Protecția datelor cu caracter personal în sistemele bancare online. Îmbunătățirea sistemului de protecție a datelor cu caracter personal al Alfa Bank OJSC Date personale în sectorul bancar

controlul asupra implementării regulilor necesare. Lista literaturii folosite:

1. Legea federală „Cu privire la bănci și activități bancare”

2. www.Grandars.ru [ Resursa electronica] Mod de acces: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Data accesului: 05.5.2016)

3. In-bank.ru [Resursa electronica] Mod de acces: http://journal.ib-bank.ru/post/411 (Data accesului: 05.5.2016)

Hlestova Daria Robertovna

E-mail: [email protected]

CARACTERISTICI ALE PROTECTIEI DATELOR PERSONALE IN SECTORUL BANCAR

adnotare

Acest articol discută caracteristicile protecției datelor cu caracter personal ale clienților în industria bancară. Sunt enumerate o serie de acte normative și juridice, pe baza cărora ar trebui construit sistemul de prelucrare și protecție a datelor cu caracter personal în bancă. A fost evidențiată o listă de măsuri pentru organizarea securității datelor în instituțiile bancare.

Cuvinte cheie

Date personale, securitate în bănci, securitate informațională,

protectia informatiilor personale

Protecția datelor cu caracter personal în era tehnologiei informației a devenit deosebit de relevantă. Există tot mai multe cazuri în care atacatorii obțin acces la orice informație confidențială atacând sistemele informaționale ale organizațiilor. Fără îndoială, atacurile nu ocolesc sectorul bancar. Întrucât sistemele bancare conțin un număr mare de date cu caracter personal ale clienților, securitatea acestora ar trebui să fie sub atenția statului și a proprietarilor instituțiilor financiare înșiși.

În primul rând, merită să înțelegeți ce date personale ale unei persoane pot deveni disponibile băncii dacă aceasta devine clientul acesteia. Deci, acesta este necesar: nume, prenume și patronim; Data și locul nașterii; cetățenie; locul de înregistrare și reședința efectivă; toate datele pașaportului (serie, număr, când și de către cine a fost eliberat documentul); numărul de mobil și telefon fix; locul de munca, functia ocupata. În cele mai multe cazuri, instituțiile solicită de la o persoană și Informații suplimentare, dar și fără ea, lista de date pe care o persoană le încredințează băncii se dovedește a fi impresionantă. Desigur, clientul speră ca datele sale personale să fie protejate în mod fiabil în timpul procesării și stocării.

Pentru ca instituțiile financiare să poată organiza eficient un sistem de prelucrare și protecție a datelor cu caracter personal, este necesar să se schițeze o listă de acte normative și juridice pe care banca ar trebui să se bazeze atunci când lucrează cu datele personale ale clienților: Constituția Federația Rusă este cel mai important document al țării; Codul Muncii al Federației Ruse; Codul civil și Codul penal al Federației Ruse; Legea federală nr. 152 „Cu privire la datele cu caracter personal”; Legea federală nr. 149 „Cu privire la

informație, tehnologii informaționale și protecția informațiilor”; Legea federală nr. 395-1 „Cu privire la bănci și activități bancare”. De asemenea, în bănci, la crearea unui sistem de procesare și stocare a datelor cu caracter personal, sunt create o serie de documente locale care oferă un control suplimentar asupra lucrului cu datele.

Organizație bancară la primirea datelor sale personale de la client, acesta își asumă obligația de a efectua toate măsurile organizatorice și tehnice pentru a proteja informațiile care i-au fost încredințate de accesul neautorizat (accidental sau intenționat), blocare, modificare, distrugere și alte acțiuni ilegale. Este de evidențiat o serie de măsuri pentru organizarea de înaltă calitate a prelucrării și protecției datelor cu caracter personal în bănci: numirea responsabililor cu prelucrarea și asigurarea securității datelor în sistemul informațional al băncii; implementarea măsurilor de control și familiarizarea angajaților cu cadrul de reglementare relevant și cu documentele interne pe care se bazează sistemul de securitate a datelor al băncii; identificarea amenințărilor în timpul prelucrării datelor cu caracter personal în bancă și măsuri de combatere a acestora; evaluarea eficacității măsurilor organizatorice și tehnice aplicate pentru asigurarea protecției datelor, înainte de punerea în funcțiune a sistemului de protecție; Contabilitatea tuturor mediilor de stocare computerizate a datelor personale; stabilirea regulilor de acces la sistemul de prelucrare și securitate pentru angajați; dacă este detectat acces neautorizat la datele protejate, se iau măsuri pentru a elimina amenințarea și a restabili datele pierdute. Iar o măsură obligatorie pentru băncile cu un sistem existent de stocare și protejare a datelor personale ale clienților este monitorizarea și îmbunătățirea constantă a sistemului de securitate.

Astfel, este de remarcat faptul că prelucrarea, stocarea și protecția datelor cu caracter personal în bănci ar trebui efectuate pe baza condițiilor definite de cadrul de reglementare al Federației Ruse. Fiecare instituție financiară trebuie: să respecte principiul legalității atunci când organizează protecția datelor cu caracter personal ale clienților săi; efectuează o gamă completă de măsuri pentru protecția datelor organizatorice și tehnice; la crearea documentelor locale legate de garanții securitatea informatiei se bazează pe cele mai bune practici rusești și internaționale în acest domeniu; respectă toate cerințele autorităților de reglementare (FSTEK, Roskomnadzor, FSB) pentru a asigura protecția datelor cu caracter personal ale clientului.

Lista literaturii folosite:

1. Khlestova D.R., Popov K.G. „Cu privire la aspectele juridice ale protecției datelor cu caracter personal”

2. Legea federală „Cu privire la bănci și activități bancare”

3. Banca Rusiei [Resursa electronica] Mod de acces: http://www.cbr.ru/ (Data accesului: 05/06/2016)

©Khlestova D.R., Popov K.G., 2016

Hlestova Daria Robertovna

Student în anul II la IUPP BashSU, Ufa, Federația Rusă E-mail: [email protected] Popov Kirill Gennadievich Ph.D., Profesor asociat, Departamentul de Securitate Informațională, Universitatea de Stat Bashkir, Ufa, Federația Rusă

E-mail: [email protected]

BUSINESS INTELLIGENCE CA CEL MAI LEGAL MOD DE OBȚINEREA INFORMAȚIILOR

adnotare

Articolul discută metode de business intelligence. De asemenea, explică de ce business intelligence este o activitate legală în afaceri. Principiile de bază evidențiate pe care trebuie să le respectați sunt:

Documente similare

Cadrul legislativ pentru protectia datelor cu caracter personal. Clasificarea amenințărilor la securitatea informațiilor. Baza de date cu caracter personal. Design și amenințări ale unei rețele LAN de întreprindere. Protecție software și hardware de bază pentru computere. Politica de bază de securitate.

teză, adăugată 06.10.2011


Condiții preliminare pentru crearea unui sistem de securitate a datelor cu caracter personal. Amenințări la securitatea informațiilor. Surse de acces neautorizat la ISPD. Proiectarea sistemelor informatice de date cu caracter personal. Instrumente de securitate a informațiilor. Politică de securitate.

lucrare curs, adăugată 10.07.2016


Analiza structurii unui sistem informatic distribuit și a datelor cu caracter personal prelucrate în acesta. Selectarea măsurilor și mijloacelor de bază pentru a asigura securitatea datelor cu caracter personal față de amenințările curente. Determinarea costurilor de creare și întreținere a proiectului.

teză, adăugată 07.01.2011


Sistem de control al accesului și management al întreprinderii. Analiza informațiilor prelucrate și clasificarea ISPD. Elaborarea unui model de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informatic de date cu caracter personal ACS al OJSC MMZ.

teză, adăugată 04.11.2012


Descrierea principalelor solutii tehnice de dotare a sistemului informatic de date cu caracter personal situat in clasa de calculatoare. Subsistemul protectie antivirus. Activități de pregătire pentru implementarea măsurilor de securitate a informațiilor.

lucrare curs, adaugat 30.09.2013


Confidențialitatea și securitatea informațiilor documentate. Tipuri de date cu caracter personal utilizate în activitățile organizației. Dezvoltarea legislaţiei în domeniul asigurării protecţiei acestora. Metode de asigurare a securității informațiilor din Federația Rusă.

prezentare, adaugat 15.11.2016


Analiza riscurilor la securitatea informatiei. Evaluarea mijloacelor de protecție existente și planificate. Un set de măsuri organizaționale pentru a asigura securitatea informațiilor și protecția informațiilor întreprinderii. Exemplu de testare a implementării proiectului și descrierea acestuia.

teză, adăugată 19.12.2012


Documente de reglementare în domeniul securității informațiilor în Rusia. Analiza amenințărilor la adresa sistemelor informaționale. Caracteristicile organizării sistemului de protecție a datelor cu caracter personal al clinicii. Implementarea unui sistem de autentificare folosind chei electronice.

teză, adăugată 31.10.2016


Informații generale despre activitățile întreprinderii. Obiecte de securitate a informațiilor din întreprindere. Măsuri și mijloace de protecție a informațiilor. Copierea datelor pe un suport amovibil. Instalarea unui server intern de backup. Eficiența îmbunătățirii sistemului de securitate a informațiilor.

test, adaugat 29.08.2013


Principalele amenințări la adresa informațiilor. Concepte, metode și metode de asigurare a protecției datelor. Cerințe pentru sistemul de protecție. Mecanismul de autorizare în baza de informatii pentru a determina tipul de utilizator. Munca administratorului cu sistemul de securitate.

INTRODUCERE

Relevanţă. ÎN lumea modernă informaţia devine o resursă strategică, una dintre principalele bogăţii ale unui stat dezvoltat economic. Îmbunătățirea rapidă a informatizării în Rusia, pătrunderea ei în toate sferele intereselor vitale ale individului, societății și statului, a provocat, pe lângă avantaje neîndoielnice, apariția unui număr de probleme semnificative. Una dintre ele a fost nevoia de a proteja informațiile. Având în vedere că în prezent potențialul economic este din ce în ce mai mult determinat de nivelul de dezvoltare al structurii informaționale, potențiala vulnerabilitate a economiei la influențele informaționale crește proporțional.

Răspândirea sisteme informatice, combinarea lor în rețele de comunicații sporește posibilitățile de pătrundere electronică în ele. Problema criminalității informatice în toate țările lumii, indiferent de localizarea lor geografică, necesită atragerea din ce în ce mai multă atenție publică și eforturi pentru organizarea luptei împotriva acestui tip de infracțiuni. Infracțiunile din sistemele bancare automatizate și comerțul electronic au devenit deosebit de răspândite. Potrivit datelor din străinătate, pierderile bancare ca urmare a infracțiunilor informatice se ridică anual la multe miliarde de dolari. Deși nivelul de implementare în practică a celor mai noi tehnologii informaționale în Rusia nu este atât de semnificativ, infracțiunile informatice se fac simțite din ce în ce mai mult în fiecare zi, iar protejarea statului și a societății de acestea a devenit o sarcină super pentru autoritățile competente.

Nimeni nu se îndoiește de relevanța problemei protecției datelor cu caracter personal. Acest lucru se datorează în primul rând termenului stabilit pentru aducerea sistemelor de informații cu date cu caracter personal (PDIS) în conformitate cu Legea federală nr. 152-FZ din 27 iulie 2006 „Cu privire la datele cu caracter personal”. Acest termen limită se apropie inexorabil și, în același timp, dificultatea evidentă a îndeplinirii cerințelor documentelor de ghidare de reglementare provoacă multe controverse și interpretări ambigue. În același timp, secretul unor documente de guvernare, statutul lor juridic incert, precum și o serie de alte aspecte, nu contribuie la rezolvarea problemei. Toate acestea creează o situație în care cadrul de reglementare nu a fost finalizat, iar acum este necesar să se respecte cerințele legale.

În mai 2009 a avut loc prima întâlnire grup de lucru cu privire la problematica datelor cu caracter personal în ARB. La eveniment, în cadrul unei discuții deschise, au fost identificate destul de clar domeniile problematice care preocupă comunitatea bancară. Acestea au vizat în principal protecția tehnică a datelor cu caracter personal și viitoarea interacțiune dintre instituțiile financiare și FSTEC. Reprezentanții Băncii Rusiei au anunțat în discursul lor evoluții în organizarea implementării legii „Cu privire la datele cu caracter personal”. Fundamental noi și importante sunt încercările Băncii Rusiei de a găsi un compromis cu autoritățile de reglementare în ceea ce privește formularea cerinte tehnice pentru comunitatea bancară. Aș dori în special să remarc activitatea Băncii Centrale a Federației Ruse în colaborarea cu FSTEC din Rusia. Ținând cont de numărul mare de dificultăți în îndeplinirea cerințelor documentelor de guvernare ale FSTEC, Banca Rusiei a decis să își pregătească propriile documente (proiecte de documente), care sunt în prezent în concordanță cu FSTEC. Se poate presupune că există o mare probabilitate de apariție a unui nou standard industrial pentru instituțiile financiare privind datele personale.

Scop munca de curs este un studiu al modalităților de a proteja datele personale în sistemele bancare online.

Pentru atingerea scopului, au fost rezolvate următoarele sarcini:

studierea abordărilor și principiilor de bază ale asigurării securității;

determinarea metodelor si mijloacelor de asigurare a securitatii;

identificarea caracteristicilor de asigurare a securității datelor cu caracter personal în sistemele bancare online;

dezvoltarea de măsuri pentru asigurarea securității datelor cu caracter personal în sistemele bancare online.

Obiectul de studiu îl reprezintă sistemele informaționale bancare.

Subiectul studiului este securitatea informațiilor personale în sistemele bancare online.

Baza teoretică și metodologică a studiului a fost principii teoretice, lucrări ale oamenilor de știință, cercetări ale specialiștilor pe probleme de furnizare de informații.

Baza metodologică a lucrării de curs a fost o abordare sistematică a studiului problemelor de securitate.

Au fost utilizate analize logice, juridice comparative și sistemice. În plus, metoda de analiză structurală utilizată ne permite să studiem cu atenția necesară componentele individuale ale fenomenului studiat și să analizăm relația acestor elemente între ele, precum și cu întregul ansamblu.

1. Aspecte teoretice ale protecției datelor cu caracter personal în sistemele bancare online

1.1 Abordări, principii de securitate

Asigurarea securității sistemelor informaționale înseamnă măsuri care protejează un sistem informațional de interferențe accidentale sau intenționate în modurile sale de funcționare.

Există două abordări fundamentale pentru asigurarea securității computerelor.

Prima dintre ele este fragmentată, în cadrul său se pune accent pe contracararea amenințărilor strict definite în anumite condiții (de exemplu, instrumente antivirus specializate, instrumente de criptare autonome etc.). Abordarea are atât avantaje - sugerând un nivel ridicat de selectivitate în raport cu o problemă strict definită, cât și dezavantaje - sugerând fragmentarea protecției - i.e. elemente strict definite.

Procesul de management al securității informațiilor include componentele prezentate în Fig. 1.

A doua abordare este sistemică, particularitatea sa este că în cadrul său protecția informațiilor este tratată la scară mai mare - se creează un mediu sigur de procesare, stocare și transmitere a informațiilor care combină metode și mijloace eterogene de contracarare a amenințărilor: software și hardware, juridic, organizatorice si economice. Prin mediul securizat specificat, se poate garanta un anumit nivel de securitate a sistemului informatic automatizat.

O abordare sistematică a protecției informațiilor se bazează pe următoarele principii metodologice:

obiectiv final - prioritatea absolută a obiectivului final (global);

unitate - considerare în comun a sistemului ca întreg” și ca o colecție de părți (elemente);

conectivitate - luarea în considerare a oricărei părți a sistemului împreună cu conexiunile acesteia cu mediul;

construcție modulară - identificarea modulelor din sistem și considerarea acestuia ca un set de module;

ierarhie - introducerea unei ierarhii de părți (elemente) și ierarhizarea acestora;

funcționalitate - luarea în considerare în comun a structurii și funcției cu prioritate a funcției asupra structurii;

dezvoltare - luând în considerare variabilitatea sistemului, capacitatea acestuia de a dezvolta, extinde, înlocui piese, acumula informații;

descentralizare - combinatii de centralizare si descentralizare in deciziile luate si management;

incertitudine – luând în considerare incertitudinile și neprevăzutele din sistem.

Cercetătorii moderni identifică următoarele metodologice:

principiile organizatorice și de implementare a securității informațiilor (inclusiv computerelor).

Principiul legalității. Constă în respectarea legislației în vigoare în domeniul securității informațiilor.

Principiul incertitudinii.Apare din cauza ambiguității comportamentului subiectului, i.e. cine, când, unde și cum poate încălca securitatea obiectului protejat.

Principiul imposibilității creării unui sistem de protecție ideal. Rezultă din principiul incertitudinii și al resurselor limitate ale acestor fonduri.

Principiile riscului minim și daunelor minime provin din imposibilitatea creării unui sistem de protecție ideal. În conformitate cu acesta, este necesar să se țină seama de condițiile specifice de existență a obiectului de protecție pentru orice moment în timp.

Principiul timpului sigur.Implică luarea în considerare a timpului absolut, adică. timp în care este necesară conservarea obiectelor de protecție; și timpul relativ, adică perioada de timp din momentul în care sunt detectate acțiuni rău intenționate până când atacatorul își atinge scopul.

Principiul „protejării tuturor de toți”. Ea presupune organizarea de măsuri de protecție împotriva tuturor formelor de amenințări la adresa obiectelor de protecție, care este o consecință a principiului incertitudinii.

Principiile responsabilitatii personale. Își asumă responsabilitatea personală a fiecărui angajat al unei întreprinderi, instituții și organizații pentru respectarea regimului de securitate în cadrul competențelor, responsabilităților funcționale și al instrucțiunilor curente.

Principiul limitării puterilor.Constă în limitarea puterilor unui subiect de a se familiariza cu informații la care accesul nu este necesar pentru îndeplinirea normală a atribuțiilor sale funcționale, precum și introducerea unei interdicții de acces la obiecte și zone din care şedere nu este cerută de natura activităţii sale.

Principiul interacțiunii și cooperării. Pe plan intern, implică cultivarea relațiilor de încredere între angajații responsabili de securitate (inclusiv securitatea informațiilor) și personal. În manifestare externă - stabilirea cooperării cu toate organizațiile și persoanele interesate (de exemplu, agențiile de aplicare a legii).

Principiul complexitatii si individualitatii.Implica imposibilitatea asigurarii securitatii obiectului de protectie prin orice masura, dar numai printr-un set de masuri complexe, interconectate si suprapuse, implementate cu referire individuala la conditii specifice.

Principiul liniilor succesive de siguranță. implică notificarea cât mai devreme posibilă a unei încălcări a siguranței unui anumit obiect protejat sau a unui alt incident advers, pentru a crește probabilitatea ca un semnal de alarmă timpuriu al echipamentului de protecție să ofere angajaților responsabili cu siguranță oportunitatea să determine în timp util cauza alarmei și să organizeze contramăsuri eficiente.

Principii de rezistență egală și putere egală a liniilor de protecție. O rezistență egală implică absența zonelor neprotejate în cadrul liniilor de protecție. Echivalența presupune o protecție relativ egală a liniilor de protecție în funcție de gradul de amenințare la adresa obiectului protejat.

Metodele de asigurare a securității informațiilor la o întreprindere sunt următoarele:

Un obstacol este o metodă de blocare fizică a căii unui atacator către informații protejate (echipament, medii de stocare etc.).

Controlul accesului este o metodă de protejare a informațiilor prin reglementarea utilizării tuturor resurselor sistemului informatic automatizat al unei întreprinderi. Controlul accesului include următoarele caracteristici de securitate:

identificarea utilizatorilor, personalului și resurselor sistemului informațional (atribuirea unui identificator personal fiecărui obiect);

autentificarea (stabilirea autenticității) unui obiect sau subiect folosind identificatorul prezentat de acesta;

verificarea autoritatii (verificarea conformitatii zilei saptamanii, orei zilei, resurselor si procedurilor solicitate cu reglementarile stabilite);

înregistrarea cererilor către resurse protejate;

răspuns (alarma, oprire, întârzierea lucrului, refuzul unei solicitări la încercarea de acțiuni neautorizate).

Mascarea este o metodă de protejare a informațiilor din sistemul informatic automat al unei întreprinderi prin închiderea criptografică a acesteia.

Reglementarea este o metodă de protecție a informațiilor care creează astfel de condiții prelucrare automată, stocarea și transmiterea informațiilor, în care posibilitatea de acces neautorizat la acestea ar fi minimizată.

Coerciția este o metodă de protecție a informațiilor în care utilizatorii și personalul sistemului sunt obligați să respecte regulile de prelucrare, transfer și utilizare a informațiilor protejate sub amenințarea răspunderii materiale, administrative și penale.

Stimulentul este o metodă de securitate a informațiilor care încurajează utilizatorii și personalul sistemului să nu încalce regulile stabilite prin respectarea standardelor morale și etice stabilite.

Metodele de mai sus de asigurare a securității informațiilor sunt implementate folosind următoarele mijloace de bază: fizice, hardware, software, hardware-software, criptografice, organizaționale, legislative și morale și etice.

Mijloacele fizice de protecție sunt destinate protecției externe a teritoriului obiectelor, protecției componentelor unui sistem informatic automat al unei întreprinderi și sunt implementate sub formă de dispozitive și sisteme autonome.

Protecția hardware înseamnă dispozitive electronice, electromecanice și alte dispozitive direct încorporate în blocurile unui sistem informatic automat sau proiectate sub forma dispozitive independenteși împerecherea cu aceste blocuri. Sunt destinate protecţie internă elemente structurale ale echipamentelor și sistemelor informatice: terminale, procesoare, echipamente periferice, linii de comunicație etc.

Instrumentele de protecție software sunt concepute pentru a îndeplini funcții de protecție logică și intelectuală și sunt incluse fie în software-ul unui sistem informatic automat, fie în compoziția instrumentelor, complexelor și sistemelor echipamentelor de control.

Software-ul de securitate a informațiilor este cel mai comun tip de protecție, având următoarele proprietăți pozitive: versatilitate, flexibilitate, ușurință de implementare, posibilitate de schimbare și dezvoltare. Această împrejurare îi face, în același timp, cele mai vulnerabile elemente de protecție a sistemului informațional al unei întreprinderi.

Mijloacele de protecție hardware-software sunt mijloace prin care componentele software (firmware) și hardware sunt complet interconectate și inseparabile.

Mijloacele criptografice sunt mijloace de protecție prin transformarea informațiilor (criptare).

Mijloace organizatorice - masuri organizatorice, tehnice si organizatorice si legale de reglementare a comportamentului personalului.

Mijloacele legislative sunt acte juridice ale țării care reglementează regulile de utilizare, prelucrare și transmitere a informațiilor cu acces restricționat și care stabilesc sancțiuni pentru încălcarea acestor reguli.

Mijloace morale și etice - norme, tradiții în societate, de exemplu: Codul de conduită profesională pentru membrii Asociației utilizatorilor de computere din SUA.

1.2 Metode și mijloace de securitate

Pentru implementarea măsurilor de securitate sunt utilizate diferite mecanisme de criptare. Pentru ce sunt folosite aceste metode? Inițial, la trimiterea datelor (text, vorbire sau desen), acestea sunt neprotejate sau, așa cum le spun experții, sunt deschise. Datele deschise pot fi ușor interceptate de alți utilizatori (intenționat sau nu). Dacă există un obiectiv de a împiedica anumite informații să ajungă la terți, aceste date sunt criptate. Utilizatorul căruia îi sunt destinate informațiile specificate o decriptează apoi folosind transformarea inversă a criptogramei, primind datele în forma de care are nevoie.

Criptarea poate fi simetrică (o cheie secretă este folosită pentru criptare) și asimetrică (o cheie publică este folosită pentru criptare și alta pentru decriptare, nu interconectată - adică, dacă cunoști una dintre ele, nu o poți determina pe cealaltă).

Mecanismele de securitate includ:

) Mecanismele de semnătură electronică digitală se bazează pe algoritmi de criptare asimetrică și includ două proceduri: formarea unei semnături de către expeditor și recunoașterea acesteia de către destinatar. Formarea unei semnături de către expeditor asigură că blocul de date este criptat sau completat cu o sumă de control criptografică, iar în ambele cazuri este utilizată cheia secretă a expeditorului. Pentru identificare este folosită o cheie publică.

) Mecanismele de control al accesului verifică autoritatea programelor și utilizatorilor de a accesa resursele rețelei. Când o resursă este accesată printr-o conexiune, controlul este efectuat atât la punctul de origine, cât și la punctele intermediare, precum și la punctul final.

) Mecanismele de integritate a datelor se aplică blocului individual și fluxului de date. Expeditorul completează blocul transmis cu o sumă criptografică, iar destinatarul o compară cu valoarea criptografică corespunzătoare blocului primit. O discrepanță indică o distorsiune a informațiilor din bloc.

) Mecanisme de stabilire a traficului. Acestea se bazează pe generarea de blocuri de către obiectele AIS, criptarea acestora și organizarea transmisiei pe canalele de rețea. Acest lucru neutralizează posibilitatea de a obține informații prin observație caracteristici externe fluxurilor care circulă prin canalele de comunicare.

) Mecanismele de control al rutei asigură selectarea rutelor de circulație a informațiilor prin rețeaua de comunicații astfel încât să excludă transferul de informații secrete prin canale nesigure, nesigure din punct de vedere fizic.

) Mecanismele de arbitraj asigură confirmarea caracteristicilor datelor transferate între entități de către un terț. Pentru a face acest lucru, informațiile trimise sau primite de obiecte trec prin arbitru, ceea ce îi permite să confirme ulterior caracteristicile menționate.

Principalele dezavantaje ale sistemului de securitate al facilitatilor economice sunt:

-o înțelegere restrânsă, nesistematică a problemei siguranței instalației;

-neglijarea prevenirii amenințărilor, lucrând după principiul „Dacă a apărut o amenințare, începem să o eliminăm”;

-incompetență în economia securității, incapacitatea de a compara costurile și rezultatele;

-„tehnocratismul” specialiștilor în management și securitate, interpretarea tuturor sarcinilor în limba unui domeniu familiar.

Ca o concluzie din primul capitol al lucrării, determinăm următoarele. Asigurarea securității sistemelor informaționale se referă la anumite măsuri prin care un sistem informațional este protejat de interferențe accidentale sau intenționate în modurile sale de funcționare. Pentru asigurarea securității, există două abordări principale: 1) fragmentate, în cadrul cărora anumite amenințări sunt contracarate în anumite condiții; și 2) sistemic, în cadrul căruia se creează un mediu securizat pentru procesarea, stocarea și transmiterea informațiilor, combinând diferite tipuri de metode și mijloace de contracarare a amenințărilor. diverse mijloace si mecanisme. Mijloacele includ: criptare, digital înregistrare electronică, control acces, punere în scenă a traficului etc.

bancă sistem online Siguranță

2. Caracteristici de asigurare a securității datelor cu caracter personal în sistemele bancare online

2.1. Condiții generale pentru asigurarea securității datelor cu caracter personal în sistemele bancare online

Protecţie Informații personale- aceasta este starea securității informațiilor și a infrastructurii de suport ale acesteia (calculatoare, linii de comunicații, sisteme de alimentare cu energie electrică etc.) de la impacturi accidentale sau intenționate care ar putea cauza daune proprietarilor sau utilizatorilor acestor informații.

Securitatea informațiilor a acreditărilor mai înseamnă: fiabilitatea asigurată a computerului; siguranța acreditărilor valoroase; protecția informațiilor personale împotriva modificărilor aduse acestora de către persoane neautorizate; păstrarea acreditărilor documentate în comunicațiile electronice.

Obiectele securităţii informaţiei în contabilitate sunt resurse informaționale care conțin informații clasificate ca secret comercial și informații confidențiale; precum și instrumente și sisteme de tehnologie a informației.

Deținătorul resurselor informaționale, sistemelor informaționale, tehnologiilor și mijloacelor de susținere a acestora este entitatea care exercită proprietatea și utilizarea acestor obiecte și exercită competențele de dispunere în limitele stabilite de lege.

Un utilizator de informatii este un subiect care apeleaza la un sistem informatic sau intermediar pentru a obtine informatiile de care are nevoie si le foloseste.

Resursele de informații sunt documente individuale și rețele individuale de documente, documente și rețele de documente în sisteme de informare.

O amenințare la securitatea informațiilor constă într-o acțiune potențială care, prin impactul ei asupra componentelor sistem personal poate duce la deteriorarea proprietarilor de resurse informaționale sau utilizatorilor sistemului.

Regimul juridic al resurselor informaționale este determinat de regulile care stabilesc:

procedura de documentare a informatiilor;

proprietatea asupra documentelor individuale și a dosarelor individuale

documente, documente și rețele de documente în sistemele informaționale; categorie de informații în funcție de nivelul de acces la acestea; procedura de protectie juridica a informatiilor.

Principalul principiu încălcat la implementarea unei amenințări informaționale în contabilitate este principiul documentării informațiilor. Un document contabil primit de la un sistem informatic contabil automat dobândește forță legală după ce este semnat de un funcționar în modul stabilit de legislația Federației Ruse.

Întregul set de potențiale amenințări în contabilitate, în funcție de natura apariției lor, poate fi împărțit în două clase: naturale (obiective) și artificiale.

Amenințările naturale sunt cauzate de motive obiective, de obicei dincolo de controlul contabilului, ducând la distrugerea completă sau parțială a departamentului de contabilitate împreună cu componentele acestuia. Astfel de fenomene naturale includ: cutremure, fulgere, incendii etc.

Amenințările provocate de om sunt legate de activitățile umane. Ele pot fi împărțite în neintenționate (neintenționate), cauzate de capacitatea angajaților de a face orice greșeală din cauza neatenției, sau oboseală, boală etc. De exemplu, un contabil, atunci când introduce informații într-un computer, poate apăsa tasta greșită, poate face erori neintenționate în program, poate introduce un virus sau dezvăluie accidental parole.

Amenințările intenționate (intenționate) sunt asociate cu aspirațiile egoiste ale oamenilor - atacatori care creează în mod deliberat documente false.

Amenințările de securitate în ceea ce privește concentrarea lor pot fi împărțite în următoarele grupuri:

amenințări de pătrundere și citire a datelor din bazele de date de acreditări și programe de calculator prelucrarea acestora;

amenințări la adresa siguranței acreditărilor, ducând fie la distrugerea, fie la modificarea acestora, inclusiv la falsificarea documentelor de plată (cereri de plată, comenzi etc.);

amenințările privind disponibilitatea datelor care apar atunci când un utilizator nu poate accesa acreditările;

Amenințarea cu refuzul de a efectua operațiuni, atunci când un utilizator transmite un mesaj altuia și apoi nu confirmă datele transmise.

Procesele informaționale sunt procesele de colectare, prelucrare, acumulare, stocare, căutare și distribuire a informațiilor.

Sistemul informatic este un set organizat de documente (matrice de documente și tehnologii informaționale, inclusiv utilizarea tehnologiei informatice și a comunicațiilor, implementarea procesele informaţionale).

Documentarea informațiilor se realizează în modul stabilit de organismele guvernamentale responsabile cu organizarea muncii de birou, standardizarea documentelor și a matricelor acestora și securitatea Federației Ruse.

În funcție de sursa amenințărilor, acestea pot fi împărțite în interne și externe.

Sursa amenințărilor interne sunt activitățile personalului organizației. Amenințări externe provin din exterior de la angajații altor organizații, de la hackeri și alte persoane.

Amenințările externe pot fi împărțite în:

locale, care implică intrarea intrusului pe teritoriul organizației și obținerea accesului la calculator separat sau rețea locală;

amenințările de la distanță sunt tipice pentru sistemele conectate la rețele globale(Internet, sistem bancar internațional de plată SWIFT etc.).

Astfel de pericole apar cel mai adesea în sistemul de plăți electronice atunci când se efectuează plăți între furnizori și cumpărători și se utilizează rețelele de internet în plăți. Sursele unor astfel de atacuri informaționale pot fi localizate la mii de kilometri distanță. Mai mult, nu doar computerele sunt afectate, ci și informațiile contabile.

Erorile intenţionate şi neintenţionate în contabilitate care conduc la creşterea riscului contabil sunt următoarele: erori în înregistrarea datelor contabile; coduri incorecte, tranzacții contabile neautorizate; încălcarea limitelor de control; ratat Conturi; erori în prelucrarea sau ieșirea datelor; erori la formarea sau corectarea directoarelor; conturi incomplete; atribuirea incorectă a înregistrărilor pe perioade; falsificarea datelor; încălcarea cerințelor de reglementare; încălcarea principiilor politicii personale; discrepanța dintre calitatea serviciilor și nevoile utilizatorilor.

Deosebit de periculoase sunt informațiile care constituie un secret comercial și se referă la informații personale și de raportare (date despre parteneri, clienți, bănci, informații analitice despre activitățile de pe piață). Pentru ca aceste informații și informații similare să fie protejate, este necesar să se întocmească acorduri cu angajații de contabilitate, servicii financiare și alte direcții economice care să indice o listă de informații care nu fac obiectul dezvăluirii publice.

Protecția informațiilor în sistemele automatizate de contabilitate se bazează pe următoarele principii de bază.

Asigurarea separării fizice a zonelor destinate prelucrării informațiilor clasificate și neclasificate.

Asigurarea protecției criptografice a informațiilor. Asigurarea autentificării abonaților și a instalațiilor abonaților. Asigurarea diferențierii accesului subiecților și proceselor acestora la informație. Asigurarea stabilirii autenticitatii si integritatii mesajelor documentare atunci cand acestea sunt transmise prin canale de comunicare.

Asigurarea protectiei echipamentelor si mijloacelor tehnice ale sistemului, a sediului in care se afla acestea, impotriva scurgerii de informatii confidentiale prin canale tehnice.

Asigurarea protecției tehnologiei de criptare, echipamentelor, tehnice și software de la scurgerea de informații din cauza marcajelor hardware și software.

Asigurarea controlului integrității componentei software și informaționale a sistemului automatizat.

Folosind doar pe cele casnice ca mecanisme de protecție

Resursele de informații de stat ale Federației Ruse sunt deschise și disponibile publicului. Excepție fac informațiile documentate clasificate de lege drept acces restricționat. Informații documentate cu acces limitat conform regimului său juridic, se împarte în informații clasificate ca secret de stat și confidențiale. Lista informațiilor confidențiale, în special informațiile legate de activități comerciale, este stabilită prin Decretul președintelui Federației Ruse din 6 martie 1997 nr. 188 (Anexa nr.) evoluții.

Asigurarea masurilor organizatorice si de protectie a regimului. Este recomandabil să folosiți măsuri suplimentare pentru a asigura securitatea comunicațiilor în sistem.

Organizarea protecției informațiilor despre intensitatea, durata și traficul schimbului de informații.

Utilizarea canalelor și metodelor de transmitere și procesare a informațiilor care îngreunează interceptarea.

Protejarea informațiilor împotriva accesului neautorizat are ca scop formarea a trei proprietăți principale ale informațiilor protejate:

confidențialitate (informațiile clasificate ar trebui să fie accesibile numai celor cărora le sunt destinate);

integritate (informațiile pe baza cărora se iau deciziile importante trebuie să fie de încredere, exacte și pe deplin protejate de posibile distorsiuni neintenționate și rău intenționate);

disponibilitatea (informațiile și serviciile de informații conexe trebuie să fie disponibile, gata să servească părțile interesate ori de câte ori sunt necesare).

Metodele de asigurare a protecției informațiilor personale sunt: ​​obstacole; control acces, camuflaj, reglementare, constrângere, stimulare.

Un obstacol ar trebui considerat o metodă de blocare fizică a căii unui atacator către informațiile personale protejate. Această metodă este implementată de sistemul de acces al întreprinderii, inclusiv prezența securității la intrarea în ea, blocarea căii persoanelor neautorizate către departamentul de contabilitate, casierie etc.

Controlul accesului este o metodă de protejare a informațiilor personale și de raportare, implementată prin:

autentificare - stabilirea autenticității unui obiect sau subiect prin identificatorul prezentat de acesta (realizată prin compararea identificatorului introdus cu cel stocat în memoria computerului);

verificări de autoritate - verificarea conformității resurselor solicitate și a operațiunilor efectuate conform resurselor alocate și procedurilor permise; înregistrarea cererilor către resurse protejate;

informarea și răspunsul la încercările de acțiuni neautorizate. (Criptografia este o metodă de protecție prin transformarea informațiilor (criptare)).

În complexul BEST-4, accesul la informații este restricționat la nivelul subsistemelor individuale și este asigurat prin setarea unor parole de acces separate. La configurare inițială sau în orice moment în timp ce lucrează cu programul, administratorul de sistem poate seta sau modifica una sau mai multe parole. Parola este solicitată de fiecare dată când vă conectați la subsistem.

În plus, unele module au propriul sistem de restricționare a accesului la informații. Oferă posibilitatea de a proteja fiecare element de meniu cu parole speciale. Parolele pot proteja, de asemenea, accesul la subseturi individuale de documente primare: de exemplu, la locul de muncă automatizat „Contabilitatea inventarului într-un depozit” și „Contabilitatea mărfurilor și produselor” este posibilă setarea parolelor de acces la fiecare depozit separat, în locul de muncă automatizat. "Contabilitate" tranzactii cu numerar" - parole de acces la fiecare casa de marcat, in locul de munca automatizat "Contabilitatea decontarilor la banca" - parole de acces la fiecare cont bancar.

Deosebit de remarcat este faptul că, pentru a restricționa eficient accesul la informații, este necesar, în primul rând, să se protejeze cu parole chiar modurile de determinare a parolelor de acces la anumite blocuri.

1C.Enterprise, versiunea 7.7 are propria sa protecție a informațiilor - drepturi de acces.Pentru a integra și separa accesul utilizatorilor la informații atunci când lucrează cu sistemul 1C.Enterprise în rețea calculatoare personale, configuratorul de sistem vă permite să setați drepturile fiecărui utilizator de a lucra cu informațiile procesate de sistem. Drepturile pot fi setate într-o gamă destul de largă - de la capacitatea de a vizualiza doar anumite tipuri de documente până la un set complet de drepturi de a introduce, vizualiza, corecta și șterge orice tip de date.

Atribuirea drepturilor de acces unui utilizator se realizează în 2 etape. În prima etapă, se creează seturi standard de drepturi de a lucra cu informații, care diferă, de regulă, prin amploarea capacităților de acces oferite. În a doua etapă, utilizatorului i se atribuie unul dintre acestea seturi standard dreapta

Toate lucrările privind crearea de seturi standard de drepturi se fac în fila „Drepturi” din fereastra „Configurare”. Această fereastră este deschisă selectând elementul „Configurare deschisă” din meniul „Configurare” din meniul principal al programului

2.2 Un set de măsuri pentru a asigura securitatea datelor cu caracter personal în sistemele bancare online

Justificarea unui set de măsuri de asigurare a securității datelor cu caracter personal în ISPD se realizează ținând cont de rezultatele evaluării pericolului amenințărilor și determinării clasei ISPD pe baza „Măsurilor de bază pentru organizarea și suportul tehnic al securitatea datelor cu caracter personal prelucrate în sistemele informatice de date cu caracter personal.”

În acest caz, trebuie stabilite măsuri pentru:

identificarea și închiderea canalelor tehnice de scurgere de date cu caracter personal în sistemul informațional;

protecția datelor cu caracter personal împotriva accesului neautorizat și a acțiunilor ilegale;

instalarea, configurarea și utilizarea echipamentului de protecție.

Măsurile de identificare și închidere a canalelor tehnice de scurgere a datelor cu caracter personal în sistemul informațional sunt formulate pe baza analizei și evaluării amenințărilor la adresa securității datelor cu caracter personal.

Măsurile de protecție a datelor cu caracter personal în timpul prelucrării lor în ISPD împotriva accesului neautorizat și a acțiunilor ilegale includ:

controlul accesului;

înregistrare și contabilitate;

asigurarea integritatii;

controlul absenței capacităților nedeclarate;

protectie antivirus;

asigurarea interacțiunii securizate de interconectare a ISPD;

analiza de securitate;

detectarea intruziunilor.

Se recomandă implementarea subsistemului de control acces, înregistrare și contabilitate pe baza instrumentelor software pentru blocarea acțiunilor neautorizate, semnalizare și înregistrare. Acestea sunt speciale, nu sunt incluse în miezul niciunuia sistem de operare software și hardware și software pentru protejarea sistemelor de operare în sine, baze de date electronice cu date personale și programe de aplicație. Acestea îndeplinesc funcții de protecție în mod independent sau în combinație cu alte mijloace de protecție și au ca scop eliminarea sau complicarea execuției acțiunilor unui utilizator sau contravenient care sunt periculoase pentru ISPD. Acestea includ utilitati specialeși sisteme de protecție software care implementează funcții de diagnosticare, înregistrare, distrugere, alarmă și simulare.

Instrumentele de diagnosticare efectuează teste Sistemul de fișiereși baze de date PD, colectare constantă de informații privind funcționarea elementelor subsistemului de securitate a informațiilor.

Instrumentele de distrugere sunt concepute pentru a distruge datele reziduale și pot asigura distrugerea de urgență a datelor în cazul unei amenințări de acces neautorizat care nu poate fi blocată de sistem.

Mijloacele de semnalizare sunt concepute pentru a avertiza operatorii atunci când accesează PD protejat și pentru a avertiza administratorul atunci când detectează faptul accesului neautorizat la PD și alte fapte de încălcare a modului normal de funcționare al ISPD.

Instrumentele de simulare simulează lucrul cu infractori atunci când este detectată o încercare de a modifica datele personale protejate sau software-ul. Imitația vă permite să măriți timpul de determinare a locației și a naturii datelor neautorizate, ceea ce este deosebit de important în rețelele distribuite geografic, și de a dezinforma infractorul cu privire la locația datelor cu caracter personal protejate.

Subsistemul de integritate este implementat în primul rând de sistemele de operare și sistemele de gestionare a bazelor de date. Instrumentele pentru creșterea fiabilității și asigurarea integrității datelor transmise și a fiabilității tranzacțiilor, integrate în sistemele de operare și sistemele de gestionare a bazelor de date, se bazează pe calcul sume de control, notificarea eșecului transmiterii unui pachet de mesaj, retransmiterea unui pachet neacceptat.

Subsistemul de monitorizare a absenței capacităților nedeclarate este implementat în majoritatea cazurilor pe baza sistemelor de gestionare a bazelor de date, a instrumentelor de securitate a informațiilor și a instrumentelor de securitate a informațiilor antivirus.

Pentru a asigura securitatea PD și a mediului software și hardware al ISPD care prelucrează aceste informații, se recomandă utilizarea mijloace speciale protecție antivirus care efectuează:

detectarea și (sau) blocarea efectelor virale distructive la nivelul întregului sistem și aplicate software, care implementează prelucrarea datelor cu caracter personal, precum și a datelor cu caracter personal;

detectarea și eliminarea virușilor necunoscuți;

asigurarea automonitorizării (prevenirea infecției) a acestui produs antivirus atunci când este lansat.

Atunci când alegeți instrumente de protecție antivirus, este recomandabil să luați în considerare următorii factori:

compatibilitatea acestor instrumente cu software-ul standard ISPD;

gradul de scădere a performanței ISPD pentru scopul său principal;

disponibilitatea mijloacelor de gestionare centralizată a funcționării instrumentelor de protecție antivirus de la locul de muncă al administratorului de securitate a informațiilor din ISPD;

capacitatea de a notifica cu promptitudine administratorul de securitate a informațiilor din ISPD despre toate evenimentele și faptele de manifestare a influențelor software și matematice (PMI);

disponibilitatea documentației detaliate privind funcționarea instrumentului de protecție antivirus;

capacitatea de a testa sau auto-test periodic instrumentul de protecție antivirus;

capacitatea de a extinde componența mijloacelor de protecție împotriva celui de-al Doilea Război Mondial cu noi mijloace suplimentare fără restricții semnificative privind performanța ISPD și „conflict” cu alte tipuri de mijloace de protecție.

Trebuie inclusă o descriere a procedurii de instalare, configurare, configurare și administrare a instrumentelor de protecție antivirus, precum și procedura de acțiune în cazul detectării unui atac de virus sau a altor încălcări ale cerințelor de protecție împotriva influențelor matematice ale programului. în manualul administratorului de securitate a informațiilor din ISPD.

Pentru a restricționa accesul la resursele ISDN în timpul interacțiunii cu internetwork, este utilizat firewall-ul, care este implementat de firewall-uri software și hardware-software (FW). Între rețeaua protejată, numită rețea internă, și rețeaua externă, este instalat un firewall. Firewall-ul face parte din rețeaua protejată. Pentru aceasta, prin setări, se stabilesc separat reguli care restricționează accesul de la rețeaua internă la cea externă și invers.

Pentru a asigura conexiunea securizată la internet în clasa 3 și 4 ISPD, se recomandă utilizarea ME cel puțin al cincilea nivel de securitate.

Pentru a asigura conexiunea securizată la internet în clasa 2 ISPD, se recomandă utilizarea ME cel puțin al patrulea nivel de securitate.

Pentru a asigura conexiunea securizată la internet în clasa 1 ISPD, se recomandă utilizarea ME cel puțin al treilea nivel de securitate.

Subsistemul de analiză a securității este implementat pe baza utilizării instrumentelor de testare (analiza de securitate) și de control al securității informațiilor (audit).

Instrumentele de analiză a securității sunt folosite pentru a monitoriza setările de securitate ale sistemelor de operare de pe stațiile de lucru și servere și permit evaluarea posibilității ca atacatorii să efectueze atacuri asupra echipamentelor de rețea și să monitorizeze securitatea software-ului. Pentru a face acest lucru, ei examinează topologia rețelei, căutând neprotejate sau neautorizate conexiuni de retea, verificați setările paravanului de protecție. O astfel de analiză este efectuată pe bază descrieri detaliate vulnerabilități în setările de securitate (de exemplu, comutatoare, routere, firewall-uri) sau vulnerabilități în sistemele de operare sau aplicațiile software. Rezultatul instrumentului de analiză a securității este un raport care rezumă informații despre vulnerabilitățile detectate.

Instrumentele de detectare a vulnerabilităților pot funcționa la nivel de rețea (în acest caz se numesc „bazat pe rețea”), la nivel de sistem de operare („bazat pe gazdă”) și la nivel de aplicație („bazat pe aplicație”). Folosind software-ul de scanare, puteți crea rapid o hartă a tuturor nodurilor ISDN disponibile, puteți identifica serviciile și protocoalele utilizate pe fiecare dintre ele, puteți determina setările lor de bază și puteți face ipoteze cu privire la probabilitatea implementării NSD.

Pe baza rezultatelor scanării, sistemele dezvoltă recomandări și măsuri pentru eliminarea deficiențelor identificate.

În interesul identificării amenințărilor NSD prin interconectare, sunt utilizate sisteme de detectare a intruziunilor. Astfel de sisteme sunt construite ținând cont de specificul implementării atacurilor, etapele dezvoltării acestora și se bazează pe o serie de metode de detectare a atacurilor.

Există trei grupuri de metode de detectare a atacurilor:

metode de semnătură;

metode de detectare a anomaliilor;

metode combinate (folosind împreună algoritmi definiți în metodele de semnătură și metodele de detectare a anomaliilor).

Pentru detectarea intruziunilor în clasa 3 și 4 ISPD, se recomandă utilizarea sistemelor de detectare atacuri de rețea, folosind metode de analiză a semnăturii.

Pentru a detecta intruziunile în ISPD-urile clasa 1 și clasa 2, se recomandă utilizarea sistemelor de detectare a atacurilor de rețea care utilizează metode de detectare a anomaliilor împreună cu metode de analiză a semnăturilor.

Pentru a proteja datele cu caracter personal de scurgeri prin canale tehnice, sunt utilizate măsuri organizatorice și tehnice care vizează eliminarea scurgerii de informații acustice (vorbirii), de tip, precum și scurgerile de informații datorate efectelor secundare. radiatie electromagnetica si sfaturi.

Ca o concluzie a celui de-al doilea capitol al lucrării, tragem următoarele concluzii. Protecția informațiilor cu caracter personal reprezintă starea de securitate a informațiilor și a infrastructurii de suport a acesteia împotriva impacturilor accidentale sau intenționate de natură naturală sau artificială, pline de prejudicii aduse deținătorilor sau utilizatorilor acestor informații.Obiectele securității informațiilor în contabilitate sunt definite ca: resurse informaționale care conțin informații clasificate ca secrete comerciale și instrumente și sisteme de informatizare. Principalele metode utilizate în cadrul protecției informațiilor sunt: ​​detectarea și protejarea directă.

CONCLUZIE

Problema securității informaționale a obiectelor economice este multifațetă și necesită un studiu suplimentar.

În lumea modernă, informatizarea devine o resursă națională strategică, unul dintre principalele atuuri ale unui stat dezvoltat economic. Îmbunătățirea rapidă a informatizării în Rusia, pătrunderea ei în toate sferele intereselor vitale ale individului, societății și statului, au presupus, pe lângă avantaje neîndoielnice, apariția unui număr de probleme semnificative. Una dintre ele a fost nevoia de a proteja informațiile. Având în vedere că în prezent potențialul economic este determinat din ce în ce mai mult de nivelul de dezvoltare a infrastructurii informaționale, potențiala vulnerabilitate a economiei în raport cu influențele informaționale crește proporțional.

Implementarea amenințărilor la securitatea informațiilor constă în încălcarea confidențialității, integrității și disponibilității informațiilor. Din punctul de vedere al unei abordări sistematice a protecției informațiilor, este necesară utilizarea întregului arsenal de mijloace de securitate disponibile în toate elementele structurale ale unei entități economice și în toate etapele ciclului tehnologic de prelucrare a informațiilor. Metodele și mijloacele de protecție trebuie să acopere în mod fiabil moduri posibile acces neautorizat la secrete protejate. Eficacitatea securității informațiilor înseamnă că costurile implementării acesteia nu ar trebui să fie mai mari posibile pierderi din implementarea amenințărilor informaționale. Planificarea securității informațiilor este realizată de fiecare departament care elaborează planuri detaliate de securitate a informațiilor. Este nevoie de claritate în exercitarea competențelor și drepturilor utilizatorilor de a accesa anumite tipuri de informații, în asigurarea controlului asupra măsurilor de securitate și a răspunsului imediat la eșecul acestora.

BIBLIOGRAFIE

1.Tehnologii informatice automatizate în domeniul bancar / ed. prof. G.A. Titorenko. - M.: Finstatinform, 2007

2.Tehnologii informatice automatizate în economie / Ed. prof. G.A. Titorenko. - M.: UNITATEA, 2010

.Ageev A. S. Organizarea și metodele moderne de protecție a informațiilor. - M.: Preocuparea „Banca. Centrul de afaceri”, 2009

.Adzhiev, V. Mituri despre securitatea software-ului: lecții din dezastre celebre. - Sisteme deschise, 199. №6

.Alekseev, V.I. Securitatea informațională a municipalităților. - Voronej: Editura VSTU, 2008.

.Alekseev, V.M. Criterii internaționale de evaluare a securității tehnologiilor informaționale și a acestora uz practic: Manual. - Penza: Editura Penz. stat Universitatea, 2002

.Alekseev, V.M. Asigurarea reglementărilor de protecție a informațiilor împotriva accesului neautorizat. - Penza: Editura Penz. stat Universitatea, 2007

.Alekseev, V.M. Asigurarea securității informațiilor în timpul dezvoltării software. - Penza: Editura Penz. stat Universitatea, 2008

.Aleshin, L.I. Protecția informațiilor și securitatea informațiilor: Curs de prelegeri L. I. Aleshin; Moscova stat Universitatea de Cultură. - M.: Moscova. stat Universitatea de Cultură, 2010

.Akhramenka, N.F. si altele.Crima si pedeapsa in sistem de plata Cu documente electronice// Managementul securității informațiilor, 1998

.Bănci și operațiuni bancare. Manual / Ed. E.F. Jukova. - M.: Bănci și burse, UNITATE, 2008

.Barsukov, V.S. Securitate: tehnologii, instrumente, servicii. - M.: Kudits - Image, 2007

.Baturin, Yu.M. Probleme de drept informatic. - M.: Legal. lit., 1991

.Baturin, Yu.M. Criminalitate informatică și securitate informatică. M.: Yur.lit., 2009

.Bezrukov, N.N. Introducere în virologia computerizată. Principii generale funcționarea, clasificarea și catalogarea celor mai frecvente viruși din M5-005. K., 2005

.Bykov, V.A. Afaceri electronice și securitate / V. A. Bykov. - M.: Radio și comunicare, 2000

.Varfolomeev, A.A. Securitatea informațiilor. Bazele matematice ale criptologiei. Partea 1. - M.: MEPhI, 1995

.Vehov, V.B. Infracțiuni informatice: metode de comitere și depistare. - M.: Drept și Drept, 1996

.Volobuev, S.V. Introducere în securitatea informațiilor. - Obninsk: Obn. Institutul de Energie Atomică, 2001

.Volobuev, S.V. Securitatea informatiei a sistemelor automate. - Obninsk: Obn. Institutul de Energie Atomică, 2001

.Conferința științifică și practică integrală rusească „Securitatea informațiilor în sistemul de învățământ superior”, 28-29 noiembrie. 2000, NSTU, Novosibirsk, Rusia: IBVSh 2000. - Novosibirsk, 2001

23.Galatenko, V.A. Securitatea informațiilor: o abordare practică V. A. Galatenko; Ed. V. B. Betelina; Ross. acad. Științe, Cercetare Institutul de Sisteme. cercetare - M.: Știință, 1998

.Galatenko, V.A.. Fundamentele securității informațiilor: un curs de prelegeri. - M.: Internet University of Information. tehnologii, 2003

.Gennadieva, E.G. Baze teoretice ale informaticii si securitatii informatice. - M.: Radio și comunicare, 2000

.Ghika, Sebastian Narchis. Ascunderea informațiilor în fisiere grafice Format BMR Dis. ...cad. tehnologie. Științe: 13.05.19 - Sankt Petersburg, 2001

.Ghika, S.N. Ascunderea informațiilor în fișierele grafice în format BMP: rezumatul autorului. dis. ...cad. tehnologie. Științe: 13.05.19 Sankt Petersburg. stat int. punct mecanică și optică. - Sankt Petersburg, 2001

.Golubev, V.V. Management de securitate. - Sankt Petersburg: Peter, 2004

.Gorbatov, V.S. Securitatea informațiilor. Fundamentele protecției juridice. - M.: MEPhI (TU), 1995

.Gorlova, I.I., ed. Libertatea informației și securitatea informațiilor: materiale internaționale. științific Conf., Krasnodar, 30-31 octombrie. 2001 - Krasnodar, 2001

.Greensberg, A.S. şi altele.Protecţia resurselor informaţionale ale administraţiei publice. - M.: UNITATE, 2003

.Securitatea informațională a Rusiei într-un context global societate informaţională„INFOFORUM-5”: Sat. materiale a 5-a All-rus. Conf., Moscova, 4-5 februarie. 2003 - M.: SRL Ed. revistă Afaceri și securitate a Rusiei, 2003

.Securitatea informațiilor: Sat. metodă. materiale Ministerul Educației Federația Rusă. Federația [și altele]. - M.: TSNIIATOMINFORM, 2003

34.Tehnologia de informație// Economie și viață. nr. 25, 2001

35.Tehnologii informaţionale în marketing: Manual pentru universităţi.- M.: 2003

.Tehnologii informaționale în economie și management: Manual / Kozyrev A.A. - M.: Editura Mikhailov V.A., 2005

.Lopatin, V.N. Securitatea informațiilor din Rusia Dis. ... Doctor în drept. Științe: 12.00.01

.Lukashin, V.I. Securitatea informațiilor. - M.: Moscova. stat Universitatea de Economie, Statistică și Informatică

.Luchin, I.N., Zheldakov A.A., Kuznetsov N.A. Hacking protecția prin parolă // Informatizarea sistemelor de aplicare a legii. M., 1996

.McClure, Stuart. Hacking pe Web. Atac și apărare Stuart McClar, Saumil Shah, Sriraj Shah. - M.: Williams, 2003

.Malyuk, A.A. Fundamente teoretice pentru formalizarea evaluării predictive a nivelului de securitate a informațiilor în sistemele de prelucrare a datelor. - M.: MEPhI, 1998SPb., 2000

.Eficiența economică a sistemelor de securitate a informațiilor. Chebotar P.P. - Academia Economică a Moldovei, 2003

.Yakovlev, V.V. Securitatea informațiilor și protecția informațiilor în rețele corporative transport feroviar. - M., 2002

.Yarochkin, V.I. Securitatea informațiilor. - M.: Mir, 2003

.Yarochkin, V.I. Securitatea informațiilor. - M.: Fundaţia „Mir”, 2003: Acad. Proiect

.Iasenev, V.N. Sisteme informatice automatizate în economie și asigurarea securității acestora: Tutorial. - N. Novgorod, 2002

Lucrări similare cu - Protecția datelor personale în sistemele bancare online

Marina Prokhorova, redactor al revistei „Datele personale”

Natalya Samoilova, avocat al companiei „InfoTechnoProject”

Cadrul de reglementare care s-a dezvoltat până în prezent în domeniul prelucrării datelor cu caracter personal, documente care nu au fost încă adoptate pentru o organizare mai eficientă a muncii privind protecția datelor cu caracter personal în organizații, aspecte tehnice ale pregătirii sistemelor de informare pentru operatorii de date cu caracter personal - acestea sunt subiectele care au fost abordate recent în multe ziare și publicații de jurnal dedicate problemei datelor cu caracter personal. În acest articol aș dori să mă opresc asupra unui astfel de aspect al organizării activității instituțiilor bancare și de credit precum protecția „non-tehnică” a datelor cu caracter personal prelucrate în aceste organizații.

Să începem cu un exemplu concret

Vorbim despre o revizuire judiciară a unui dosar privind protecția datelor cu caracter personal, inițiat împotriva Sberbank în iunie 2008. Esența procesului a fost următoarea. Între cetățean și bancă a fost încheiat un contract de garanție, conform căruia cetățeanul și-a acceptat obligația de a răspunde în fața băncii pentru îndeplinirea de către debitor a obligațiilor din contractul de împrumut. Acesta din urmă nu și-a îndeplinit obligațiile în termenul stabilit prin contractul de împrumut; informații despre garant ca client nesigur au fost introduse în sistemul informatic automatizat al băncii „Stop List”, care, la rândul său, a stat la baza refuzului de a-i furniza. cu un împrumut. Mai mult, banca nici măcar nu a anunțat cetățeanul despre îndeplinirea necorespunzătoare de către împrumutat a obligațiilor care îi revin în baza contractului de împrumut. În plus, acordul de garanție nu a indicat că în cazul îndeplinirii necorespunzătoare de către împrumutat a obligațiilor sale, banca are dreptul de a introduce informații despre garant în sistemul de informații Stop List. Astfel, banca a procesat datele personale ale cetățeanului prin includerea informațiilor despre acesta în sistemul de informații Stop List fără consimțământul acestuia, ceea ce încalcă cerințele părții 1 a art. 9 din Legea federală nr. 152-FZ din 27 iulie 2006 „Cu privire la datele cu caracter personal”, conform căreia subiectul datelor cu caracter personal decide să furnizeze datele sale cu caracter personal și își dă acordul pentru prelucrarea acestora din proprie voință și în interes propriu. În plus, în modul prevăzut în partea 1 a art. 14 din aceeași lege, un cetățean a contactat banca cu cererea de a-i oferi posibilitatea de a se familiariza cu informațiile introduse despre el în sistemul de informații Stop List, precum și de a bloca aceste informații și a le distruge. Banca a refuzat să satisfacă cererile cetățeanului.

Pe baza rezultatelor examinării cazului, Tribunalul Districtual Leninsky din Vladivostok a satisfăcut pretențiile Oficiului Roskomnadzor pentru Teritoriul Primorsky împotriva Sberbank a Rusiei pentru a proteja drepturile încălcate ale unui cetățean și a ordonat băncii să distrugă informațiile despre cetăţean din sistemul de informaţii Stop List.

Cum este semnificativ acest exemplu? Băncile, care stochează datele cu caracter personal ale unui număr semnificativ de clienți ai lor, le mută fără ezitare dintr-o bază de date în alta și, cel mai adesea, fără a informa subiectul datelor cu caracter personal despre acest lucru, darămite obținerea consimțământului acestuia pentru astfel de acțiuni cu datele sale personale. Desigur, activitatea bancară are o serie de caracteristici, iar de multe ori datele personale ale clienților sunt folosite nu numai pentru îndeplinirea acordurilor încheiate de bancă, ci și pentru a controla banca asupra îndeplinirii de către client a obligațiilor sale, dar aceasta înseamnă că orice manipulare cu datele personale necesită deja consimțământul subiectului lor.

Dificultăți în interpretarea prevederilor

De ce să nu legalizați orice operațiuni cu date personale? Desigur, acest lucru va necesita cel mai probabil implicarea unor specialiști terți, deoarece chiar și avocații din departamentele juridice ale băncilor mari sunt profesioniști de primă clasă numai într-un anumit domeniu și trebuie să se familiarizeze cu specificul lucrului în domeniul datelor personale aproape de la zero. Așadar, cea mai bună ieșire este să implici companii specializate în furnizarea de servicii de organizare a muncii cu date cu caracter personal, inclusiv cele capabile să efectueze un audit pentru a se asigura că măsurile de protecție non-tehnică pe care le iei respectă cerințele legiuitorului.

Rezultatele studiilor analitice ne permit să tragem concluzii că interpretarea cărora prevederile Legii federale nr. 152-FZ „Cu privire la datele cu caracter personal” provoacă cele mai mari dificultăți.

În conformitate cu partea 1 a articolului 22 din prezentul document de reglementare, operatorul este obligat să notifice organismul autorizat cu privire la prelucrarea datelor cu caracter personal. Printre excepții se numără și cazul în care datele cu caracter personal prelucrate au fost primite în legătură cu încheierea unui acord la care subiectul datelor cu caracter personal este parte... și sunt utilizate de operator numai pentru executarea acordului menționat privind în temeiul clauzei 2 din partea 2 a articolului 22 din Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal”. Funcționând tocmai cu această prevedere, unele bănci nu transmit o notificare despre prelucrarea datelor cu caracter personal, iar multe nu se consideră operatori, ceea ce este fundamental greșit.

De asemenea, o altă greșeală comună a băncilor în calitate de operatori de date cu caracter personal legate de contract este următoarea. Potrivit art. 6 din legea de mai sus, prelucrarea datelor cu caracter personal poate fi efectuată de către operator cu acordul subiecților datelor cu caracter personal, cu excepția cazurilor care includ realizarea prelucrării în scopul îndeplinirii unui contract, una dintre părți. la care face obiectul datelor cu caracter personal. Prin urmare, multe instituții bancare își explică lipsa consimțământului din partea subiectului datelor cu caracter personal tocmai prin faptul încheierii unui astfel de acord.

Dar să ne gândim, nu cumva banca, fiind operator, folosește datele personale ale subiectului primite la încheierea unui acord, de exemplu, pentru a trimite notificări despre servicii noi, pentru a menține „liste de oprire”? Aceasta înseamnă că prelucrarea datelor cu caracter personal se realizează nu numai în scopul îndeplinirii contractului, ci și în alte scopuri, a căror realizare prezintă interes comercial pentru bănci, prin urmare:

• băncile sunt obligate să transmită o notificare cu privire la prelucrarea datelor cu caracter personal către organismul autorizat;
• băncile trebuie să prelucreze datele cu caracter personal numai cu acordul subiectului.

Aceasta înseamnă că băncile trebuie să organizeze un sistem de lucru cu datele personale ale clienților lor, adică să asigure protecția non-tehnică a acestor date.

Consimțământ scris pentru prelucrarea datelor cu caracter personal

În ceea ce privește consimțământul subiectului datelor cu caracter personal la prelucrarea datelor cu caracter personal, Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal” obligă operatorii să obțină consimțământul scris pentru prelucrarea datelor cu caracter personal numai în cazurile prevăzute de lege. Totodată, în conformitate cu partea 3 a art. 9, obligația de a dovedi primirea consimțământului subiectului pentru prelucrarea datelor sale personale revine operatorului. Pentru a nu pierde timpul strângând astfel de probe dacă este necesar (de exemplu, căutarea de martori), în opinia noastră, este mai bine în orice caz să obținem consimțământul subiecților în scris.

Să mai dăm un argument pentru formă scrisă prelucrarea datelor cu caracter personal. Adesea, activitățile băncilor implică transferul de date (inclusiv de date cu caracter personal) pe teritoriul unui stat străin. Cu această ocazie, partea 1 a art. 12 din Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal” prevede că, înainte de începerea transferului transfrontalier de date cu caracter personal, operatorul este obligat să se asigure că statul străin pe al cărui teritoriu sunt transferate datele cu caracter personal oferă o protecție adecvată pentru drepturile persoanelor vizate de date cu caracter personal. Dacă nu este asigurată o astfel de protecție, transferul transfrontalier al datelor cu caracter personal este posibil numai cu acordul scris al subiectului datelor cu caracter personal. Se poate presupune că este mai ușor pentru un angajat al băncii să obțină consimțământul scris al clientului pentru prelucrarea datelor cu caracter personal decât să stabilească gradul de adecvare al protecției lor într-o țară străină.

Vă rugăm să rețineți că informațiile care trebuie să fie conținute în consimțământul scris sunt enumerate în Partea 4 a art. 9 din Legea federală menționată mai sus, iar această listă este exhaustivă. Și o semnătură sub fraza, de exemplu, într-un contract de împrumut: „Sunt de acord cu utilizarea datelor mele personale”, conform Legii federale nr. 152-FZ „Cu privire la datele cu caracter personal”, nu este consimțământul pentru prelucrarea lor!

S-ar părea că există doar câteva puncte de drept, dar câte complicații, chiar și litigii, pot fi cauzate de interpretarea lor greșită. Mai mult, astăzi, când datele cu caracter personal ale subiecților devin adesea o marfă în competiția diferitelor structuri, rezolvarea cu succes a problemelor de protecție a acestora, asigurarea securității sistemelor informaționale ale instituțiilor bancare și de credit devine cheia menținerii reputației și bunei nume a acestora. orice organizatie.

În fiecare zi, conștientizarea cetățenilor cu privire la posibilele consecințe negative ale difuzării datelor lor cu caracter personal crește, ceea ce este facilitat de apariția publicațiilor de specialitate. Există și resurse de informare diverse firme. Unele dintre ele acoperă în general întreaga gamă largă de probleme legate de conceptul de „securitate a informațiilor”, altele sunt dedicate revizuirii măsurilor și mijloacelor de protecție tehnică, în timp ce altele, dimpotrivă, se concentrează pe problemele asociate cu protecția non-tehnică. . Cu alte cuvinte, informațiile despre problemele de protecție a datelor cu caracter personal devin din ce în ce mai accesibile, ceea ce înseamnă că cetățenii vor fi mai pricepuți în protejarea drepturilor lor.

A devenit deosebit de popular pentru diviziile ruse ale companiilor străine datorită adăugării părții 5 a articolului 18 la 152-FZ „Cu privire la datele cu caracter personal”: „... operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizare, schimbare), recuperare date personale cetățeni ai Federației Ruse care utilizează baze de date situate pe teritoriul Federației Ruse" . Există o serie de excepții în lege, dar trebuie să recunoașteți că, în cazul unei inspecții de către autoritatea de reglementare, doriți să aveți atuuri mai puternice decât „dar asta nu ne privește”.

Sancțiunile pentru contravenienți sunt foarte grave. Magazine online, rețele sociale, site-uri de informații, alte afaceri legate de Internetîn cazul reclamațiilor din partea autorităților de supraveghere, acestea pot fi efectiv închise. Este posibil ca în timpul primei inspecții regulatorului să i se acorde timp pentru a elimina deficiențele, dar perioada este de obicei limitată. Dacă problema nu se rezolvă foarte repede (ceea ce este greu de făcut fără pregătire prealabilă), pierderile nu pot fi compensate în niciun fel. Blocarea site-urilor nu duce doar la o pauză a vânzărilor, ci înseamnă o pierdere a cotei de piață.

Apariția încălcătorilor legii datelor cu caracter personal pe „lista neagră” pentru companiile offline este mai puțin dramatică. Dar acest lucru implică riscuri reputaționale, care reprezintă un factor semnificativ pentru companiile străine. În plus, în prezent nu mai există aproape niciun fel de activitate care să nu fie deloc afectată de protecția datelor cu caracter personal. Băncile, comerțul, chiar și producția - toate mențin baze de date cu clienții, ceea ce înseamnă că sunt supuse legilor relevante.

Este important să înțelegem aici că problema nu poate fi luată în considerare izolat nici în cadrul companiilor. Protecția datelor cu caracter personal nu poate fi limitată la instalarea de măsuri de securitate certificate pe servere și blocarea cardurilor de hârtie în seifuri. Datele personale au multe puncte de intrare în companie - departamente de vânzări, HR, serviciu pentru clienți, uneori și centre de formare, comisioane de cumpărare și alte departamente. Gestionarea protecției datelor cu caracter personal este un proces complex care afectează ACEASTA, flux documentar, reglementări, înregistrare legală.

Să ne uităm la ce ar fi nevoie pentru a rula și menține un astfel de proces.

Ce date sunt considerate personale

Strict vorbind, orice informație care se referă direct sau indirect la o anumită persoană este datele sale personale. Vă rugăm să rețineți despre care vorbim despre oameni, nu despre entitati legale. Se dovedește că este suficient să indicați numele dvs. complet și adresa de domiciliu pentru a iniția protecția acestor date (precum și a celor aferente). Cu toate acestea, primind e-mail cu datele personale ale cuiva sub forma unei semnături și număr de telefon acesta nu este un motiv pentru a le apăra. Termen cheie: „Conceptul de colectare a datelor cu caracter personal”. Pentru a clarifica contextul, aș dori să subliniez câteva articole din Legea „Cu privire la datele cu caracter personal”.

Articolul 5. Principii de prelucrare a datelor cu caracter personal. Ar trebui să existe obiective clare care să clarifice motivul pentru care informațiile sunt colectate. În caz contrar, chiar și cu respectarea deplină a tuturor celorlalte reguli și reglementări, sunt probabile sancțiuni.

Articolul 10. Categorii speciale de date cu caracter personal. De exemplu, departamentul de resurse umane poate înregistra restricții privind călătoriile de afaceri, inclusiv sarcina angajaților. Desigur, așa Informații suplimentare sunt de asemenea protejate. Acest lucru extinde considerabil înțelegerea datelor cu caracter personal, precum și a listei de departamente și depozite de informații ale companiei în care trebuie să se acorde atenție protecției.

Articolul 12. Transferul transfrontalier de date cu caracter personal. Dacă un sistem de informații cu date despre cetățenii Federației Ruse se află într-o țară care nu a ratificat Convenția privind protecția datelor cu caracter personal (de exemplu, în Israel), trebuie respectate prevederile legislației ruse.

Articolul 22. Notificare despre prelucrarea datelor cu caracter personal. O condiție prealabilă pentru a nu atrage atenția nejustificată din partea autorității de reglementare. Dacă desfășurați activități de afaceri legate de date personale, raportați-le singur fără a aștepta inspecții.

Unde pot fi localizate datele personale

Din punct de vedere tehnic, PD poate fi localizat oriunde, de la suporturi tipărite (fișiere de hârtie) la suporturi de mașină ( hard disk-uri, unități flash, CD-uri etc.). Adică, accentul se pune pe orice stocare a datelor care se încadrează în definiția ISPD (sisteme de informații cu date personale).

Geografia locației este o mare problemă separată. Pe de o parte, datele personale ale rușilor ( indivizii care sunt cetățeni ai Federației Ruse) trebuie depozitate pe teritoriul Federației Ruse. Pe de altă parte, în acest moment acesta este mai mult un vector de dezvoltare a situației decât un fapt împlinit. Multe companii internaționale și de export, diverse holdinguri și asociații mixte au avut în trecut o infrastructură distribuită - iar acest lucru nu se va schimba peste noapte. Spre deosebire de metodele de stocare și protejare a datelor cu caracter personal, care trebuie ajustate aproape acum, imediat.

Lista minimă a departamentelor implicate în înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), preluarea datelor cu caracter personal:

• Serviciu de personal.
• Departamentul de vanzari.
• Departamentul legal.

Deoarece rareori există ordine perfectă, în realitate, cele mai imprevizibile unități pot fi adesea adăugate la această listă „așteptată”. De exemplu, un depozit poate înregistra informații personalizate despre furnizori sau un serviciu de securitate poate păstra propriile înregistrări detaliate ale tuturor celor care intră în sediu. Astfel, apropo, componența datelor cu caracter personal pentru angajați poate fi completată cu date despre clienți, parteneri, contractori, precum și despre vizitatori aleatori și chiar ale altor persoane - ale căror date personale devin „crimă” atunci când sunt fotografiate pentru un permis, scanare. o carte de identitate și, în unele alte cazuri. ACS (sisteme de control și management al accesului) poate deveni cu ușurință o sursă de probleme în contextul protecției datelor cu caracter personal. Prin urmare, răspunsul la întrebarea „Unde?” din punct de vedere al respectării Legii, sună așa: peste tot în teritoriul raportor. Un răspuns mai precis poate fi dat doar prin efectuarea unui audit adecvat. Aceasta este prima etapă proiect privind protecția datelor cu caracter personal. Lista plina fazele sale cheie:

1) Auditul situației actuale din companie.

2) Proiectarea unei soluții tehnice.

3) Pregatirea procesului de protectie a datelor cu caracter personal.

4) Verificarea soluției tehnice și a procesului de protecție a datelor cu caracter personal pentru conformitatea cu legislația Federației Ruse și reglementările companiei.

5) Implementarea unei soluții tehnice.

6) Lansarea procesului de protejare a datelor cu caracter personal.

1. Auditul situației actuale din companie

În primul rând, consultați departamentul de resurse umane și alte departamente care folosesc suporturi de hârtie cu date personale:

• Există formulare de consimțământ pentru prelucrarea datelor cu caracter personal? Sunt completate și semnate?
• Se respectă „Regulamentul privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare” din 15 septembrie 2008 Nr. 687?

Determinați locația geografică a ISPD:

• In ce tari sunt situate?
• Pe ce bază?
• Există acorduri pentru utilizarea lor?
• Ce protecție tehnologică este utilizată pentru a preveni scurgerea datelor cu caracter personal?
• Ce măsuri organizatorice sunt luate pentru a proteja datele cu caracter personal?

În mod ideal, un sistem de informații cu date personale ale rușilor ar trebui să respecte toate cerințele Legii 152-FZ „Cu privire la datele cu caracter personal”, chiar dacă este situat în străinătate.

În cele din urmă, acordați atenție listei impresionante de documente care sunt necesare în cazul verificării (aceasta nu este tot, ci doar lista principală):

• Notificare despre procesarea PD.
• Un document de identificare a persoanei responsabile cu organizarea prelucrării datelor cu caracter personal.
• Lista angajaților autorizați să prelucreze date cu caracter personal.
• Un document care definește locația de stocare a PD.
• Certificat privind prelucrarea categoriilor speciale și biometrice de date cu caracter personal.
• Certificat de transfer transfrontalier de date cu caracter personal.
• Forme standard de documente cu date personale.
• Forma standard de consimțământ pentru prelucrarea datelor cu caracter personal.
• Procedura de transfer PD către terți.
• Procedura de înregistrare a cererilor de la subiecții PD.
• Lista sistemelor informatice de date cu caracter personal (ISPD).
• Documente care reglementează backupul datelor în ISPD.
• Lista instrumentelor de securitate a informațiilor utilizate.
• Procedura de distrugere a datelor cu caracter personal.
• Matricea de acces.
• Model de amenințare.
• Jurnal pentru înregistrarea mașinii media PDn.
• Un document care definește nivelurile de securitate pentru fiecare ISPD în conformitate cu PP-1119 din 1 noiembrie 2012 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.

2. Proiectarea solutiei tehnice

O descriere a măsurilor organizatorice și tehnice care trebuie luate pentru protejarea datelor cu caracter personal este dată în Capitolul 4. „Responsabilitățile operatorului” din Legea 152-FZ „Cu privire la datele cu caracter personal”. Soluția tehnică trebuie să se bazeze pe prevederile articolului 2 din Legea 242-FZ din 21 iulie 2014.

Dar cum să respectați legea și să procesați datele personale ale cetățenilor Federației Ruse pe teritoriul Rusiei în cazul în care sursa de date este încă situată în străinătate? Există mai multe opțiuni aici:

• Transferul fizic al sistemului informațional și al bazei de date pe teritoriul Federației Ruse. Dacă este fezabil din punct de vedere tehnic, acesta va fi cel mai ușor.
• Lăsăm datele PD în străinătate, dar în Rusia creăm o copie a acestora și stabilim replicarea unidirecțională a datelor PD ale cetățenilor ruși din copia rusă în cea străină. În același timp, într-un sistem străin, este necesar să se excludă posibilitatea modificării datelor personale ale cetățenilor Federației Ruse; toate modificările trebuie făcute numai prin ISPD rus.
• Există mai multe ISPD-uri și toate sunt în străinătate. Transferul poate fi costisitor sau imposibil din punct de vedere tehnic (de exemplu, este imposibil să selectați o parte a bazei de date cu date personale ale cetățenilor Federației Ruse și să o mutați în Rusia). În acest caz, soluția poate fi crearea unui nou ISPD pe orice platformă disponibilă pe un server din Rusia, de unde se va efectua replicarea unidirecțională către fiecare ISPD străin. Remarc că alegerea platformei rămâne în sarcina companiei.

Dacă PDn-ul nu este transferat complet și exclusiv în Rusia, nu uitați să indicați în certificatul de transfer transfrontalier de date cui și ce set specific de PD este trimis. Notificarea de prelucrare trebuie să indice scopul transferului datelor cu caracter personal. Din nou, acest obiectiv trebuie să fie legitim și clar justificat.

3. Pregatirea procesului de protectie a datelor cu caracter personal

Procesul de protecție a datelor cu caracter personal ar trebui să determine cel puțin următoarele puncte:

• Lista persoanelor responsabile cu prelucrarea datelor cu caracter personal în cadrul companiei.
• Procedura de acordare a accesului la ISPD. În mod ideal, aceasta este o matrice de acces cu un nivel de acces pentru fiecare post sau angajat specific (citire/citire-scriere/modificare). Sau o listă de date personale disponibile pentru fiecare post. Totul depinde de implementarea IP-ului și de cerințele companiei.
• Auditul accesului la datele personale și analiza încercărilor de acces cu încălcarea nivelurilor de acces.
• Analiza motivelor indisponibilității datelor cu caracter personal.
• Procedura de răspuns la solicitările subiecților PD cu privire la PD lor.
• Revizuirea listei de date cu caracter personal care sunt transferate în afara companiei.
• Revizuirea destinatarilor datelor cu caracter personal, inclusiv în străinătate.
• Revizuirea periodică a modelului de amenințare pentru datele personale, precum și modificările nivelului de protecție a datelor cu caracter personal în legătură cu modificările modelului de amenințare.
• Menținerea la zi a documentelor companiei (lista este mai sus și poate fi completată dacă este necesar).

Aici puteți detalia fiecare punct, dar aș dori să acord o atenție deosebită nivelului de securitate. Se determină pe baza următoarelor documente (citite secvenţial):

1. „Metodologie de identificare a amenințărilor actuale Securitate datele cu caracter personal atunci când sunt prelucrate în sistemele informaționale cu date cu caracter personal” (FSTEC RF 14 februarie 2008).

2. Decretul Guvernului Federației Ruse nr. 1119 din 1 noiembrie 2012 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.

3. Ordinul FSTEC nr. 21 din 18 februarie 2013 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informatice de date cu caracter personal.”

De asemenea, nu uitați să luați în considerare necesitatea de a avea astfel de categorii de cheltuieli precum:

• Organizare echipă de proiect si management de proiect.
• Dezvoltatori pentru fiecare dintre platformele ISPDn.
• Capacitate server (proprie sau închiriată într-un centru de date).

Până la sfârșitul celei de-a doua și a treia etape a proiectului ar trebui să aveți:

• Calculul costurilor.
• Cerințe de calitate.
• Termenele și programul proiectului.
• Riscurile tehnice și organizatorice ale proiectului.

4. Verificarea soluției tehnice și a procesului de protecție a datelor cu caracter personal pentru conformitatea cu legislația Federației Ruse și reglementările companiei

O etapă scurtă, dar importantă, în timpul căreia trebuie să vă asigurați că toate acțiunile planificate nu contravin legislației Federației Ruse și regulilor companiei (de exemplu, politicile de securitate). Dacă acest lucru nu se face, în fundația proiectului va fi plasată o bombă, care poate „exploda” în viitor, distrugând beneficiile rezultatelor obținute.

5. Implementarea unei solutii tehnice

Totul aici este mai mult sau mai puțin evident. Specificul depinde de situația și deciziile inițiale. Dar, în general, imaginea ar trebui să arate cam așa:

• Capacitatea serverului a fost alocată.
• Inginerii de rețea au furnizat suficient debitului canalele dintre receptor și transmițător PDn.
• Dezvoltatorii au stabilit o replicare între bazele de date ISPDn.
• Administratorii au împiedicat modificări ale ISPD-urilor situate în străinătate.

Persoana responsabilă cu protecția datelor cu caracter personal sau „titularul procesului” poate fi aceeași persoană sau diferită. Faptul este că „proprietarul procesului” trebuie să pregătească toată documentația și să organizeze întregul proces de protecție a datelor cu caracter personal. Pentru a face acest lucru, toate părțile interesate trebuie anunțate, angajații trebuie instruiți, iar serviciul IT trebuie să faciliteze implementarea măsurilor tehnice de protecție a datelor.

6. Lansarea procesului de protejare a datelor cu caracter personal

Acesta este un pas important și, într-un fel, scopul întregului proiect este de a aduce controlul asupra fluxului. Pe lângă soluţiile tehnice şi documentație de reglementare Rolul proprietarului procesului este critic aici. El trebuie să monitorizeze schimbările nu numai în legislație, ci și în infrastructura IT. Aceasta înseamnă că sunt necesare abilități și competențe adecvate.

În plus, ceea ce este extrem de important în condițiile reale de muncă, proprietarul procesului de protecție a datelor cu caracter personal are nevoie de toate puterile și sprijinul administrativ necesar din partea conducerii companiei. În caz contrar, va fi un etern „cernic” căruia nimeni nu-i acordă atenție, iar după un timp proiectul poate fi reluat, începând din nou cu auditul.

Nuanțe

Câteva puncte care sunt ușor de trecut cu vederea:

• Dacă lucrați cu un centru de date, aveți nevoie de un acord de servicii pentru furnizarea capacității serverului, conform căruia compania dumneavoastră stochează datele în mod legal și le controlează.
• Aveți nevoie de licențe pentru software-ul care este utilizat pentru a colecta, stoca și procesa date personale sau contracte de închiriere.
• Dacă ISPD este situat în străinătate, este necesar un acord cu compania care deține sistemul acolo - pentru a garanta conformitatea cu legislația Federației Ruse în legătură cu datele personale ale rușilor.
• Dacă datele cu caracter personal sunt transferate unui contractant al companiei dvs. (de exemplu, un partener de externalizare IT), atunci în cazul unei scurgeri de date cu caracter personal de la furnizor, veți fi responsabil pentru reclamații. La rândul său, compania dumneavoastră poate depune reclamații împotriva externalizatorului. Poate că acest factor poate influența însăși faptul de a externaliza munca.

Și încă o dată, cel mai important lucru este că protecția datelor cu caracter personal nu poate fi pur și simplu asigurată. Este un proces. Un proces iterativ în desfășurare, care va depinde în mare măsură de modificările ulterioare ale legislației, precum și de formatul și rigoarea aplicării acestor reguli în practică.