Android. Operativ system. Multimedia. Sociala nätverk. Instrument. Codecs. Grafik
Är du här: » »

Skydd av personuppgifter i onlinesystem. Förbättring av personuppgiftsskyddssystemet för jsc "alfa bank" Personuppgifter inom banksektorn

kontroll över genomförandet av nödvändiga regler. Lista över begagnad litteratur:

1. Federal Law "Om banker och bankverksamhet"

2. www.Grandars.ru [Elektronisk resurs] Åtkomstläge: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Datum för åtkomst: 05.05.2016)

3. In-bank.ru [Elektronisk resurs] Åtkomstläge: http://journal.ib-bank.ru/post/411 (Datum för åtkomst: 05.05.2016)

Khlestova Daria Robertovna

E-post: [e -postskyddad]

FUNKTIONER FÖR PERSONLIGT DATASKYDD I BANKSFÄREN

anteckning

Denna artikel diskuterar funktionerna i att skydda kunders personuppgifter inom banksektorn. Ett antal normativa rättsakter listas på grundval av vilka ett system för behandling och skydd av personuppgifter i en bank bör byggas. Markerade en lista över åtgärder för att organisera datasäkerhet i bankinstitut.

Nyckelord

Personuppgifter, säkerhet i banker, informationssäkerhet,

skydd av personuppgifter

Skyddet av personuppgifter i informationsteknikens ålder har blivit särskilt relevant. Det finns fler och fler fall när cyberbrottslingar får tillgång till konfidentiell information genom att attackera organisations informationssystem. Utan tvekan kringgår attacker inte heller banksektorn. Eftersom banksystemen innehåller ett stort antal personuppgifter om kunder, bör deras säkerhet vara under noggrann granskning av staten och ägarna av kredit- och finansinstitut själva.

Till att börja med är det värt att ta reda på vilken typ av personuppgifter om en person som kan bli tillgänglig för banken om den blir dess kund. Så det är obligatoriskt: efternamn, namn och förnamn; Datum och födelseort; medborgarskap; registreringsort och faktisk bostad; alla passuppgifter (serie, nummer, när och av vem dokumentet utfärdades); mobilnummer och hemtelefon; arbetsplats, befattning. I de flesta fall frågar institutioner personen och Ytterligare information, men även utan det är listan över data som en person litar på banken imponerande. Klienten hoppas naturligtvis att hans personuppgifter kommer att skyddas på ett tillförlitligt sätt under behandling och lagring.

För att finansinstitut effektivt ska kunna organisera ett system för behandling och skydd av personuppgifter är det nödvändigt att skissera en lista över lagstadgade handlingar som banken bör förlita sig på när han arbetar med personuppgifter om klienter: Ryska konstitutionen Federationen är landets viktigaste dokument; Ryska federationens arbetslag; Ryska federationens civillag och strafflag; Federal lag nr 152 "om personuppgifter"; federal lag nr 149 "På

information, informationsteknik och informationsskydd "; Federal Law No. 395-1 "Om banker och bankverksamhet". Också i banker, när du skapar ett system för behandling och lagring av personuppgifter, skapas ett antal lokala dokument som ger ytterligare kontroll över arbetet med data.

Bankorganisation vid mottagande av sina personuppgifter från en klient, påtar han sig skyldigheten att genomföra alla organisatoriska och tekniska åtgärder för att skydda information som anförtrotts honom från obehörig åtkomst (oavsiktlig eller avsiktlig), blockering, modifiering, förstörelse och andra olagliga handlingar. Det är värt att lyfta fram ett antal åtgärder för en högkvalitativ organisation av behandling och skydd av personuppgifter i banker: utnämning av personer som är ansvariga för behandling och säkerställande av datasäkerhet i bankens informationssystem; genomförande av kontrollåtgärder och bekantskap av anställda med relevant regelverk och interna dokument som bankens datasäkerhetssystem bygger på; identifiering av hot vid behandling av personuppgifter i banken och åtgärder för att motverka dem; utvärdering av effektiviteten hos de tillämpade organisatoriska och tekniska åtgärderna för att säkerställa dataskydd, innan skyddssystemet tas i bruk; redovisning av alla maskinbärare av personuppgifter; upprättande av regler för tillgång till bearbetnings- och skyddssystem för anställda; vid upptäckt av obehörig åtkomst till skyddad data, vidta åtgärder för att eliminera hotet och återställa förlorad data. Och en obligatorisk åtgärd för banker med ett operativsystem för lagring och skydd av kundens personuppgifter är konstant övervakning och förbättring av säkerhetssystemet.

Det bör därför noteras att behandling, lagring och skydd av personuppgifter i banker bör utföras på grundval av de villkor som bestäms av Ryska federationens regelverk. Varje finansinstitut måste: följa laglighetsprincipen när de organiserar skyddet av sina kunders personuppgifter; genomföra en rad åtgärder för organisatoriskt och tekniskt dataskydd; När du skapar lokala dokument relaterade till informationssäkerhet kan du lita på de bästa ryska och internationella rutinerna inom detta område. följa alla krav från tillsynsmyndigheterna (FSTEC, Roskomnadzor, FSB) för att säkerställa skyddet av klientens personuppgifter.

Lista över begagnad litteratur:

1. Khlestova D.R., Popov K.G. "Om frågan om juridiska aspekter av skydd av personuppgifter"

2. Federal Law "Om banker och bankverksamhet"

3. Bank of Ryssland [Elektronisk resurs] Åtkomstläge: http://www.cbr.ru/ (Datum för åtkomst: 06/06/2016)

© Khlestova D.R., Popov K.G., 2016

Khlestova Daria Robertovna

2: a års student i IUBP BashSU, Ufa, RF E-post: [e -postskyddad] Popov Kirill Gennadievich Kandidat för ekonomisk vetenskap, docent vid Institutionen för informationssäkerhet, Bashkir State University, Ufa, RF

E-post: [e -postskyddad]

AFFÄRSINTELLIGENS SOM DEN MEST JURIDISKA METODEN FÖR ATT HÄMTA INFORMATION

anteckning

Artikeln diskuterar metoderna för business intelligence. Det förklarar också varför business intelligence är en juridisk verksamhet i näringslivet. Markerade grundläggande principer att följa,

Liknande dokument

    Rättslig grund för skydd av personuppgifter. Klassificering av informationssäkerhetshot. Personlig databas. Enterprise LAN -enhet och hot. Grundläggande programvara och hårdvara för skydd av persondatorer. Grundläggande säkerhetspolicy.

    avhandling, tillagd 06/10/2011

    Förutsättningar för att skapa ett personligt datasäkerhetssystem. Informationssäkerhetshot. Källor till obehörig åtkomst till ISPD. Enheten för informationssystem för personuppgifter. Informationssäkerhetsverktyg. Säkerhetspolicy.

    terminsrapport tillagd den 10/07/2016

    Analys av strukturen i ett distribuerat informationssystem och personuppgifter som behandlas i det. Urval av grundläggande åtgärder och verktyg för att säkerställa säkerheten för personuppgifter från aktuella hot. Fastställande av kostnader för skapande och stöd av projektet.

    avhandling, tillagd 07/01/2011

    Kontroll- och ledningssystem för åtkomst på företaget. Analys av bearbetad information och klassificering av ISPD. Utveckling av en modell av hot mot säkerheten för personuppgifter under behandlingen i peför ACS OJSC "MMZ".

    avhandling, tillagd 04/11/2012

    Beskrivning av de viktigaste tekniska lösningarna för att utrusta informationssystemet för personuppgifter som finns i datorklassrummet. Delsystem antivirusskydd... Åtgärder för att förbereda införandet av informationssäkerhetsverktyg.

    term paper, tillagd 30/09/2013

    Sekretess och säkerhet för dokumenterad information. Typer av personuppgifter som används i organisationens verksamhet. Utveckling av lagstiftning för att säkerställa deras skydd. Metoder för att säkerställa ryska federationens informationssäkerhet.

    presentation läggs till 2016-11-15

    Informationssäkerhetsriskanalys. Bedömning av befintliga och planerade åtgärder. En uppsättning organisatoriska åtgärder för att säkerställa informationssäkerhet och skydd av företagsinformation. Testfall av projektimplementering och dess beskrivning.

    avhandling, tillsatt 19/12/2012

    Reglerande dokument inom informationssäkerhet i Ryssland. Analys av hot mot informationssystem. Karakteristika för organisationen av klinikens personuppgiftsskyddssystem. Implementering av ett autentiseringssystem med elektroniska nycklar.

    avhandling, tillagd 31/10/2016

    Allmän information om företagets verksamhet. Informationssäkerhetsobjekt på företaget. Åtgärder och metoder för att skydda information. Kopiera data till flyttbara medier. Installera en intern backupserver. Effektiviteten av att förbättra informationssäkerhetssystemet.

    test, tillagd 08/29/2013

    De viktigaste hoten mot information. Begrepp, metoder och sätt att säkerställa dataskydd. Krav på skyddssystemet. Auktoriseringsmekanism i informationsbas för att bestämma typen av användare. Administratörens arbete med säkerhetssystemet.

INTRODUKTION

Relevans. I den moderna världen blir information en strategisk resurs, en av de rikedomar som en ekonomiskt utvecklad stat har. Den snabba förbättringen av informationen i Ryssland, dess penetration till alla områden av vitala intressen för individen, samhället och staten, förutom otvivelaktiga fördelar, orsakade uppkomsten av ett antal betydande problem. En av dem var behovet av att skydda information. Med tanke på att den ekonomiska potentialen för närvarande alltmer bestäms av informationsstrukturens utveckling, växer ekonomins potentiella sårbarhet på grund av informationspåverkan proportionellt.

Spridning datorsystem Genom att kombinera dem till kommunikationsnätverk ökar möjligheterna till elektronisk penetration i dem. Problemet med datakriminalitet i alla länder i världen, oavsett deras geografiska läge, gör det nödvändigt att locka mer och mer uppmärksamhet och krafter hos allmänheten för att organisera kampen mot denna typ av brott. Brott i automatiserade banksystem och e-handel är särskilt utbredda. Enligt utländska uppgifter uppgår förluster i banker till följd av datorbrott till många miljarder dollar årligen. Även om nivån på införandet av den senaste informationsteknologin i praktiken i Ryssland inte är så signifikant, gör datorbrott sig mer och mer för varje dag, och skyddet av staten och samhället från dem har blivit en superuppgift för de behöriga myndigheterna .

Ingen tvivlar på relevansen av frågan om skydd av personuppgifter. Först och främst beror detta på den tidsperiod som fastställts för att ta med (ISPD) i enlighet med den federala lagen av den 27 juli 2006 nr 152-FZ "Om personuppgifter". Denna tidsfrist närmar sig obevekligt, och samtidigt uppenbarar den uppenbara komplexiteten att uppfylla kraven i tillsynsdokumenten från tillsynsmyndigheterna många tvister och tvetydiga tolkningar. Samtidigt bidrar den slutna karaktären hos vissa vägledningsdokument, deras odefinierade rättsliga status, liksom ett antal andra frågor, inte till att lösa problemet. Allt detta skapar en situation när regelverket inte är slutgiltigt fastställt och det är nödvändigt att följa lagstiftningens krav nu.

I maj 2009 hölls det första mötet arbetsgrupp om frågan om personuppgifter i ARB. Vid evenemanget, under en öppen diskussion, identifierades problemområdena som oroar banksamhället. I grund och botten gällde de just det tekniska skyddet av personuppgifter och det framtida samspelet mellan finansinstitut och FSTEC. Representanter för Rysslands Bank meddelade i sitt tal de bästa metoderna när det gäller att organisera genomförandet av lagen "om personuppgifter". Grundläggande nytt och viktigt är Rysslands Banks försök att hitta en kompromiss med tillsynsmyndigheter när det gäller tekniska krav för banksamhället. Jag skulle särskilt vilja notera verksamheten för Ryska federationens centralbank i arbetet med Rysslands FSTEC. Med hänsyn till alla enorma svårigheter att uppfylla kraven i FSTEC -riktlinjerna fattade Rysslands bank ett beslut att förbereda sina egna dokument (utkast till dokument), som för närvarande samordnas med FSTEC. Det kan antas att sannolikheten för en ny branschstandard för finansiella institut för personuppgifter är hög.

Syftet med kursarbetet är att studera sätt att skydda personuppgifter i nätbanksystem.

För att uppnå målet löstes följande uppgifter:

studera tillvägagångssätt, grundläggande säkerhetsprinciper;

bestämning av metoder och sätt att säkerställa säkerheten;

identifiering av egenskaperna för att säkerställa säkerheten för personuppgifter i nätbanksystem;

utveckling av åtgärder för att säkerställa säkerheten för personuppgifter i nätbanksystem.

Syftet med studien är bankinformationssystem.

Föremålet för forskningen är säkerheten för personlig information i onlinesystem.

Den teoretiska och metodologiska grunden för forskningen var de teoretiska bestämmelserna, forskarnas arbete, specialisters forskning om frågor om information.

Den metodologiska grunden för kursarbetet var ett systematiskt tillvägagångssätt för att studera säkerhetsproblem.

Används logisk, jämförande juridisk, systemisk analys. Dessutom gör metoden för strukturanalys det möjligt att med nödvändig noggrannhet studera de enskilda komponenterna i fenomenet som studeras och att analysera förhållandet mellan dessa element med varandra, liksom med den allmänna helheten.

1. Teoretiska aspekter av personuppgiftsskydd i nätbanksystem

1.1 Tillvägagångssätt, säkerhetsprinciper

Säkerhet för informationssystem tolkas som åtgärder som skyddar informationssystemet från oavsiktlig eller avsiktlig störning i funktionssätten.

Det finns två grundläggande metoder för datasäkerhet.

Den första av dem är fragmenterad, inom dess ram finns en orientering mot att motverka strikt definierade hot under vissa förhållanden (till exempel specialiserade antivirusverktyg, autonoma krypteringsverktyg, etc.). Tillvägagångssättet har både fördelar - vilket innebär en hög selektivitet när det gäller ett väldefinierat problem, och nackdelar - vilket innebär fragmenterat skydd - dvs. strikt definierade element.

Informationssäkerhetshanteringsprocessen inkluderar komponenterna som visas i fig. 1.

Det andra tillvägagångssättet är ett systematiskt tillvägagångssätt, dess särart är att inom sitt ramverk behandlas informationsskydd i större skala - en skyddad miljö för behandling, lagring och överföring av information skapas och kombinerar heterogena metoder och medel för att motverka hot: programvara och hårdvara , juridiska, organisatoriska och ekonomiska. Med hjälp av den angivna säkra miljön kan en viss säkerhetsnivå för det automatiska informationssystemet garanteras.

Ett systematiskt tillvägagångssätt för informationsskydd är baserat på följande metodologiska principer:

det slutliga målet - den slutliga (globala) målets absoluta prioritet;

enhet - gemensam övervägande av systemet som helhet "och som en uppsättning delar (element);

anslutning - överväger någon del av systemet tillsammans med dess anslutningar till miljön;

modulkonstruktion - tilldelning av moduler i systemet och betraktar det som en uppsättning moduler;

hierarkier - införande av en hierarki av delar (element) och deras rangordning;

funktionalitet - gemensamt övervägande av struktur och funktion med prioritet av funktion framför struktur;

utveckling - med hänsyn till systemets variabilitet, dess förmåga att utveckla, expandera, byta ut delar, samla information;

decentralisering - en kombination av centralisering och decentralisering vid beslutsfattande och förvaltning;

Osäkerheter - redovisning av osäkerheter och olyckor i systemet.

Moderna forskare särskiljer följande metodologiska,

organisatoriska och genomförandeprinciper för informationssäkerhet (inklusive dator).

Laglighetsprincipen. Består av att följa den nuvarande lagstiftningen inom informationssäkerhet.

Osäkerhetsprincipen uppstår på grund av tvetydigheten i ämnets beteende, d.v.s. vem, när, var och hur kan bryta mot det skyddade föremålets säkerhet.

Principen om omöjligheten att skapa ett idealiskt skyddssystem. Det följer av principen om osäkerhet och begränsade resurser för dessa fonder.

Principerna om minimirisk och minimal skada härrör från omöjligheten att skapa ett idealiskt skyddssystem. I enlighet med det är det nödvändigt att ta hänsyn till de särskilda villkoren för förekomsten av skyddsobjektet när som helst.

Principen om säker tid Det handlar om att ta hänsyn till den absoluta tiden, dvs. under vilken det är nödvändigt att bevara skyddsobjekten; och relativ tid, dvs. tidsintervallet från det ögonblick de skadliga åtgärderna upptäcks tills angriparen når målet.

Principen att ”skydda alla från alla”. Det handlar om att organisera skyddsåtgärder mot alla former av hot mot skyddsobjekt, vilket är en följd av osäkerhetsprincipen.

Principer för personligt ansvar. Det tar på sig det personliga ansvaret för varje anställd i företaget, institutionen och organisationen för efterlevnad av säkerhetsregimen inom ramen för deras befogenheter, funktionella uppgifter och nuvarande instruktioner.

Principen om befogenhetsbegränsning innebär begränsningen av ämnets befogenheter att bekanta sig med information som inte kräver åtkomst för den normala utförandet av hans funktionella uppgifter, liksom införandet av ett förbud mot tillgång till objekt och områden som inte krävs av aktivitetens karaktär.

Principen om interaktion och samarbete. Internt handlar det om att utveckla ett förtroendeförhållande mellan anställda som är ansvariga för säkerhet (inklusive informationssäkerhet) och personal. I den yttre manifestationen - upprättandet av samarbete med alla intresserade organisationer och individer (till exempel brottsbekämpande myndigheter).

Principen om komplexitet och individualitet. Det innebär omöjligheten att garantera det skyddade föremålets säkerhet med en enda åtgärd, men bara genom en uppsättning komplexa, sammanhängande och överlappande åtgärder som genomförs med en individuell hänvisning till specifika förhållanden.

Principen för sekventiella säkerhetslinjer. Det innebär att man snarast anmäler ett intrång i säkerheten för ett visst skyddsobjekt eller en annan negativ incident för att öka sannolikheten för att en tidig varning av skyddsutrustning ger säkerhetspersonal möjlighet att bestämma orsaken till larmet i tid och organisera effektiva motåtgärder.

Principer för lika styrka och lika kraft för försvarslinjer. Lika styrka innebär frånvaron av oskyddade områden i försvarslinjerna. Lika makt förutsätter en relativt lika mängd skydd för skyddslinjerna i enlighet med graden av hot mot det skyddade föremålet.

Metoderna för att säkerställa skyddet av information i företaget är följande:

Hinder är en metod för att fysiskt blockera angriparens väg till den skyddade informationen (till utrustning, lagringsmedia, etc.).

Åtkomstkontroll är en metod för att skydda information genom att reglera användningen av alla resurser i ett företags automatiska informationssystem. Åtkomstkontrollen inkluderar följande säkerhetsfunktioner:

identifiering av användare, personal och resurser i informationssystemet (tilldelning av en personlig identifierare till varje objekt);

autentisering (autentisering) av ett objekt eller ämne enligt identifieraren som presenteras av honom;

auktoritetskontroll (kontroll av att veckodag, tid på dagen, begärda resurser och förfaranden överensstämmer med de fastställda föreskrifterna);

registrering av samtal till skyddade resurser;

svar (larm, avstängning, fördröjning av arbetet, vägran att begära vid försök till obehöriga åtgärder).

Förklädnad är en metod för att skydda information i ett automatiserat informationssystem för ett företag med hjälp av dess kryptografiska stängning.

Reglering är en metod för informationsskydd som skapar förutsättningar för automatisk behandling, lagring och överföring av information, där möjligheten till obehörig åtkomst till den skulle minimeras.

Tvång är en metod för att skydda information, där användare och systempersonal tvingas följa reglerna för behandling, överföring och användning av skyddad information under hot om materiellt, administrativt och straffansvar.

Incitament är en metod för att skydda information som uppmuntrar användare och systempersonal att inte bryta mot fastställda regler genom att följa etablerade moraliska och etiska standarder.

Ovanstående metoder för att säkerställa informationssäkerhet implementeras med hjälp av följande grundläggande medel: fysisk, hårdvara, programvara, hårdvara och programvara, kryptografisk, organisatorisk, lagstiftande och moralisk och etisk.

Fysiska skyddsmedel är avsedda för yttre skydd av objektens territorium, skydd av komponenterna i företagets automatiska informationssystem och implementeras i form av autonoma enheter och system.

Hårdvaruskyddsmedel är elektroniska, elektromekaniska och andra enheter direkt inbyggda i blocken i ett automatiserat informationssystem eller utformade som oberoende enheter och har gränssnitt med dessa block. De är avsedda för internt skydd av strukturella element i datoranläggningar och system: terminaler, processorer, kringutrustning, kommunikationslinjer etc.

Programvaruskyddsmedel är utformade för att utföra logiska och intellektuella skyddsfunktioner och ingår antingen i programvaran i ett automatiserat informationssystem eller i sammansättningen av medel, komplex och system för kontrollutrustning.

Informationssäkerhetsprogramvara är den vanligaste typen av skydd, som har följande positiva egenskaper: mångsidighet, flexibilitet, enkel implementering, möjligheten att ändra och utvecklas. Denna omständighet gör dem samtidigt till de mest sårbara elementen i skyddet av företagsinformationssystemet.

Hårdvaru-mjukvaruskydd innebär att programvara (mikro-programvara) och hårdvarudelar är helt sammankopplade och oskiljaktiga.

Kryptografiska medel - skyddsmedel med hjälp av informationstransformation (kryptering).

Organisatoriska medel - organisatoriska, tekniska och organisatoriska och juridiska åtgärder för att reglera personalens beteende.

Lagstiftningsmedel - landets rättsakter som reglerar reglerna för användning, behandling och överföring av information med begränsad tillgång och som fastställer åtgärder för ansvar för brott mot dessa regler.

Morala och etiska medel - normer, traditioner i samhället, till exempel: Code of Professional Conduct för medlemmar i Association of Computer Users i USA.

1.2 Metoder och sätt att säkerställa säkerheten

Olika krypteringsmekanismer används för att genomföra säkerhetsåtgärder. Vad används dessa metoder för? Initialt när de skickar data (text, tal eller bild) är de oskyddade, eller, som experter kallar det, öppna. Öppen data kan enkelt fångas upp av andra användare (medvetet eller inte smart). Om det finns ett mål att hindra viss information från att komma till tredje part, är sådan data krypterad. Användaren till vilken den specificerade informationen är avsedd att dekrypteras sedan med hjälp av omvänd transformation av kryptogrammet och ta emot data i den form han behöver.

Kryptering är symmetrisk (en hemlig nyckel används för kryptering) och asymmetrisk (en offentlig nyckel används för kryptering, och för dekryptering - en annan, inte sammankopplad - det vill säga, att veta en av dem, du kan inte bestämma den andra).

Säkerhetsmekanismer är också sådana:

) Mekanismer för digitala elektroniska signaturer är baserade på asymmetriska krypteringsalgoritmer och innefattar två procedurer: signaturgenerering av avsändaren och dess igenkänning av mottagaren. Avsändarens bildande av signaturen säkerställer att datablocket krypteras eller kompletteras med en kryptografisk kontrollsumma, och i båda fallen används avsändarens hemliga nyckel. Den offentliga nyckeln används för identifiering.

) Åtkomstkontrollmekanismer kontrollerar program och användares behörighet att få åtkomst till nätverksresurser. Vid åtkomst till en resurs via en anslutning utförs kontroll både vid initieringspunkten och på mellanpunkter, liksom vid slutpunkten.

) Dataintegritetsmekanismer tillämpas på det enskilda blocket och på dataströmmen. Avsändaren kompletterar det överförda blocket med ett kryptografiskt belopp, och mottagaren jämför det med det kryptografiska värdet som motsvarar det mottagna blocket. En felanpassning indikerar en snedvridning av information i blocket.

) Mekanismer för att ställa in trafik. De är baserade på generering av block av AIS -objekt, deras kryptering och organisering av överföring över nätverkskanalerna. Detta neutraliserar möjligheten att få information genom övervakning yttre egenskaper flöden som cirkulerar genom kommunikationskanaler.

) Styrmekanismer för routning säkerställer att information flödar genom kommunikationsnätet på ett sådant sätt att uteslutning av klassificerad information utesluts över osäkra fysiskt opålitliga kanaler.

) Skiljedomsmekanismer ger bekräftelse på egenskaperna hos data som överförs mellan objekt av en tredje part. För detta går informationen som skickas eller tas emot av föremålen genom skiljedomaren, vilket gör att han därefter kan bekräfta de nämnda egenskaperna.

De främsta nackdelarna med säkerhetssystemet för ekonomiska objekt är:

-smal, icke-systematisk förståelse av objektsäkerhetsproblemet;

-försummelse av förebyggande av hot, arbeta enligt principen "Ett hot har dykt upp - vi börjar eliminera det";

-inkompetens inom säkerhetsekonomi, oförmåga att jämföra kostnader och fördelar;

-"Teknokratism" av lednings- och säkerhetsspecialister, tolkning av alla uppgifter på språket i ett fält som är bekant för dem.

Som en avslutning på det första kapitlet i verket definierar vi följande. Säkerhet för informationssystem avser vissa åtgärder genom vilka de skyddar informationssystemet från oavsiktlig eller avsiktlig störning i funktionssätten. För att säkerställa säkerheten planeras två huvudsakliga tillvägagångssätt: 1) fragmentariska, inom vilka ramverk mot vissa hot utförs under vissa förutsättningar; och 2) systemisk, inom vilken en skyddad miljö för behandling, lagring och överföring av information skapas, som kombinerar olika metoder och medel för att motverka hot. olika medel och mekanismer. Medlen inkluderar: kryptering, digital elektronisk inspelning, åtkomstkontroll, trafikinställning, etc.

online banksystemets säkerhet

2. Funktioner för att säkerställa säkerheten för personuppgifter i online banksystem

2.1. Allmänna villkor för att säkerställa säkerheten för personuppgifter i onlinesystem

Skydd personlig information- detta är tillståndet för skydd av information och dess stödjande infrastruktur (datorer, kommunikationslinjer, strömförsörjningssystem, etc.) från oavsiktliga eller avsiktliga påverkan som kan leda till skada för ägarna eller användarna av denna information.

Informationssäkerhet för legitimationsuppgifter förstås också som: säkerställd datorns tillförlitlighet, säkerhet för värdefulla referenser, skydd av personlig information från ändringar av den av obehöriga personer, bevarande av dokumenterade referenser i elektronisk kommunikation.

Föremål för informationssäkerhet i redovisningen är informationsresurser innehållande information klassificerad som en kommersiell hemlighet och konfidentiell information; såväl som metoder och system för informatisering.

Ägaren av informationsresurser, informationssystem, teknik och deras hjälpmedel är en enhet som äger och använder de angivna objekten och utövar förfogandebefogenheter inom de gränser som fastställs i lag.

En användare av information är ett ämne som vänder sig till ett informationssystem eller en mellanhand för att få den information han behöver och använder den.

Informationsresurser är enskilda dokument och separata uppsättningar av dokument, dokument och uppsättningar av dokument i informationssystem.

Ett informationssäkerhetshot är en potentiellt möjlig åtgärd som, genom att agera på komponenter personliga system kan leda till skada för ägare av informationsresurser eller användare av systemet.

Den rättsliga regimen för informationsresurser bestäms av normerna som fastställer:

förfarandet för att dokumentera information.

äganderätt till enskilda dokument och individuella matriser

dokument, dokument och uppsättningar av dokument i informationssystem; kategori av information efter graden av tillgång till den; förfarande för rättsligt skydd av information.

Huvudprincipen som kränks vid genomförandet av ett informationshot i redovisningen är principen för att dokumentera information. Ett bokföringsdokument som erhållits från ett automatiserat informationsbokföringssystem får juridisk kraft efter att det har undertecknats av en tjänsteman på det sätt som föreskrivs i Ryska federationens lagstiftning.

Alla uppsättningar av potentiella hot i redovisningen på grund av deras förekomst kan delas in i två klasser: naturligt (objektivt) och artificiellt.

Naturliga hot orsakas i regel av objektiva skäl som ligger utanför bokförarens kontroll, vilket leder till fullständig eller partiell förstörelse av bokföringsavdelningen tillsammans med dess komponenter. Sådana naturfenomen inkluderar: jordbävningar, blixtnedslag, bränder etc.

Mänskliga hot är förknippade med mänsklig verksamhet. De kan delas in i oavsiktliga (oavsiktliga) sådana, orsakade av anställdas förmåga att göra misstag på grund av ouppmärksamhet, eller trötthet, sjukdom etc. Till exempel kan en revisor, när du skriver in information i en dator, trycka på fel tangent, göra oavsiktliga fel i programmet, införa ett virus eller av misstag avslöja lösenord.

Avsiktliga (avsiktliga) hot är förknippade med människors egoistiska ambitioner - illvilliga, som medvetet skapar felaktiga dokument.

När det gäller deras fokus kan säkerhetshot delas in i följande grupper:

hot att tränga in och läsa data från referensdatabaser och datorprogram deras behandling;

hot mot säkerhetsuppgifterna, vilket antingen leder till att de förstörs eller ändras, inklusive förfalskning av betalningshandlingar (betalningsförfrågningar, order, etc.);

hot om datatillgänglighet som uppstår när en användare inte kan komma åt autentiseringsuppgifter;

hotet om vägran att utföra operationer, när en användare skickar ett meddelande till en annan, och sedan inte bekräftar överförd data.

Informationsprocesser är processerna för insamling, bearbetning, ackumulering, lagring, sökning och spridning av information.

Informationssystem är en organisatoriskt ordnad uppsättning dokument (uppsättningar av dokument och informationsteknik, inklusive de som använder datorteknik och kommunikation som implementerar informationsprocesser).

Dokumentationsinformation utförs i enlighet med det förfarande som fastställts av de statliga myndigheter som ansvarar för att organisera kontorsarbete, standardisera dokument och deras matriser och Ryska federationens säkerhet.

Beroende på källan till hoten kan de delas in i interna och externa.

Källan till interna hot är aktiviteterna från organisationens personal. Externa hot kommer utifrån från anställda i andra organisationer, från hackare och andra.

Externa hot kan indelas i:

lokal, vilket innebär att inkräktaren kommer in i organisationens territorium och får tillgång till till en separat dator eller lokalt nätverk;

fjärrhot är typiska för system som är anslutna till globala nätverk (Internet, systemet för internationella bankavräkningar SWIFT, etc.).

Sådana faror uppstår oftast i det elektroniska betalningssystemet när man gör uppgörelser mellan leverantörer och kunder, med hjälp av internetnätverk i bosättningar. Källorna till sådana informationsattacker kan vara tusentals kilometer bort. Dessutom är det inte bara datorer som påverkas, utan också bokföringsinformation.

Avsiktliga och oavsiktliga fel i redovisningen, vilket leder till en ökad redovisningsrisk, är följande: fel vid registrering av redovisningsdata; felaktiga koder, obehöriga bokföringstransaktioner; brott mot kontrollgränser; missat Konton; fel vid behandling eller utmatning av data; fel i bildandet eller korrigeringen av referensböcker; ofullständiga konton; felaktig tilldelning av poster efter perioder; förfalskning av data; kränkning av kraven i lagstiftningsföreskrifter; brott mot principerna för personlig policy; bristande kvalitet på tjänsterna efter användarnas behov.

Särskilt farlig är information som utgör en kommersiell hemlighet och relaterad till personlig och rapporterande information (data om partners, kunder, banker, analytisk information om marknadsaktivitet). För att denna och liknande information ska skyddas är det nödvändigt att upprätta avtal med anställda på redovisningsavdelningen, finansiella tjänster och andra ekonomiska enheter, med en lista över information som inte är föremål för publicitet.

Informationsskydd i automatiserade bokföringssystem bygger på följande grundläggande principer.

Tillhandahålla fysisk separation av områden avsedda för behandling av sekretessbelagd och oklassificerad information.

Tillhandahåller kryptografiskt skydd av information. Tillhandahåller autentisering av abonnenter och abonnentinstallationer. Tillhandahålla differentiering av tillgång till ämnen och deras processer till information. Säkerställa etableringen av äktheten och integriteten hos dokumentärmeddelanden under överföringen över kommunikationskanaler.

Säkerställa skydd av utrustning och tekniska medel i systemet, lokalerna där de finns, från läckage av konfidentiell information genom tekniska kanaler.

Säkerställa skydd av krypteringsteknik, utrustning, teknisk och mjukvaruverktyg från läckage av information på grund av bokmärken för hårdvara och programvara.

Säkerställa kontroll över integriteten hos programvaran och informationsdelar i det automatiska systemet.

Använder endast hushåll

Ryska federationens statliga informationsresurser är öppna och allmänt tillgängliga. Ett undantag är dokumenterad information som enligt lag klassificeras som en kategori med begränsad åtkomst. Enligt villkoren i dess rättsliga system är dokumenterad information med begränsad tillgång indelad i information som klassificeras som statshemlig och konfidentiell. Listan över konfidentiell information, särskilt information om kommersiell verksamhet, fastställs genom dekretet från Ryska federationens president av den 6 mars 1997 nr 188 (bilaga nr) om utvecklingen.

Tillhandahålla organisatoriska och regimskyddsåtgärder. Det är lämpligt att använda och ytterligare åtgärder för att säkerställa kommunikationssäkerheten i systemet.

Organisation av skydd av information om intensiteten, varaktigheten och trafiken för informationsutbyte.

Användning av kanaler och metoder för överföring och behandling av information som hindrar avlyssning.

Skydd av information från obehörig åtkomst syftar till att bilda tre huvudegenskaper för den skyddade informationen:

konfidentialitet (sekretessbelagd information bör endast vara tillgänglig för den som den är avsedd för);

integritet (information på grundval av vilken viktiga beslut fattas måste vara tillförlitlig, korrekt och helt skyddad från eventuella oavsiktliga och skadliga snedvridningar);

beredskap (information och relevant informationstjänst bör finnas tillgänglig, redo att betjäna intressenter närhelst behov uppstår).

Metoder för att säkerställa skyddet av personlig information är: hinder; åtkomstkontroll, maskering, reglering, tvång, motivation.

Ett hinder bör betraktas som metoden för att fysiskt blockera angriparens väg till den skyddade personliga informationen. Denna metod implementeras av företagets åtkomstsystem, inklusive närvaron av säkerhet vid ingången till det, blockerar obehöriga personers väg till bokföringsavdelningen, kassan etc.

Åtkomstkontroll är en metod för att skydda personlig och rapporterande information, implementerad av:

autentisering - fastställande av ett föremåls eller ämnes äkthet enligt identifieraren som presenteras av honom (utförs genom att jämföra den angivna identifieraren med den som är lagrad i datorns minne);

behörighetskontroller - kontroll av efterfrågan på de efterfrågade resurserna och de åtgärder som utförs med de tilldelade resurserna och tillåtna förfaranden; registrering av samtal till skyddade resurser;

informera och svara på försök till obehöriga åtgärder. (Kryptografi är en metod för skydd genom att transformera information (kryptering)).

I BEST-4-komplexet utförs differentiering av åtkomst till information på nivån för enskilda delsystem och tillhandahålls genom att ställa in separata åtkomstlösenord. På första installationen eller när som helst när du arbetar med programmet kan systemadministratören ställa in eller ändra ett eller flera lösenord. Lösenordet begärs varje gång du loggar in i delsystemet.

Dessutom har vissa moduler ett eget system för differentiering av tillgång till information. Det ger möjlighet att skydda varje menyalternativ med speciella lösenord. Du kan också skydda åtkomsten till enskilda delmängder av primära dokument med lösenord: till exempel i AWS "Lagerbokföring" och "Bokföring av varor och produkter" är det möjligt att ange åtkomstlösenord till varje lager separat, varje kassaregister, i automatiserad arbetsstation "Redovisning för uppgörelser med bank" - åtkomstlösenord till varje bankkonto.

Det bör särskilt noteras att för att effektivt avgränsa åtkomst till information är det först och främst nödvändigt att med lösenord skydda själva sätten att bestämma lösenord för åtkomst till vissa block.

1C. Enterprise, version 7.7 har ett eget informationsskydd - åtkomsträttigheter. För att integrera och separera användarens åtkomst till information när man arbetar med 1C -systemet. personliga datorer, systemkonfiguratorn låter dig ställa in behörigheter för varje användare att arbeta med information som behandlas av systemet. Rättigheter kan ställas in i ett ganska brett spektrum - från möjligheten att bara visa vissa typer av dokument till en fullständig uppsättning rättigheter för inmatning, visning, korrigering och radering av alla typer av data.

Tilldelningen av åtkomsträttigheter till användaren utförs i två steg. I det första steget skapas standarduppsättningar för rättigheter för att arbeta med information, som i regel skiljer sig åt i bredden av de tillgängliga åtkomstalternativen. I det andra steget tilldelas användaren en av dessa standarduppsättningar höger.

Allt arbete med att skapa standarduppsättningar av rättigheter utförs på fliken "Rättigheter" i fönstret "Konfiguration". Detta fönster öppnas på skärmen genom att välja "öppen konfiguration" från menyn "Konfiguration" i huvudprogrammenyn

2.2 En uppsättning åtgärder för att säkerställa säkerheten för personuppgifter i nätbanksystem

Motivering av en uppsättning åtgärder för att säkerställa PD: s säkerhet i ISPDN genomförs med hänsyn till resultaten av bedömningen av hotfara och bestämning av ISPDN -klassen utifrån "Huvudåtgärder för organisationen och teknisk säkerhet för personliga data som behandlas i. "

Samtidigt bör åtgärder bestämmas för:

identifiering och stängning av tekniska kanaler för PD -läckage i ISPDN;

skydd av personuppgifter från obehörig åtkomst och olagliga handlingar;

installation, konfiguration och tillämpning av skyddsmedel.

Åtgärder för att identifiera och stänga de tekniska kanalerna för PD -läckage i PDIS formuleras på grundval av analys och bedömning av hot mot PD -säkerhet.

Åtgärder för att skydda PD under deras behandling i ISPD från obehörig åtkomst och olagliga åtgärder inkluderar:

åtkomstkontroll;

registrering och redovisning;

säkerställa integritet;

kontroll över frånvaron av odeklarerade möjligheter;

antivirusskydd;

säkerställa säker sammankoppling av ISPDN;

säkerhetsanalys;

intrångsdetektering.

Det rekommenderas att implementera delsystemet åtkomstkontroll, registrering och redovisning på grundval av programvara för att blockera obehöriga åtgärder, signalering och registrering. Dessa är speciella, ingår inte i kärnan i någon operativ system programvara och hårdvara-programvara för skydd av själva operativsystemen, elektroniska databaser över personuppgifter och applikationsprogram. De utför skyddsfunktionerna oberoende eller i kombination med andra skyddsmedel och syftar till att utesluta eller hindra utförandet av handlingar från användaren eller kränkaren som är farliga för ISPD. Dessa inkluderar specialverktyg och skyddsprogramvara som implementerar funktioner för diagnostik, registrering, förstörelse, signalering och imitation.

Diagnostikverktyg testar filsystemet och PD -databaser, samlar kontinuerligt information om hur elementen i informationssäkerhetsdelsystemet fungerar.

Förstöringsverktyg är utformade för att förstöra kvarvarande data och kan tillhandahålla förstörelse av nöddata i händelse av ett obehörigt attackhot som inte kan blockeras av systemet.

Signaleringsmedel är utformade för att varna operatörer när de får tillgång till skyddade PD: er och för att varna administratören vid upptäckt av att manipulera PD och andra fakta om kränkning av PDIS: s normala funktionssätt.

Simuleringsverktyg simulerar arbete med kränkare vid upptäckt av ett obehörigt angreppsförsök att skydda PD eller programvara. Imitation låter dig öka tiden för att bestämma platsen och naturen för UAN, vilket är särskilt viktigt i geografiskt distribuerade nätverk, och att felinformera kränkaren om platsen för den skyddade PD.

Delsystemet för att säkerställa integriteten implementeras huvudsakligen av operativsystem och databashanteringssystem. Medel för att öka tillförlitligheten och säkerställa integriteten hos de överförda uppgifterna och tillförlitligheten hos transaktioner, inbyggda i operativsystem och databashanteringssystem, baseras på beräkningen av kontrollsummor, meddelande om ett misslyckande vid överföringen av ett meddelandepaket och en vidarebefordran av ett ej mottaget paket.

Delsystemet för övervakning av frånvaron av odeklarerade funktioner implementeras i de flesta fall på grundval av databashanteringssystem, informationsskyddsverktyg och verktyg för informationsskydd mot virus.

För att säkerställa säkerheten för personuppgifter och mjukvaru- och hårdvarumiljön hos ISPD: n som behandlar denna information, rekommenderas att man använder speciella antivirusverktyg som utför:

detektering och (eller) blockering av destruktiva virusinfluenser på hela systemet och tillämpas programvara som implementerar PD -behandling, liksom PD -bearbetning;

upptäckt och borttagning av okända virus;

säkerställa självövervakning (förebyggande av infektion) av detta antivirusverktyg när det lanseras.

När du väljer verktyg för antivirusskydd är det lämpligt att ta hänsyn till följande faktorer:

kompatibilitet av dessa verktyg med standard ISPD -programvara;

graden av minskning av produktiviteten för ISPDns funktion för huvudsyftet;

tillgång till centraliserad kontroll över hur antivirusskydd fungerar från informationssäkerhetsadministratörens arbetsplats i ISPD;

förmågan att omedelbart meddela informationssäkerhetsadministratören i ISPD om alla händelser och fakta om manifestationen av programmatiska och matematiska influenser (PMA);

tillgänglighet av detaljerad dokumentation om hur antivirusverktyget fungerar;

förmågan att regelbundet testa eller självtesta antivirusskyddet;

möjligheten att öka sammansättningen av skyddsmedel mot PMA med nya ytterligare medel utan väsentliga begränsningar för ISPD: s effektivitet och "konflikt" med andra typer av skyddsmetoder.

En beskrivning av proceduren för att installera, konfigurera, konfigurera och administrera antivirusskyddsverktyg, samt proceduren för åtgärder vid upptäckt av en virusattack eller andra kränkningar av kraven för skydd mot programmatiska och matematiska påverkan bör ingå i informationssäkerhetsadministratörens handbok i ISPDN.

För att differentiera åtkomsten till ISPD -resurser under sammankoppling används brandvägg, som implementeras av programvara och mjukvara och hårdvaru brandväggar (ME). En brandvägg är installerad mellan det skyddade nätverket, det interna nätverket och det externa nätverket. Brandväggen är en del av det skyddade nätverket. För det, med hjälp av inställningar, sätts regler separat som begränsar åtkomst från det interna nätverket till det externa och vice versa.

För att säkerställa säker sammankoppling i ISPD: er av 3 och 4 klasser rekommenderas att använda ME på minst femte säkerhetsnivån.

För att säkerställa säker sammankoppling i ISPD klass 2 rekommenderas att använda ME på minst den fjärde säkerhetsnivån.

För att säkerställa säker sammankoppling i ISPD klass 1 rekommenderas att använda ME på minst den tredje säkerhetsnivån.

Delsystemet säkerhetsanalys implementeras baserat på användning av tester (säkerhetsanalys) och informationssäkerhetskontroll (granskning).

Säkerhetsanalysverktyg används för att styra skyddsinställningarna för operativsystem på arbetsstationer och servrar och göra det möjligt att bedöma möjligheten för inkräktare att utföra attacker mot nätverksutrustning och kontrollera programvarusäkerhet. För att göra detta undersöker de nätverkstopologin och letar efter oskyddade eller obehöriga nätverkskopplingar kontrollera brandväggens inställningar. En sådan analys utförs utifrån detaljerade beskrivningar sårbarheter i säkerhetsinställningar (t.ex. switchar, routrar, brandväggar) eller sårbarheter i operativsystem eller programvara. Resultatet av säkerhetsanalysverktyget är en rapport som sammanfattar informationen om de upptäckta sårbarheterna.

Sårbarhetsdetektorer kan fungera vid nätverkslagret (i detta fall kallas de "nätverksbaserade"), operativsystem ("värdbaserade") och applikationer ("applikationsbaserade"). Med hjälp av skanningsprogramvaran kan du snabbt skapa en karta över alla tillgängliga ISPD -noder, identifiera de tjänster och protokoll som används på var och en av dem, bestämma deras grundläggande inställningar och göra antaganden om sannolikheten för NSD -implementeringen.

Baserat på resultaten av skanningen av systemet utvecklas rekommendationer och åtgärder för att eliminera de identifierade bristerna.

Intrångsdetekteringssystem används för att identifiera hot mot obehörig åtkomst genom sammankoppling. Sådana system är byggda med hänsyn till särdragen i genomförandet av attacker, utvecklingsstadierna och är baserade på ett antal metoder för att upptäcka attacker.

Det finns tre grupper av attackdetekteringsmetoder:

signaturmetoder;

metoder för att upptäcka avvikelser;

kombinerade metoder (tillsammans med algoritmerna definierade i signatur- och avvikelsedetekteringsmetoder).

För att upptäcka intrång i ISPDN i klasserna 3 och 4, rekommenderas det att använda nätverksattackdetekteringssystem som använder signaturanalysmetoder.

För att upptäcka intrång i klass 1 och 2 ISPD: er rekommenderas att använda nätverksattackdetekteringssystem som använder avvikelsedetektionsmetoder tillsammans med signaturanalysmetoder.

För att skydda personuppgifter från läckage genom tekniska kanaler används organisatoriska och tekniska åtgärder för att eliminera läckage av akustisk (tal), artinformation, samt informationsläckage på grund av sidor elektromagnetisk strålning och leder.

Som en slutsats om det andra kapitlet i arbetet drar vi följande slutsatser. Skydd av personuppgifter är tillståndet för skydd av information och dess stödjande infrastruktur från oavsiktliga eller avsiktliga påverkan av naturlig eller artificiell art, full av skada för ägarna eller användarna av denna information. Syftet med informationssäkerhet i bokföringen definieras: information resurser som innehåller information som klassificerats som en kommersiell hemlighet och information och systeminformation. De viktigaste metoderna som används inom ramen för informationsskydd är: att upptäcka och direkt skydda.

SLUTSATS

Problemet med informationssäkerhet för ekonomiska objekt är mångfacetterat och behöver ytterligare utarbetas.

I den moderna världen blir informatisering en strategisk nationell resurs, en av en ekonomiskt utvecklad stats huvudsakliga förmögenhet. Den snabba förbättringen av informationen i Ryssland, dess penetration till alla områden av individens, samhällets och statens vitala intressen innebar, förutom otvivelaktiga fördelar, uppkomsten av ett antal betydande problem. En av dem var behovet av att skydda information. Med tanke på att den ekonomiska potentialen för närvarande alltmer bestäms av utvecklingsnivån för informationsinfrastruktur, växer ekonomins potentiella sårbarhet för informationseffekter proportionellt.

Genomförandet av informationssäkerhetshot är att kränka sekretessen, integriteten och tillgängligheten av information. Ur ett systematiskt tillvägagångssätt för informationsskydd är det nödvändigt att använda hela arsenalen av tillgängliga skyddsmedel i alla strukturella element i ett ekonomiskt objekt och i alla stadier av den tekniska cykeln av informationsbehandling. Metoder och skyddsmedel bör på ett tillförlitligt sätt blockera möjliga sätt för obehörig åtkomst till skyddade hemligheter. Informationssäkerhetens effektivitet innebär att kostnaderna för dess genomförande inte bör överstiga de eventuella förlusterna från genomförandet av informationshot. Informationssäkerhetsplanering åstadkoms genom utveckling av detaljerade informationssäkerhetsplaner för varje tjänst. Tydlighet behövs vid utövandet av användarnas befogenheter och rättigheter för att komma åt vissa typer av information för att säkerställa kontroll av skyddsutrustning och ett omedelbart svar på deras misslyckande.

BIBLIOGRAFI

1.Automatiserad informationsteknik inom bank / red. prof. G.A. Titorenko. - M.: Finstatinform, 2007

2.Automatiserad informationsteknik inom ekonomi / Ed. prof. G.A. Titorenko. - M.: UNITI, 2010

.Ageev A.S. Organisation och moderna informationsskyddsmetoder. - M.: Oro "Bank. Business Center", 2009

.Adzhiev V. Software Safety Myths: Lessons from Famous Disaster. - Öppna system, 199. Nr 6

.Alekseev och V.I. Kommunernas informationssäkerhet. - Voronezh: VSTU: s förlag, 2008.

.Alekseev, V.M. Internationella kriterier för bedömning av informationsteknologins säkerhet och deras praktisk användning: Lärobok. - Penza: Penz förlag. stat universitet, 2002

.Alekseev, V.M. Lagstiftningsstöd för skydd av information från obehörig åtkomst. - Penza: Penz förlag. stat universitet, 2007

.Alekseev, V.M. Säkerställa informationssäkerhet vid utveckling av programvara. - Penza: Penz förlag. stat universitet, 2008

.Aleshin, L.I. Informationssäkerhet och informationssäkerhet: Föreläsningar av L. I. Aleshin; Moskva stat un-t av kultur. - M.: Mosk. stat Kulturhögskolan, 2010

.Akhramenka, N.F. etc. Brott och straff i betalningssystem med elektroniska dokument// Information Security Management, 1998

.Banker och bankverksamhet. Lärobok / Ed. E.F. Zhukov. - M.: Banker och börser, UNITI, 2008

.Barsukov, V.S. Säkerhet: teknik, medel, tjänster. - M.: Kudits - Bild, 2007

.Baturin, Yu.M. Datalagsproblem. - M.: Jurid. lit., 1991

.Baturin, Yu.M. Datakriminalitet och datasäkerhet. M.: Jur.lit., 2009

.Bezrukov, N.N. Introduktion till beräkningsvirologi. Generella principer funktion, klassificering och katalog över de vanligaste virusen i M5-005. K., 2005

.Bykov, V.A. Elektronisk verksamhet och säkerhet / V. A. Bykov. - M.: Radio och kommunikation, 2000

.Varfolomeev, A.A. Informationssäkerhet. Matematiska grunder för kryptologi. Del 1. - Moskva: MEPhI, 1995

.Vekhov, V.B. Databrott: metoder för att begå och avslöja. - M.: Lag och lag, 1996

.Volobuev, S.V. Introduktion till informationssäkerhet. - Obninsk: Obn. Institutet för atomenergi, 2001

.Volobuev, S.V. Informationssäkerhet automatiserade system... - Obninsk: Obn. Institutet för atomenergi, 2001

.Helt rysk vetenskaplig-praktisk konferens "Informationssäkerhet i systemet för högre utbildning", 28-29 nov. 2000, NSTU, Novosibirsk, Ryssland: IBVSh 2000. - Novosibirsk, 2001

23.Galatenko, V.A. Informationssäkerhet: en praktisk metod V. A. Galatenko; Ed. VB Betelin; Växte upp. acad. Sciences, Nauchn.-issled. Systeminstitutet. isled. - M.: Nauka, 1998

.Galatenko, V.A .. Grunderna i informationssäkerhet: En kurs i föreläsningar. -M.: Internet-Un-t informera. teknik, 2003

.Gennadieva, E.G. Teoretiska grunder för datavetenskap och informationssäkerhet. - M.: Radio och kommunikation, 2000

.Nörd, Sebastian Narchis. Döljer information i grafiska filer i BMP -format Dis. ... Cand. teknik. Vetenskaper: 05.13.19 - SPb., 2001

.Gika, S.N. Döljer information i grafiska filer i BMP -format: Avtoref. dis. ... Cand. teknik. Vetenskaper: 05.13.19 S.-Petersburg. stat in-t toch. mekanik och optik. - SPb., 2001

.Golubev, V.V. Säkerhetshantering. - Sankt Petersburg: Peter, 2004

.Gorbatov, V.S. Informationssäkerhet. Grunden för rättsligt skydd. - M.: MEPhI (TU), 1995

.Gorlova, I.I., red. Informationsfrihet och informationssäkerhet: Material från det internationella. vetenskaplig. Konf., Krasnodar, 30-31 oktober. 2001 - Krasnodar, 2001

.Greensberg, A.S. och annat skydd av informationsresurser för offentlig förvaltning. - M.: UNITI, 2003

.Rysslands informationssäkerhet inom ramen för det globala informationssamhället "INFORUM-5": lör. material från det femte helryssland. konf., Moskva, 4-5 februari 2003 - M.: OOO Ed. zhurn. Rysslands verksamhet och säkerhet, 2003

.Informationssäkerhet: lör. metod. material M-in utbildning Ros. Federation [och andra]. - M.: TSNIIATOMINFORM, 2003

34.Informationsteknologi// Ekonomi och liv. Nr 25, 2001

35.Informationsteknik i marknadsföring: Lärobok för universitet. - Moskva: 2003

.Informationsteknik inom ekonomi och förvaltning: Lärobok / Kozyrev A.A. - M: Förlag för Mikhailov V.A., 2005

.Lopatin, V.N. Informationssäkerhet i Ryssland Dis. ... Dr. jur. Vetenskaper: 12.00.01

.Lukashin, V.I. Informationssäkerhet. - M.: Mosk. stat Ekonomiska universitetet, statistik och informatik

.Luchin, I.N., Zheldakov A.A., Kuznetsov N.A. Knäckande lösenordsskydd // Informatisering av brottsbekämpningssystem. M., 1996

.McClar, Stuart. Hacka på webben. Attacker och försvar Stuart McClar, Saumil Shah, Srirai Shah. - M.: Williams, 2003

.Malyuk, A.A. Teoretiska grunder för formaliseringen av den prediktiva bedömningen av informationssäkerhetsnivån i databehandlingssystem. - M.: MEPhI, 1998 SPb., 2000

.Ekonomisk effektivitet för informationssäkerhetssystem. P.P. Chebotar - Moldaviska ekonomiska akademin, 2003

.Yakovlev, V.V. Informationssäkerhet och informationsskydd i företagsnätverk järnvägstransporter. - M., 2002

.Yarochkin, V.I. Informationssäkerhet. - M.: Mir, 2003

.Yarochkin, V.I. Informationssäkerhet. - M.: Fonden "Mir", 2003: Acad. Projekt

.Yasenev, V.N. Automatiserade informationssystem i ekonomin och säkerställa deras säkerhet: Handledning... - N. Novgorod, 2002

Liknande fungerar till - Skydd av personuppgifter i nätbanksystem

Marina Prokhorova, redaktör för tidskriften "Personuppgifter"

Natalia Samoilova, advokat för företaget "InfoTechnoProekt"

Det regelverk och rättsliga ramverk som hittills har utvecklats inom behandling av personuppgifter, dokument som ännu inte har antagits för en effektivare organisation av arbetet med att skydda personuppgifter i organisationer, tekniska aspekter av utarbetandet av informationssystem för operatörer av personuppgifter - det här är de ämnen som nyligen har berörts i många tidningar och tidskrifter som ägnas åt problemet med personuppgifter. I den här artikeln skulle jag vilja uppehålla mig vid en sådan aspekt av organisationen av bank- och kreditinstitutens arbete som "icke-tekniskt" skydd av personuppgifter som behandlas i dessa organisationer.

Låt oss börja med ett konkret exempel

Vi talar om den rättsliga granskningen av det personuppgiftsskyddsärende som inleddes mot Sberbank i juni 2008. Essensen i tvisterna var följande. Ett borgensavtal ingicks mellan medborgaren och banken, i enlighet med vilket medborgaren tog på sig skyldigheten att svara för banken för fullgörandet av låntagarens skyldigheter enligt låneavtalet. Den senare uppfyllde inte sina skyldigheter inom den period som fastställdes genom låneavtalet, information om garantisten som en opålitlig klient infördes i det automatiska informationssystemet hos Stop List -banken, vilket i sin tur låg till grund för att vägra att bevilja honom ett lån. Samtidigt meddelade banken inte ens medborgaren om låntagarens felaktiga fullgörande av sina skyldigheter enligt låneavtalet. Dessutom angav borgensavtalet inte att banken i händelse av felaktig utförande av sina skyldigheter har banken rätt att ange information om borgensmannen i informationssystemet Stopplista. Således behandlade banken en medborgares personuppgifter genom att inkludera information om honom i stopplistans informationssystem utan hans medgivande, vilket bryter mot kraven i del 1 i art. 9 i federal lag nr 152-FZ av den 27 juli 2006 "Om personuppgifter", enligt vilket ämnet för personuppgifter beslutar att lämna sina personuppgifter och samtycker till att de behandlas enligt egen vilja och i hans intresse. Dessutom, på det sätt som föreskrivs i del 1 i art. 14 i samma lag ansökte en medborgare till banken med ett krav på att ge honom möjlighet att bekanta sig med informationen om honom som finns i stopplistans informationssystem, samt att blockera denna information och förstöra den. Banken vägrade uppfylla medborgarnas krav.

Baserat på resultaten av behandlingen av fallet tillfredsställde Leninsky tingsrätt i Vladivostok påståenden från Roskomnadzor -administrationen för Primorsky -territoriet mot Sberbank i Ryssland för att skydda en medborgares kränkta rättigheter och beordrade banken att förstöra information om medborgare från stopplistans informationssystem.

Hur är detta exempel vägledande? Banker, som lagrar personuppgifter för ett betydande antal av sina kunder, utan att tveka, flyttar dem från en databas till en annan, och oftare utan att meddela ämnet om personuppgifter om det, för att inte tala om att få sitt samtycke till sådana handlingar med sina personuppgifter . Naturligtvis har banken ett antal funktioner, och ofta används kundernas personuppgifter inte bara för att uppfylla de avtal som banken har slutit, utan också för att övervaka banken över hur kundens skyldigheter fullgörs, men det innebär att eventuella manipulationer med personuppgifter som redan kräver samtycke från deras ämne. ...

Svårigheter att tolka bestämmelser

Varför inte göra några transaktioner med personuppgifter lagliga? Naturligtvis kommer detta med största sannolikhet att kräva inblandning av tredje parts specialister, eftersom även advokaterna vid de stora bankernas juridiska avdelningar endast är förstklassiga yrkesverksamma inom ett visst område, och de måste bekanta sig med de specifika uppgifterna i arbetet inom området för personuppgifter praktiskt taget från grunden. Så den bästa vägen ut är att involvera företag som är specialiserade på tillhandahållande av tjänster för att organisera arbete med personuppgifter, inklusive de som kan genomföra en granskning för att de icke-tekniska skyddsåtgärder som du vidtar uppfyller kraven från lagstiftaren, för att arbeta med att organisera ett personuppgiftsskyddssystem.

Resultaten av analytiska studier gör att vi kan dra slutsatsen att tolkningen av vilka bestämmelser i federal lag nr 152-FZ "om personuppgifter" orsakar de största svårigheterna.

I enlighet med del 1 i artikel 22 i detta regleringsdokument är operatören skyldig att meddela det auktoriserade organet om behandlingen av personuppgifter. Bland undantagen är fallet när de behandlade personuppgifterna erhölls i samband med ingående av ett avtal som personuppgiften är part i ... och används av operatören enbart för genomförandet av detta avtal på grundval av klausul 2 i del 2 i artikel 22 i federal lag nr 152-FZ "Om personuppgifter". Vissa banker skickar med denna bestämmelse inte några meddelanden om behandling av personuppgifter, och många anser sig inte vara operatörer, vilket är i grunden fel.

Ett annat vanligt misstag hos banker, som operatörer av personuppgifter, relaterade till kontraktet är också följande. Enligt art. 6 i ovannämnda lag får behandlingen av personuppgifter utföras av operatören med samtycke från personernas personuppgifter, med undantag för fall, inklusive behandlingen för att fullgöra ett avtal, en av parterna i som är föremål för personuppgifter. Därför förklarar många bankinstitutioner deras bristande samtycke för personuppgifterna just genom att ett sådant avtal ingås.

Men låt oss tänka på det, använder inte banken, som operatör, personuppgifterna för ämnet som erhållits vid avtalets ingående, till exempel för att skicka meddelanden om nya tjänster, för att upprätthålla "stopplistor"? Detta innebär att behandlingen av personuppgifter utförs inte bara i syfte att fullgöra kontraktet, utan också för andra ändamål, vars uppnåendet är av kommersiellt intresse för banker, därför:

  • banker är skyldiga att lämna ett meddelande om behandling av personuppgifter till det auktoriserade organet;
  • banker måste behandla personuppgifter endast med samtycke från ämnet.

Detta innebär att banker måste organisera ett system för att arbeta med personuppgifter om sina kunder, det vill säga för att säkerställa icke-tekniskt skydd av sådana uppgifter.

Skriftligt samtycke till behandling av personuppgifter

När det gäller samtycke från den person som behandlar personuppgifter för behandling av personuppgifter, tvingar federal lag nr 152-FZ "om personuppgifter" operatörer att inhämta skriftligt samtycke till behandling av personuppgifter endast i fall som anges i lag. Samtidigt, i enlighet med del 3 i art. 9 skyldigheten att bevisa mottagandet av medgivandets samtycke till behandlingen av hans personuppgifter åvilar operatören. För att vid behov inte slösa tid på att samla in sådana bevis (till exempel söka efter vittnen) är det enligt vår mening bättre att i alla fall få samtycke från försökspersonerna skriftligen.

Här är ett annat argument för skriven form behandling av personuppgifter. Ofta tillhandahåller bankernas verksamhet överföring av data (inklusive personlig) till en utländsk stats territorium. Vid detta tillfälle, del 1 av art. 12 i federal lag nr 152-FZ "Om personuppgifter" säger att operatören måste se till att den främmande stat till vars territorium överföringen av personuppgifter påbörjas innan gränsöverskridande överföring av personuppgifter påbörjas. ger ett tillräckligt skydd för rättigheterna för personer med personuppgifter. Om sådant skydd inte tillhandahålls är gränsöverskridande överföring av personuppgifter endast möjlig med skriftligt samtycke från personen som behandlar personuppgifter. Det kan antas att det är lättare för en bankanställd att erhålla klientens skriftliga samtycke till behandling av personuppgifter än att fastställa graden av adekvat skydd i ett främmande land.

Vi uppmärksammar det faktum att den information som måste finnas i det skriftliga medgivandet finns listad i del 4 i art. 9 i ovannämnda federala lag, och denna lista är uttömmande. Och signaturen under frasen, till exempel i låneavtalet: "Jag godkänner användningen av mina personuppgifter", enligt federal lag nr 152-FZ "Om personuppgifter", är inte samtycke till deras behandling!

Det verkar som att det bara finns några få punkter i lagen, och hur många komplikationer, upp till tvister, kan orsaka deras misstolkningar. Dessutom, när personuppgifter om ämnen ofta blir en vara i konkurrensen mellan olika strukturer i dag, blir en framgångsrik lösning av frågor om deras skydd, vilket säkerställer säkerheten för informationssystem för bank- och kreditinstitut en garanti för att upprätthålla rykte och ärlighet namn på någon organisation.

Varje dag ökar medvetenheten hos medborgarna om de möjliga negativa konsekvenserna av spridningen av deras personuppgifter, vilket underlättas av att specialiserade publikationer uppstår. Det finns också informationsresurser olika företag... Några av dem täcker i allmänhet hela det brett spektrum av frågor som rör begreppet "informationssäkerhet", andra ägnar sig åt granskningar av åtgärder och tekniska skydd, någon tvärtom fokuserar på problemen i samband med icke-tekniskt skydd . Med andra ord, information om skydd av personuppgifter blir mer och mer tillgänglig, vilket innebär att medborgarna kommer att vara mer kunniga när det gäller att skydda sina rättigheter.

Det blev särskilt populärt för ryska divisioner av utländska företag i samband med tillägget av artikel 5 i artikel 18 till 152-FZ "Om personuppgifter": personlig information medborgare i Ryska federationen som använder databaser på Ryska federationens territorium " . Det finns ett antal undantag i lagen, men du måste erkänna att vid kontroll av tillsynsmyndigheten skulle man vilja ha mer pålitliga trumfkort än "men det här berör oss inte".

Straffen för kränkare är mycket allvarliga. Onlinebutiker, sociala nätverk, informationssajter, andra företag relaterade till internet vid krav från tillsynsmyndigheterna kan de faktiskt stängas. Kanske, under den första kontrollen, kommer regulatorn att ge tid att eliminera bristerna, men tiden är vanligtvis begränsad. Om problemet inte löses mycket snabbt (vilket är svårt att göra utan förberedande förberedelser) kan förlusterna inte kompenseras på något sätt. Blockering av webbplatser leder inte bara till en paus i försäljningen, det innebär en förlust av marknadsandelar.

Framträdandet på "svarta listan" av brott mot personuppgiftslagen för offlineföretag är mindre dramatiskt. Men detta innebär omdömesrisker, vilket är en betydande faktor för utländska företag. Dessutom finns det nu nästan inga aktiviteter kvar som inte alls handlar om skydd av personuppgifter. Banker, handel, till och med tillverkning - alla upprätthåller en kundbas, vilket innebär att de omfattas av relevanta lagar.

Det är viktigt att förstå här att frågan inte heller kan ses isolerat inom företagen. Det kommer inte att vara möjligt att begränsa skyddet av personuppgifter genom att installera certifierade säkerhetsåtgärder på servrar och låsa papperskort i kassaskåp. Personuppgifter har många ingångspunkter till företaget - säljavdelningar, HR -avdelningar, kundserviceavdelningar, ibland även utbildningscentra, inköpsprovisioner och andra avdelningar. Hantering av personuppgifter är en komplex process som påverkar DEN, dokumentflöde, föreskrifter, laglig registrering.

Låt oss ta en titt på vad som krävs för att starta och underhålla en sådan process.

Vilka uppgifter anses vara personliga

Strikt taget är all information som direkt eller indirekt relaterar till en viss individ hans personuppgifter. Lägga märke till det kommer om människor, inte om juridiska personer... Det visar sig att det är tillräckligt att ange fullständigt namn och adress för bostaden för att initiera skyddet av denna (liksom relaterade) data. Men att få e-post med någon annans personuppgifter i form av en signatur och telefonnummerännu inte en anledning att försvara dem. Nyckelbegrepp: "Begreppet insamling av personuppgifter." För att förtydliga sammanhanget vill jag lyfta fram flera artiklar i lagen "Om personuppgifter".

Artikel 5. Principer för behandling av personuppgifter. Du bör ha tydliga mål som gör det klart varför denna information samlas in. Annars är sanktioner sannolikt, även om alla andra regler och förordningar följs.

Artikel 10. Särskilda kategorier av personuppgifter. Till exempel kan HR registrera resebegränsningar, inklusive graviditet för kvinnliga anställda. Självklart omfattas även sådan ytterligare information av skydd. Detta utökar kraftigt förståelsen för personuppgifter, liksom listan över avdelningar och informationslager i företaget, där du måste vara uppmärksam på skyddet.

Artikel 12. Gränsöverskridande överföring av personuppgifter. Om ett informationssystem med uppgifter om medborgare i Ryska federationen finns på territoriet i ett land som inte har ratificerat konventionen om skydd av personuppgifter (till exempel i Israel), bör du följa bestämmelserna i rysk lagstiftning.

Artikel 22. Meddelande om behandling av personuppgifter. En förutsättning för att inte dra till sig otillbörlig uppmärksamhet från regulatorn. Gör affärer relaterade till personuppgifter - rapportera det själv, utan att vänta på inspektioner.

Var kan personuppgifter finnas?

Tekniskt sett kan PD placeras var som helst, från tryckta medier (pappersarkiv) till maskinmedia ( hårddiskar, flash -enheter, CD -skivor, etc.). Det vill säga uppmärksamheten är all datalagring som faller under definitionen av ISPDN (personuppgiftsinformationssystem).

Platsens geografi är en separat stor fråga. Å ena sidan är ryssarnas personuppgifter ( individer medborgare i Ryska federationen) måste förvaras på Ryska federationens territorium. Å andra sidan är det i nuläget mer en vektor för utvecklingen av situationen än ett utarbetat faktum. Många internationella och exportföretag, olika innehav, joint ventures har historiskt en distribuerad infrastruktur - och detta kommer inte att förändras över en natt. Till skillnad från metoderna för lagring och skydd av personuppgifter, som måste korrigeras nästan nu, omedelbart.

Minimilistan över avdelningar som är involverade i registrering, organisering, ackumulering, lagring, förtydligande (uppdatering, ändring), extrahering av PD:

  • Personal service.
  • Säljavdelning.
  • Juridiska avdelning.

Eftersom det sällan är perfekt ordning kan de mest oförutsägbara enheterna i verkligheten ofta läggas till i denna "förväntade" lista. Till exempel kan ett lager ha personlig information om leverantörer, eller säkerhetstjänsten kan ha sina egna detaljerade register över alla som kommer in i territoriet. Således kan förresten sammansättningen av PD för anställda kompletteras med data om kunder, partners, entreprenörer, samt slumpmässiga och till och med främlingar - vars PD blir ett "brott" när man fotograferar för ett pass, skannar ett identitetskort och i vissa andra fall. ACS (åtkomstkontroll och hanteringssystem) kan enkelt fungera som en källa till problem i samband med skydd av personuppgifter. Därför är svaret på frågan "Var?" ur synpunkten om efterlevnad av lagen låter det så här: överallt i det ansvariga territoriet. Mer exakt kan du bara svara genom att genomföra en lämplig granskning. Detta är den första etappen projektet om skydd av personuppgifter. Full lista dess nyckelfaser:

1) Granskning av den nuvarande situationen i företaget.

2) Utforma en teknisk lösning.

3) Förberedelse av processen för skydd av personuppgifter.

4) Kontroll av den tekniska lösningen och processen för att skydda personuppgifter för efterlevnad av lagstiftningen i Ryska federationen och företagsföreskrifter.

5) Implementering av en teknisk lösning.

6) Starta processen för skydd av personuppgifter.

1. Granskning av den nuvarande situationen i företaget

Först och främst, kontakta HR -avdelningen och på andra avdelningar med hjälp av pappersmedia med personuppgifter:

  • Finns det former av samtycke till behandling av personuppgifter? Är de färdiga och signerade?
  • Uppfylls "Föreskrifter om särdragen vid behandling av personuppgifter utan användning av automatiseringsverktyg" av den 15 september 2008 nr 687?

Bestäm ISPD: s geografiska läge:

  • I vilka länder finns de?
  • På vilka grunder?
  • Finns det kontrakt för deras användning?
  • Vilket tekniskt skydd används för att förhindra läckage av PD?
  • Vilka organisatoriska åtgärder vidtas för att skydda personuppgifter?

Helst bör ett informationssystem med ryska personuppgifter uppfylla alla krav i lag 152-FZ "Om personuppgifter", även om det finns utomlands.

Slutligen uppmärksamma den imponerande listan över dokument som krävs vid verifiering (det här är inte allt, bara huvudlistan):

  • Meddelande om PD -bearbetning.
  • Ett dokument som definierar den person som är ansvarig för att organisera PD -behandling.
  • Förteckning över anställda som är antagna till PD -behandling.
  • Ett dokument som definierar platsen för lagring av PD.
  • Hjälp till behandling av speciella och biometriska kategorier av personuppgifter.
  • Intyg om genomförande av gränsöverskridande PD-överföring.
  • Typiska former av dokument med PD.
  • Typisk typ av samtycke till PD -behandling.
  • Förfarandet för överföring av personuppgifter till tredje part.
  • Förfarandet för registrering av ansökningar från personuppgifter.
  • Lista över (ISPDN).
  • Dokument som reglerar säkerhetskopiering av data i ISPDN.
  • Listan över använda informationsskyddsmedel.
  • Förfarandet för förstörelse av personuppgifter.
  • Åtkomstmatris.
  • Hotmodell.
  • Journal of accounting of machine carriers of personal data.
  • Ett dokument som definierar säkerhetsnivåerna för varje ISPD i enlighet med PP-1119 av den 1 november 2012 "Om godkännande av krav för skydd av personuppgifter under deras behandling i."

2. Utforma en teknisk lösning

En beskrivning av de organisatoriska och tekniska åtgärder som måste vidtas för att skydda personuppgifter finns i kapitel 4. "Operatörens skyldigheter" i lag 152-FZ "Om personuppgifter". Den tekniska lösningen måste baseras på bestämmelserna i artikel 2 i lag 242-FZ av den 21 juli 2014.

Men hur ska man följa lagen och behandla PD för medborgare i Ryska federationen på Rysslands territorium i fallet när ISPD fortfarande är utomlands? Det finns flera alternativ här:

  • Fysisk överföring av informationssystemet och databasen till Ryska federationens territorium. Om det är tekniskt genomförbart kommer det att vara det enklaste.
  • Vi lämnar ISPD utomlands, men i Ryssland skapar vi en kopia av den och upprättar en enkelriktad replikering av personuppgifterna för Ryska federationens medborgare från den ryska kopian till den utländska. Samtidigt är det i det utländska systemet nödvändigt att utesluta möjligheten att ändra personuppgifterna för medborgare i Ryska federationen, alla redigeringar endast genom den ryska ISPD.
  • Det finns flera ISPD: er och de är alla utomlands. Överföringen kan vara dyr eller i allmänhet inte tekniskt genomförbar (till exempel kan du inte välja en del av databasen med personuppgifter om medborgare i Ryska federationen och ta med den till Ryssland). I det här fallet kan lösningen vara att skapa en ny ISPD på valfri tillgänglig plattform på en server i Ryssland, varifrån envägsreplikering kommer att utföras till varje utländsk ISPD. Observera att valet av plattform ligger kvar hos företaget.

Om ISPD inte helt och monopolistiskt överförs till Ryssland, glöm inte att ange i intyget för gränsöverskridande dataöverföring till vem och vilken uppsättning PD som skickas. I behandlingsmeddelandet måste du ange syftet med överföringen av personuppgifter. Återigen måste detta mål vara legitimt och klart motiverat.

3. Förberedelse av processen för skydd av personuppgifter

Personuppgiftsskyddsprocessen bör avgöra åtminstone följande punkter:

  • Lista över personer som är ansvariga för behandling av personuppgifter i företaget.
  • Proceduren för att ge åtkomst till ISPDN. Helst är detta en åtkomstmatris med en åtkomstnivå för varje position eller en specifik anställd (läs / läs-skriv / ändra). Eller en lista över tillgängliga personuppgifter för varje position. Allt beror på implementeringen av IP och företagets krav.
  • Granskning av åtkomst till personuppgifter och analys av åtkomstförsök med kränkning av åtkomstnivåer.
  • Analys av orsakerna till att personuppgifter inte är tillgängliga.
  • Förfarandet för att svara på förfrågningar från PD -ämnen angående deras PD.
  • Revidering av listan över personuppgifter som överförs utanför företaget.
  • Revision av mottagare av personuppgifter, inklusive utomlands.
  • Periodisk översyn av hotmodellen för personuppgifter, samt en ändring av skyddsnivån för personuppgifter i samband med en förändring av hotmodellen.
  • Stöd för företagsdokument uppdaterad (listan ovan, och den kan behöva kompletteras om det behövs).

Här kan du specificera varje punkt, men jag vill ägna särskild uppmärksamhet åt säkerhetsnivån. Det bestäms utifrån följande dokument (läs sekventiellt):

1. "Metod för att fastställa faktiska hot säkerhet personuppgifter under behandlingen i ”(FSTEC RF 14 februari 2008).

2. Dekret från Ryska federationens regering nr 1119 av den 1 november 2012 "Om godkännande av krav för skydd av personuppgifter vid behandling i."

3. FSTEC -order nr 21 av den 18 februari 2013 "Efter godkännande av sammansättningen och innehållet i organisatoriska och tekniska åtgärder för att säkerställa säkerheten för personuppgifter under behandlingen i."

Glöm inte heller att överväga behovet av sådana kategorier av utgifter som:

  • Organisation projekt lag och projektledning.
  • Utvecklare för var och en av ISPDN -plattformarna.
  • Serverkapacitet (egen eller leasad i datacenteret).

I slutet av projektets andra och tredje fas bör du ha:

  • Beräkning av kostnader.
  • Kvalitetskrav.
  • Villkor och schema för projektet.
  • Tekniska och organisatoriska risker med projektet.

4. Kontroll av den tekniska lösningen och processen för att skydda personuppgifter för efterlevnad av lagstiftningen i Ryska federationen och företagsföreskrifter

Ett kort men viktigt skede där du måste se till att alla planerade åtgärder inte strider mot Rysslands lagstiftning och företagsregler (till exempel säkerhetspolicy). Om detta inte görs kommer en bomb att planteras i projektets grund, som kan "explodera" i framtiden och förstöra fördelarna med de uppnådda resultaten.

5. Implementering av en teknisk lösning

Allt är mer eller mindre självklart här. Detaljerna beror på utgångsläget och besluten. Men i allmänhet bör du få något liknande följande bild:

  • Serverkapacitet tilldelas.
  • Nätverksingenjörer gav tillräckligt genomströmning kanaler mellan mottagaren och PDn -sändaren.
  • Utvecklarna har etablerat replikering mellan ISPD -databaser.
  • Administratörer förhindrade förändringar i ISPDN som ligger utomlands.

Personen som är ansvarig för skyddet av PD eller "ägaren av processen" kan vara samma person eller annorlunda. Just det faktum att "ägaren av processen" måste förbereda all dokumentation och organisera hela processen för att skydda personuppgifter. För att göra detta måste alla berörda parter meddelas, anställda instrueras och IT -tjänsten främja genomförandet av tekniska åtgärder för dataskydd.

6. Starta processen för skydd av personuppgifter

Detta är ett viktigt skede, och på sett är målet med hela projektet att sätta kontroll över flödet. Förutom tekniska lösningar och regleringsdokument är processägarens roll här avgörande viktig. Han måste spåra förändringar inte bara i lagstiftningen, utan också i IT -infrastrukturen. Detta innebär att lämpliga färdigheter och kompetenser behövs.

Dessutom, som är av avgörande betydelse under verkliga förhållanden, behöver ägaren av PD-skyddsprocessen alla nödvändiga befogenheter och administrativt stöd från företagets ledning. Annars kommer han att vara en evig "åkallare", som ingen uppmärksammar, och efter ett tag kan projektet startas om, igen med en revision.

Nyanser

Några punkter som är lätta att förbise:

  • Om du arbetar med ett datacenter behöver du ett kontrakt för tillhandahållande av tjänster för tillhandahållande av serverfaciliteter, enligt vilket ditt företag lagrar data på en laglig grund och kontrollerar det.
  • Du behöver en licens för programvara som används för att samla in, lagra och behandla personuppgifter eller leasingavtal.
  • Om ISPD finns utomlands, krävs ett avtal med företaget som äger systemet där - för att garantera att Rysslands lagstiftning följs med avseende på ryssarnas personuppgifter.
  • Om personuppgifter överförs till en entreprenör i ditt företag (till exempel en IT -outsourcingpartner), så kommer du att vara ansvarig för skador i händelse av PD -läckage från outsourcaren. I sin tur kan ditt företag göra anspråk på utläggaren. Kanske kan denna faktor påverka själva överföringen av arbete till outsourcing.

Och igen, det viktigaste är att skyddet av personuppgifter inte kan tas och säkerställas. Detta är en process. En pågående iterativ process som i hög grad kommer att bero på ytterligare förändringar i lagstiftningen, liksom på formatet och strängheten i tillämpningen av dessa normer i praktiken.

Rubrik: Antivirus
Dela detta