절하게 이행했다는 사실을 시민에게 알리지도 않았습니다. 또한 보증 계약에는 차용인이 의무를 부적절하게 이행하는 경우 은행이 보증인에 대한 정보를 중지 목록 정보 시스템에 입력할 권리가 있음을 명시하지 않았습니다. 따라서 은행은 시민의 동의 없이 Stop List 정보 시스템에 시민에 대한 정보를 포함시켜 시민의 개인 데이터를 처리했는데, 이는 Art 1부의 요구 사항을 위반하는 것입니다. 2006년 7월 27일자 연방법 No. 152-FZ 9호 "개인 데이터에 관한" 규정에 따라 개인 데이터 주체는 자신의 개인 데이터를 제공하기로 결정하고 자신의 의지와 이익을 위해 처리하는 데 동의합니다. 또한 Art의 Part 1에 제공된 방식으로. 같은 법 14에 따라 한 시민이 은행에 연락하여 중지 목록 정보 시스템에 입력된 자신에 대해 입력된 정보를 숙지할 수 있는 기회를 제공하고 이 정보를 차단하고 파기할 것을 요구했습니다. 은행은 시민의 요구를 충족시키기를 거부했습니다.

사건의 심의 결과에 기초하여, 블라디보스토크 레닌스키 지방 법원은 시민의 침해된 권리를 보호하기 위해 러시아 스베르방크를 상대로 한 연해주 Roskomnadzor 사무실의 주장을 만족시키고 은행에 다음과 같은 정보를 파기하도록 명령했습니다. 정지 목록 정보 시스템의 시민.

이 예는 얼마나 중요한가? 상당수 고객의 개인 데이터를 저장하는 은행은 주저 없이 이를 한 데이터베이스에서 다른 데이터베이스로 이동하며, 대부분의 경우 개인 데이터 대상에게 이에 대해 알리지 않고 개인 데이터를 사용한 그러한 행동에 대한 동의를 얻지 않습니다. 물론 은행 활동에는 여러 가지 특징이 있으며, 종종 고객의 개인 데이터는 은행이 체결한 계약을 이행할 뿐만 아니라 고객의 의무 이행에 대해 은행을 통제하는 데에도 사용됩니다. 개인 데이터에는 이미 해당 주체의 동의가 필요합니다.

조항 해석의 어려움

개인 데이터를 이용한 모든 작업을 합법화하는 것은 어떨까요? 물론, 이를 위해서는 제3자 전문가의 개입이 필요할 가능성이 높습니다. 대형 은행 법무 부서의 변호사조차도 특정 분야에서만 일류 전문가이고 해당 분야의 업무 세부 사항을 숙지해야 하기 때문입니다. 거의 처음부터 개인 데이터 분야. 따라서 가장 좋은 방법은 귀하가 취하고 있는 비기술적 보호 조치가 입법자의 요구 사항을 준수하는지 확인하기 위해 감사를 수행할 수 있는 회사를 포함하여 개인 데이터 작업을 구성하기 위한 서비스 제공을 전문으로 하는 회사를 참여시키는 것입니다.

분석 연구 결과를 통해 연방법 152-FZ "개인 정보에 관한" 조항의 해석이 가장 큰 어려움을 초래한다는 결론을 내릴 수 있습니다.

본 규제 문서 제22조 1부에 따라 운영자는 개인 데이터 처리에 대해 권한 있는 기관에 통보할 의무가 있습니다. 예외 중에는 처리된 개인정보가 개인정보 주체가 당사자인 계약 체결과 관련하여 수신되었으며 운영자가 해당 계약을 이행하기 위해서만 사용하는 경우가 있습니다. 연방법 152-FZ "개인 데이터에 관한" 제22조 2부의 2항에 근거합니다. 이 조항을 정확하게 적용하여 일부 은행은 개인 데이터 처리에 대한 통지를 제출하지 않으며 많은 은행은 스스로를 운영자로 간주하지 않습니다. 이는 근본적으로 잘못된 것입니다.

또한 계약과 관련된 개인정보의 운영자로서 은행이 흔히 저지르는 또 다른 실수는 다음과 같습니다. 예술에 따르면. 위 법률 제6조에 따라 개인정보 처리는 개인정보 주체의 동의를 받아 운영자가 수행할 수 있습니다. 단, 계약 이행을 위한 처리 실행을 포함한 경우는 당사자 중 한 사람 개인정보의 대상입니다. 따라서 많은 금융 기관은 그러한 계약을 체결했다는 사실을 통해 개인 데이터 주제에 대한 동의 부족을 정확하게 설명합니다.

하지만 생각해 봅시다. 운영자인 은행은 계약을 체결할 때 받은 주체의 개인 데이터를 사용하여 예를 들어 새로운 서비스에 대한 알림을 보내고 "중지 목록"을 유지하지 않습니까? 이는 개인정보 처리가 계약 이행 목적뿐만 아니라 은행의 상업적 이익이 되는 다른 목적으로도 수행됨을 의미합니다. 따라서 다음과 같습니다.

  • 은행은 권한 있는 기관에 개인정보 처리에 관한 통지서를 제출해야 합니다.
  • 은행은 반드시 정보주체의 동의가 있는 경우에만 개인정보를 처리해야 합니다.

이는 은행이 고객의 개인 데이터를 처리하기 위한 시스템을 구성해야 함을 의미합니다. 즉, 해당 데이터에 대한 비기술적 보호를 보장해야 합니다.

개인 데이터 처리에 대한 서면 동의

개인 데이터 처리에 대한 개인 데이터 주체의 동의와 관련하여 연방법 No. 152-FZ "개인 데이터에 관한"은 운영자가 법률에 지정된 경우에만 개인 데이터 처리에 대한 서면 동의를 얻도록 의무화하고 있습니다. 동시에 Art의 Part 3에 따라. 9, 개인정보 처리에 대한 주체의 동의를 받았음을 증명할 의무는 운영자에게 있습니다. 필요한 경우(예: 증인 검색) 그러한 증거를 수집하는 데 시간을 낭비하지 않으려면 어떤 경우에도 피험자로부터 서면 동의를 얻는 것이 더 좋습니다.

한 가지 논거를 더 들어보자 서면 양식개인 데이터 처리. 종종 은행의 활동에는 데이터(개인 데이터 포함)를 외국 영토로 전송하는 작업이 포함됩니다. 이 경우 Art의 Part 1. 연방법 No. 152-FZ "개인 데이터에 관한" 12조에 따르면 개인 데이터의 국경 간 전송이 시작되기 전에 운영자는 개인 데이터가 전송되는 영토의 외국 국가가 적절한 보호를 제공하는지 확인해야 합니다. 개인정보주체의 권리. 그러한 보호가 제공되지 않는 경우, 개인정보주체의 서면 동의가 있어야만 개인정보의 국경 간 이전이 가능합니다. 은행 직원이 개인 데이터 처리에 대해 고객의 서면 동의를 얻는 것이 외국에서 개인 데이터 보호의 적절성을 확립하는 것보다 더 쉽다고 가정할 수 있습니다.

서면 동의서에 포함되어야 하는 정보는 Art의 Part 4에 나열되어 있습니다. 위에서 언급한 연방법 중 9조에 해당하며 이 목록은 전체 내용을 담고 있습니다. 예를 들어 대출 계약서에서 연방법 152-FZ "개인 데이터에 관한"에 따라 "내 개인 데이터 사용에 동의합니다"라는 문구 아래의 서명은 해당 처리에 동의하지 않습니다!

법의 요점은 몇 가지 뿐인 것처럼 보이지만 잘못된 해석으로 인해 소송까지 얼마나 많은 합병증이 발생할 수 있습니다. 더욱이 오늘날 주체의 개인 데이터가 다양한 구조의 경쟁에서 상품이 되는 경우가 많으므로 보호 문제를 성공적으로 해결하고 은행 및 신용 기관의 정보 시스템 보안을 보장하는 것이 개인의 평판과 명예를 유지하는 열쇠가 됩니다. 어떤 조직.

개인 데이터 유포로 인해 발생할 수 있는 부정적인 결과에 대한 시민들의 인식이 매일 증가하고 있으며 이는 전문 출판물의 출현으로 촉진됩니다. 정보자료도 있어요 다양한 회사. 그 중 일부는 일반적으로 "정보 보안" 개념과 관련된 광범위한 문제 전체를 다루고, 다른 일부는 기술적 보호 조치 및 수단 검토에 전념하는 반면, 다른 일부는 비기술적 보호와 관련된 문제에 중점을 둡니다. . 즉, 개인정보 보호 문제에 대한 정보의 접근성이 높아지고 있으며 이는 시민들이 자신의 권리를 보호하는 데 더욱 능숙해질 것임을 의미합니다.

152-FZ "개인 데이터에 관한" 조항 18의 5부가 추가됨에 따라 외국 기업의 러시아 부서에서 특히 인기를 얻었습니다. "... 운영자는 기록, 체계화, 축적, 저장, 설명을 보장할 의무가 있습니다. (업데이트, 변경), 검색 개인 정보러시아 연방 영토에 위치한 데이터베이스를 사용하는 러시아 연방 시민" . 법에는 여러 가지 예외가 있지만 규제 당국의 조사를 받을 경우 "그러나 이것은 우리와 관련이 없습니다"보다 더 강력한 트럼프 카드를 갖고 싶다는 점을 인정해야 합니다.

위반자에 대한 처벌은 매우 심각합니다. 온라인 상점, 소셜 네트워크, 정보 사이트, 기타 관련 사업 인터넷감독 당국의 청구가 있는 경우 실제로 폐쇄될 수 있습니다. 첫 번째 검사 중에 규제 기관에 단점을 제거할 시간이 주어질 수도 있지만 일반적으로 그 기간은 제한되어 있습니다. 문제가 매우 신속하게 해결되지 않으면(사전 준비 없이 해결하기 어려움) 손실이 더 이상 보상되지 않습니다. 사이트를 차단하면 판매가 중단될 뿐만 아니라 시장 점유율도 상실됩니다.

오프라인 기업의 '블랙리스트'에 개인정보법 위반자가 등장하는 경우는 그리 드라마틱하지 않다. 그러나 이는 평판 리스크를 수반하며 이는 외국 기업에게 중요한 요소입니다. 또한, 이제 개인정보 보호의 영향을 전혀 받지 않는 활동 유형이 거의 남아 있지 않습니다. 은행, 무역, 제조업까지 모두 고객 데이터베이스를 유지 관리하므로 관련 법률의 적용을 받습니다.

여기서 이 문제를 회사 내에서도 분리하여 고려할 수 없다는 점을 이해하는 것이 중요합니다. 개인 데이터 보호는 서버에 인증된 보안 조치를 설치하고 종이 카드를 금고에 잠그는 것으로 제한될 수 없습니다. 개인 데이터에는 영업 부서, HR, 고객 서비스 등 회사에 대한 많은 진입점이 있습니다. 훈련 센터, 구매 수수료 및 기타 부서. 개인 데이터 보호 관리는 다음과 같은 영향을 미치는 복잡한 프로세스입니다. 그것, 문서 흐름, 규정, 법적 등록.

그러한 프로세스를 실행하고 유지하는 데 무엇이 필요한지 살펴보겠습니다.

개인정보로 간주되는 데이터

엄밀히 말하면, 특정 개인과 직간접적으로 관련된 모든 정보는 그의 개인 데이터입니다. 참고하세요 우리 얘기 중이야사람에 관한 것이 아니라 사람에 관한 것입니다. 법인. 이(및 관련) 데이터의 보호를 시작하려면 귀하의 성명과 거주지 주소를 표시하는 것으로 충분하다는 것이 밝혀졌습니다. 그러나, 수신 이메일서명의 형태로 누군가의 개인 데이터를 사용하고 전화 번호이것은 그들을 변호할 이유가 되지 않습니다. 핵심 용어: “개인 데이터 수집의 개념.” 맥락을 명확히 하기 위해 “개인 데이터에 관한” 법률의 여러 조항을 강조하고 싶습니다.

제5조. 개인정보 처리 원칙. 정보가 수집되는 이유를 명확히 하는 명확한 목표가 있어야 합니다. 그렇지 않으면 다른 모든 규칙과 규정을 완전히 준수하더라도 제재를 받을 가능성이 높습니다.

제10조. 개인정보의 특별 범주. 예를 들어, HR 부서에서는 직원의 임신을 포함하여 출장에 대한 제한 사항을 기록할 수 있습니다. 물론 그런 추가 정보또한 보호됩니다. 이를 통해 개인 데이터는 물론 보호에 주의를 기울여야 하는 회사의 부서 및 정보 저장소 목록에 대한 이해가 크게 확대됩니다.

제12조. 개인정보의 국경 간 이전. 러시아 연방 시민에 관한 데이터가 포함된 정보 시스템이 개인 데이터 보호 협약을 비준하지 않은 국가(예: 이스라엘)에 있는 경우 러시아 법률 조항을 준수해야 합니다.

제 22조. 개인정보 처리에 관한 통지. 규제 당국의 과도한 관심을 끌지 않기 위한 전제 조건입니다. 개인정보와 관련된 사업활동을 하고 있는 경우에는 조사를 기다리지 말고 직접 신고하시기 바랍니다.

개인 데이터가 위치할 수 있는 곳

기술적으로 PD는 인쇄 매체(종이 파일)부터 기계 매체( 하드 디스크, 플래시 드라이브, CD 등). 즉, ISPD(개인 데이터 정보 시스템)의 정의에 해당하는 모든 데이터 저장소에 초점이 맞춰져 있습니다.

위치의 지리는 별개의 큰 문제입니다. 한편으로는 러시아인의 개인 데이터( 개인러시아 연방 시민인 경우)은 러시아 연방 영토에 보관되어야 합니다. 반면에 현재 이것은 기정사실이라기보다는 상황 전개의 벡터에 더 가깝습니다. 많은 국제 및 수출 회사, 다양한 지분 및 합작 투자 회사는 역사적으로 분산된 인프라를 보유해 왔으며 이는 하루아침에 바뀌지 않을 것입니다. 개인 데이터를 저장하고 보호하는 방법은 현재 거의 즉시 조정되어야 하는 것과는 대조적입니다.

개인 데이터의 기록, 체계화, 축적, 저장, 명확화(업데이트, 변경), 검색과 관련된 부서의 최소 목록:

  • 인사 서비스.
  • 영업 부서.
  • 법무 부서.

완벽한 순서는 거의 없기 때문에 실제로는 가장 예측할 수 없는 단위가 이 "예상" 목록에 추가되는 경우가 많습니다. 예를 들어, 창고에서는 공급업체에 대한 개인 정보를 기록할 수 있고, 보안 서비스에서는 구내에 들어오는 모든 사람에 대한 자세한 기록을 보관할 수 있습니다. 따라서 직원의 개인 데이터 구성은 고객, 파트너, 계약자뿐만 아니라 무작위 방문자 및 심지어 다른 사람의 방문자에 대한 데이터로 보완될 수 있습니다. 패스를 위해 사진을 찍거나 스캔하면 개인 데이터가 "범죄"가 됩니다. 신분증, 기타 경우. ACS(액세스 제어 및 관리 시스템)는 개인 데이터 보호와 관련하여 쉽게 문제의 원인이 될 수 있습니다. 따라서 "어디?"라는 질문에 대한 대답은 다음과 같습니다. 법 준수의 관점에서 볼 때 보고 영역의 모든 곳에서 다음과 같이 들립니다. 보다 정확한 답변은 적절한 감사를 실시해야만 얻을 수 있습니다. 이것이 첫 번째 단계이다. 프로젝트개인 데이터 보호에 대해. 전체 목록주요 단계:

1) 회사의 현재 상황을 감사합니다.

2) 기술 솔루션 설계.

3) 개인정보 보호를 위한 프로세스 준비

4) 러시아 연방 법률 및 회사 규정을 준수하기 위해 개인 데이터를 보호하기 위한 기술 솔루션 및 프로세스를 확인합니다.

5) 기술 솔루션 구현.

6) 개인 데이터 보호 프로세스를 시작합니다.

1. 회사의 현황에 대한 감사

우선, 개인 데이터가 담긴 종이 매체를 사용하는 HR 부서 및 기타 부서에 문의하세요.

  • 개인 데이터 처리에 대한 동의 양식이 있습니까? 작성하고 서명했습니까?
  • 2008년 9월 15일자 687호 "자동화 도구를 사용하지 않고 수행되는 개인 데이터 처리의 세부 사항에 관한 규정"이 준수됩니까?

ISPD의 지리적 위치를 결정합니다.

  • 어느 나라에 위치해 있나요?
  • 무슨 근거로?
  • 사용에 대한 계약이 있나요?
  • 개인정보 유출을 방지하기 위해 어떤 기술적 보호 장치가 사용됩니까?
  • 개인정보를 보호하기 위해 어떤 조직적 조치가 취해지고 있나요?

이상적으로는 러시아인의 개인 데이터가 포함된 정보 시스템은 해외에 있더라도 법률 152-FZ "개인 데이터"의 모든 요구 사항을 준수해야 합니다.

마지막으로, 검증에 필요한 인상적인 문서 목록에 주의하세요(이것이 전부는 아니며 주요 목록일 뿐입니다).

  • PD 처리에 관한 알림입니다.
  • 개인 데이터 처리 조직을 담당하는 사람을 식별하는 문서입니다.
  • 개인 데이터를 처리하도록 승인된 직원 목록.
  • PD의 저장 위치를 ​​정의한 문서입니다.
  • 개인 데이터의 특수 및 생체 인식 범주 처리에 관한 인증서입니다.
  • 개인 데이터의 국경 간 전송 증명서.
  • 개인 데이터가 포함된 표준 문서 형식입니다.
  • 개인정보 처리에 대한 표준 동의 양식입니다.
  • PD를 제3자에게 양도하는 절차.
  • PD 주체의 요청을 녹음하는 절차.
  • 개인정보시스템(ISPD) 목록.
  • ISPD의 데이터 백업을 규제하는 문서입니다.
  • 사용된 정보 보안 도구 목록.
  • 개인정보 파기절차 다.
  • 액세스 매트릭스.
  • 위협 모델.
  • 기록 매체 PDn에 대한 로그북.
  • 2012년 11월 1일자 PP-1119 "개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터 보호에 대한 요구 사항 승인"에 따라 각 ISPD의 보안 수준을 정의하는 문서입니다.

2. 기술 솔루션 설계

개인 데이터를 보호하기 위해 취해야 하는 조직적, 기술적 조치에 대한 설명은 법률 152-FZ "개인 데이터에 관한" 4장 "운영자의 책임"에 나와 있습니다. 기술 솔루션은 2014년 7월 21일자 법률 242-FZ 제2조의 조항을 기반으로 해야 합니다.

그러나 데이터 소스가 아직 해외에 있는 경우, 법을 준수하고 러시아 영토에 있는 러시아 연방 시민의 개인 데이터를 처리하는 방법은 무엇입니까? 여기에는 몇 가지 옵션이 있습니다.

  • 정보 시스템 및 데이터베이스를 러시아 연방 영토로 물리적으로 이전합니다. 기술적으로 가능하다면 이것이 가장 쉬울 것입니다.
  • 우리는 PD 데이터를 해외에 남겨두지만 러시아에서는 그 사본을 생성하고 러시아 사본에서 외국 사본으로 러시아 시민의 PD 데이터의 단방향 복제를 설정합니다. 동시에 외국 시스템에서는 러시아 시민의 개인 데이터 수정 가능성을 배제해야 하며 모든 변경은 러시아 ISPD를 통해서만 이루어져야 합니다.
  • 여러 ISPD가 있으며 모두 해외에 있습니다. 이전에는 비용이 많이 들거나 기술적으로 실행 불가능할 수 있습니다(예를 들어, 러시아 시민의 개인 데이터가 포함된 데이터베이스의 일부를 선택하여 러시아로 이전하는 것은 불가능합니다). 이 경우 해결책은 러시아 서버의 사용 가능한 플랫폼에 새 ISPD를 생성하는 것일 수 있으며, 여기에서 각 외국 ISPD에 대한 단방향 복제가 수행됩니다. 플랫폼 선택은 회사에 달려 있습니다.

PDn이 러시아로 완전하고 독점적으로 전송되지 않은 경우 국경 간 데이터 전송 인증서에 누구에게 그리고 어떤 특정 PD 세트가 전송되는지 표시하는 것을 잊지 마십시오. 처리 통지에는 개인 데이터 전송 목적이 명시되어 있어야 합니다. 다시 말하지만, 이 목표는 적법하고 명확하게 정당화되어야 합니다.

3. 개인정보 보호를 위한 프로세스 준비

개인 데이터 보호 프로세스에서는 최소한 다음 사항을 결정해야 합니다.

  • 회사의 개인정보 처리 책임자 목록입니다.
  • ISPD에 대한 액세스를 제공하는 절차입니다. 이상적으로 이는 각 직위 또는 특정 직원에 대한 액세스 수준(읽기/읽기-쓰기/수정)이 있는 액세스 매트릭스입니다. 또는 각 직위에 대해 사용 가능한 개인 데이터 목록입니다. 그것은 모두 IP 구현과 회사의 요구 사항에 따라 다릅니다.
  • 개인 데이터에 대한 접근을 감사하고 접근 수준을 위반하는 접근 시도를 분석합니다.
  • 개인 데이터를 사용할 수 없는 이유 분석.
  • PD와 관련된 PD 주체의 요청에 응답하는 절차입니다.
  • 회사 외부로 전송되는 개인정보 목록 개정
  • 해외를 포함한 개인정보 수신자 검토.
  • 개인 데이터에 대한 위협 모델과 위협 모델 변경에 따른 개인 데이터 보호 수준의 변화를 정기적으로 검토합니다.
  • 회사 문서를 최신 상태로 유지합니다(목록은 위에 있으며 필요한 경우 보완될 수 있습니다).

여기에서 각 사항을 자세히 설명할 수 있지만 보안 수준에 특히 주의하고 싶습니다. 이는 다음 문서를 기반으로 결정됩니다(순차적으로 읽음).

1. “현재 위협을 식별하는 방법론 보안개인 데이터 정보 시스템에서 처리되는 개인 데이터"(FSTEC RF 2008년 2월 14일).

2. 2012년 11월 1일자 러시아 연방 정부 법령 No. 1119 "개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터 보호 요구 사항 승인."

3. 2013년 2월 18일자 FSTEC 명령 번호 21 "개인 데이터 정보 시스템에서 개인 데이터를 처리하는 동안 개인 데이터의 보안을 보장하기 위한 조직적, 기술적 조치의 구성 및 내용 승인."

또한 다음과 같은 비용 범주가 필요하다는 점을 고려하는 것을 잊지 마십시오.

  • 조직 프로젝트 팀그리고 프로젝트 관리.
  • 각 ISPDn 플랫폼의 개발자.
  • 서버 용량(자체 또는 데이터 센터에서 임대).

프로젝트의 두 번째 및 세 번째 단계가 끝나면 다음이 필요합니다.

  • 비용 계산.
  • 품질 요구 사항.
  • 프로젝트 마감일 및 일정.
  • 프로젝트의 기술적, 조직적 위험.

4. 러시아 연방 법률 및 회사 규정을 준수하기 위한 개인 데이터 보호를 위한 기술적 솔루션 및 프로세스 확인

짧지만 중요한 단계로, 계획된 모든 조치가 러시아 연방 법률 및 회사 규칙(예: 보안 정책)에 위배되지 않는지 확인해야 합니다. 이것이 완료되지 않으면, 프로젝트 기초에 폭탄이 설치될 것이며, 이는 미래에 "폭발"하여 달성된 결과의 이점을 파괴할 수 있습니다.

5. 기술 솔루션 구현

여기의 모든 것은 다소 분명합니다. 구체적인 내용은 초기 상황과 결정에 따라 다릅니다. 그러나 일반적으로 그림은 다음과 같아야 합니다.

  • 서버 용량이 할당되었습니다.
  • 네트워크 엔지니어는 충분한 정보를 제공했습니다. 처리량수신기와 송신기 PDn 사이의 채널.
  • 개발자는 ISPDn 데이터베이스 간의 복제를 설정했습니다.
  • 관리자는 해외에 있는 ISPD에 대한 변경을 방지했습니다.

개인 데이터 보호 책임자 또는 "프로세스 소유자"는 동일할 수도 있고 다를 수도 있습니다. 사실은 "프로세스 소유자"가 모든 문서를 준비하고 개인 데이터를 보호하는 전체 프로세스를 구성해야 한다는 것입니다. 이를 위해서는 모든 이해관계자에게 이를 알리고, 직원에게 교육을 실시해야 하며, IT 서비스는 데이터 보호를 위한 기술적 조치의 구현을 촉진해야 합니다.

6. 개인정보 보호 프로세스 개시

이는 중요한 단계이며 어떤 의미에서 전체 프로젝트의 목표는 흐름을 제어하는 ​​것입니다. 기술적인 솔루션 외에도 규제 문서여기서는 프로세스 소유자의 역할이 매우 중요합니다. 그는 법률뿐만 아니라 IT 인프라의 변화도 모니터링해야 합니다. 이는 적절한 기술과 역량이 필요하다는 것을 의미합니다.

또한, 실제 업무 환경에서 매우 중요한 것은 개인정보 보호 프로세스의 소유자에게 회사 경영진의 필요한 모든 권한과 행정적 지원이 필요하다는 것입니다. 그렇지 않으면 그는 아무도 관심을 기울이지 않는 영원한 "신청자"가 될 것이며 얼마 후 감사부터 다시 시작하여 프로젝트를 다시 시작할 수 있습니다.

뉘앙스

간과하기 쉬운 몇 가지 사항:

  • 데이터 센터에서 작업하는 경우 회사에서 데이터를 합법적으로 저장하고 제어하는 ​​서버 용량 제공을 위한 서비스 계약이 필요합니다.
  • 개인 데이터 또는 임대 계약을 수집, 저장 및 처리하는 데 사용되는 소프트웨어에 대한 라이선스가 필요합니다.
  • ISPD가 해외에 있는 경우, 러시아인의 개인 데이터와 관련하여 러시아 연방 법률 준수를 보장하기 위해 해당 시스템을 소유한 회사와 계약이 필요합니다.
  • 개인 데이터가 회사의 계약자(예: IT 아웃소싱 파트너)에게 전송된 경우, 아웃소싱 업체로부터 개인 데이터가 유출되는 경우 귀하는 배상 책임을 지게 됩니다. 그러면 귀하의 회사는 아웃소싱 업체를 상대로 소송을 제기할 수 있습니다. 아마도 이 요소는 아웃소싱 작업의 사실에 영향을 미칠 수 있습니다.

그리고 다시 한번 말씀드리지만, 가장 중요한 것은 개인정보의 보호는 단순히 보장될 수 없다는 점입니다. 그것은 하나의 과정입니다. 법률의 추가 변경은 물론 이러한 규칙을 실제로 적용하는 형식과 엄격함에 따라 크게 달라지는 지속적인 반복 프로세스입니다.

표제: 바이러스 백신
공유하다