Onlayn bank tizimlarida shaxsiy ma'lumotlarni himoya qilish. "Alfa Bank" OAJ shaxsiy ma'lumotlarini himoya qilish tizimini takomillashtirish Bank sohasida shaxsiy ma'lumotlar

zarur qoidalarning bajarilishini nazorat qilish. Foydalanilgan adabiyotlar roʻyxati:

1. "Banklar va bank faoliyati to'g'risida" Federal qonuni

2. www.Grandars.ru [Elektron resurs] Kirish rejimi: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Kirish sanasi: 05/05/2016)

3. In-bank.ru [Elektron resurs] Kirish rejimi: http://journal.ib-bank.ru/post/411 (Kirish sanasi: 05.05.2016 y.)

Xlestova Daria Robertovna

Email: [elektron pochta himoyalangan]

BANK SOHADA SHAXSIY MA'LUMOTLARNI HIMOYA QILISh XUSUSIYATLARI

izoh

Ushbu maqolada bank sohasida mijozlarning shaxsiy ma'lumotlarini himoya qilish xususiyatlari muhokama qilinadi. Bir qator normativ-huquqiy hujjatlar sanab o'tilgan, ular asosida bankda shaxsiy ma'lumotlarni qayta ishlash va himoya qilish tizimini qurish kerak. Bank muassasalarida ma'lumotlar xavfsizligini tashkil etish bo'yicha chora-tadbirlar ro'yxati ta'kidlandi.

Kalit so'zlar

Shaxsiy ma'lumotlar, banklardagi xavfsizlik, axborot xavfsizligi,

shaxsiy ma'lumotlarni himoya qilish

Axborot texnologiyalari asrida shaxsiy ma'lumotlarni himoya qilish ayniqsa dolzarb bo'lib qoldi. Kiberjinoyatchilar tashkilotlarning axborot tizimlariga hujum qilish orqali har qanday maxfiy ma'lumotlarga kirish imkoniga ega bo'lish holatlari ko'payib bormoqda. Shubhasiz, hujumlar bank sektorini ham chetlab o'tmaydi. Bank tizimlari mijozlarning ko'p sonli shaxsiy ma'lumotlarini o'z ichiga olganligi sababli, ularning xavfsizligi davlat va kredit-moliya institutlari egalarining o'zlari tomonidan qattiq nazorat ostida bo'lishi kerak.

Boshlash uchun, agar shaxs uning mijozi bo'lsa, bankka qanday shaxsiy ma'lumotlar kirishi mumkinligini aniqlashga arziydi. Demak, majburiydir: familiyasi, ismi va otasining ismi; Tug'ilgan sanasi va joyi; fuqarolik; ro'yxatdan o'tgan joyi va haqiqiy yashash joyi; barcha pasport ma'lumotlari (seriya, raqam, hujjat qachon va kim tomonidan berilgan); mobil raqam va Uy telefoni; ish joyi, lavozimi. Aksariyat hollarda muassasalar shaxsdan so'raydi va Qo'shimcha ma'lumot, lekin usiz ham, odam bankka ishonadigan ma'lumotlar ro'yxati juda ta'sirli. Albatta, mijoz uning shaxsiy ma'lumotlarini qayta ishlash va saqlash vaqtida ishonchli himoyalanishiga umid qiladi.

Kredit-moliya institutlari shaxsiy ma'lumotlarni qayta ishlash va himoya qilish tizimini samarali tashkil eta olishlari uchun bank mijozlarning shaxsiy ma'lumotlari bilan ishlashda tayanishi kerak bo'lgan normativ-huquqiy hujjatlar ro'yxatini ko'rsatish kerak: Rossiya Federatsiyasi Konstitutsiyasi. rossiya Federatsiyasi - mamlakatning eng muhim hujjati; Rossiya Federatsiyasi Mehnat kodeksi; Rossiya Federatsiyasining Fuqarolik kodeksi va Jinoyat kodeksi; 152-sonli "Shaxsiy ma'lumotlar to'g'risida" Federal qonuni; 149-sonli federal qonun "To'g'risida

axborot, axborot texnologiyalari va axborotni muhofaza qilish”; 395-1-sonli "Banklar va bank faoliyati to'g'risida" Federal qonuni. Shuningdek, banklarda shaxsiy ma'lumotlarni qayta ishlash va saqlash tizimini yaratishda ma'lumotlar bilan ishlash ustidan qo'shimcha nazoratni ta'minlaydigan bir qator mahalliy hujjatlar yaratiladi.

Bank tashkiloti mijozdan o'zining shaxsiy ma'lumotlarini olgandan so'ng, u o'ziga ishonib topshirilgan ma'lumotlarni ruxsatsiz kirishdan (tasodifiy yoki qasddan), blokirovka qilishdan, o'zgartirishdan, yo'q qilishdan va boshqa noqonuniy harakatlardan himoya qilish uchun barcha tashkiliy va texnik choralarni ko'rish majburiyatini oladi. Banklarda shaxsiy ma’lumotlarni qayta ishlash va himoya qilishni sifatli tashkil etish bo‘yicha qator chora-tadbirlarni alohida ta’kidlash joiz: bank axborot tizimida ma’lumotlarni qayta ishlash va xavfsizligini ta’minlash uchun mas’ul shaxslarni tayinlash; nazorat tadbirlarini amalga oshirish va xodimlarni bank ma’lumotlarini himoya qilish tizimi asos bo‘lgan tegishli me’yoriy-huquqiy baza va ichki hujjatlar bilan tanishtirish; bankda shaxsiy ma'lumotlarni qayta ishlash jarayonida tahdidlarni aniqlash va ularga qarshi kurashish choralari; himoya qilish tizimini ishga tushirishdan oldin ma'lumotlarni himoya qilishni ta'minlash bo'yicha qo'llaniladigan tashkiliy-texnik chora-tadbirlar samaradorligini baholash; shaxsiy ma'lumotlarning barcha mashina tashuvchilari uchun hisob; xodimlarni qayta ishlash va himoya qilish tizimiga kirish qoidalarini belgilash; himoyalangan ma'lumotlarga ruxsatsiz kirish aniqlangan taqdirda, tahdidni bartaraf etish va yo'qolgan ma'lumotlarni qayta tiklash choralarini ko'rish. Mijozlarning shaxsiy ma'lumotlarini saqlash va himoya qilish uchun operatsion tizimga ega bo'lgan banklar uchun majburiy chora doimiy monitoring va xavfsizlik tizimini takomillashtirishdir.

Shunday qilib, shuni ta'kidlash kerakki, banklarda shaxsiy ma'lumotlarni qayta ishlash, saqlash va himoya qilish Rossiya Federatsiyasining normativ-huquqiy bazasi bilan belgilangan shartlar asosida amalga oshirilishi kerak. Har bir moliya instituti: o'z mijozlarining shaxsiy ma'lumotlarini himoya qilishni tashkil etishda qonuniylik tamoyiliga rioya qilishi; tashkiliy va texnik ma'lumotlarni himoya qilish bo'yicha to'liq chora-tadbirlarni amalga oshirish; axborot xavfsizligi bilan bog'liq mahalliy hujjatlarni yaratishda ushbu sohadagi eng yaxshi rus va xalqaro tajribaga tayanish; mijozning shaxsiy ma'lumotlarini himoya qilishni ta'minlash uchun nazorat qiluvchi organlarning (FSTEC, Roskomnadzor, FSB) barcha talablarini bajarish.

Foydalanilgan adabiyotlar roʻyxati:

1. Xlestova D.R., Popov K.G. "Shaxsiy ma'lumotlarni himoya qilishning huquqiy jihatlari to'g'risida"

2. "Banklar va bank faoliyati to'g'risida" Federal qonuni

3. Rossiya banki [Elektron resurs] Kirish rejimi: http://www.cbr.ru/ (Kirish sanasi: 05/06/2016)

© Khlestova D.R., Popov K.G., 2016 yil

Xlestova Daria Robertovna

IUBP BashDU 2-kurs talabasi, Ufa, RF E-mail: [elektron pochta himoyalangan] Popov Kirill Gennadievich iqtisod fanlari nomzodi, Boshqird davlat universitetining Axborot xavfsizligi kafedrasi dotsenti, Ufa, RF

Email: [elektron pochta himoyalangan]

BIZNES RAKETI AXBOROT OLISHNING ENG HUQUQIY USUL sifatida

izoh

Maqolada biznes razvedkasi usullari muhokama qilinadi. Bundan tashqari, nima uchun biznes razvedkasi biznesdagi qonuniy faoliyat ekanligini tushuntiradi. Ta'kidlangan asosiy tamoyillarga rioya qilish,

Shunga o'xshash hujjatlar

Shaxsiy ma'lumotlarni himoya qilishning huquqiy asoslari. Axborot xavfsizligi tahdidlarining tasnifi. Shaxsiy ma'lumotlar bazasi. Korxona LAN qurilmasi va tahdidlari. Shaxsiy kompyuterlar uchun asosiy dasturiy va apparat himoyasi. Asosiy xavfsizlik siyosati.

dissertatsiya, 06/10/2011 qo'shilgan


Shaxsiy ma'lumotlarni himoya qilish tizimini yaratish uchun zarur shartlar. Axborot xavfsizligiga tahdidlar. ISPD ga ruxsatsiz kirish manbalari. Shaxsiy ma'lumotlarning axborot tizimlari qurilmasi. Axborot xavfsizligi vositalari. Xavfsizlik siyosati.

10/07/2016 da qo'shilgan kurs ishi


Tarqalgan axborot tizimining tuzilishini va unda qayta ishlangan shaxsiy ma'lumotlarni tahlil qilish. Shaxsiy ma'lumotlarning joriy tahdidlardan xavfsizligini ta'minlash uchun asosiy chora-tadbirlar va vositalarni tanlash. Loyihani yaratish va qo'llab-quvvatlash uchun xarajatlarni aniqlash.

dissertatsiya, 07/01/2011 qo'shilgan


Korxonada kirishni nazorat qilish va boshqarish tizimi. Qayta ishlangan axborotni tahlil qilish va ISPD tasnifi. "MMZ" OAJ ACS shaxsiy ma'lumotlar axborot tizimida ularni qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligiga tahdidlar modelini ishlab chiqish.

dissertatsiya, 04/11/2012 qo'shilgan


Kompyuter sinfida joylashgan shaxsiy ma'lumotlarning axborot tizimini jihozlashning asosiy texnik echimlarining tavsifi. Quyi tizim antivirus himoyasi... Axborot xavfsizligi vositalarini joriy etishga tayyorgarlik ko'rish chora-tadbirlari.

muddatli ish 09/30/2013 qo'shilgan


Hujjatlashtirilgan ma'lumotlarning maxfiyligi va xavfsizligi. Tashkilot faoliyatida foydalaniladigan shaxsiy ma'lumotlar turlari. Ularni himoya qilishni ta'minlash sohasidagi qonun hujjatlarini ishlab chiqish. Rossiya Federatsiyasining axborot xavfsizligini ta'minlash usullari.

taqdimot 11/15/2016 da qo'shilgan


Axborot xavfsizligi xavfini tahlil qilish. Mavjud va rejalashtirilgan chora-tadbirlarni baholash. Axborot xavfsizligini ta'minlash va korxona ma'lumotlarini himoya qilish bo'yicha tashkiliy chora-tadbirlar majmui. Loyihani amalga oshirishning test ishi va uning tavsifi.

dissertatsiya, 12/19/2012 qo'shilgan


Rossiyada axborot xavfsizligi sohasidagi normativ hujjatlar. Axborot tizimlariga tahdidlarni tahlil qilish. Klinikaning shaxsiy ma'lumotlarini himoya qilish tizimini tashkil etish xususiyatlari. Elektron kalitlar yordamida autentifikatsiya tizimini joriy etish.

dissertatsiya, 31/10/2016 qo'shilgan


Umumiy ma'lumot korxona faoliyati haqida. Korxonada axborot xavfsizligi ob'ektlari. Axborotni himoya qilish choralari va vositalari. Ma'lumotlarni olinadigan muhitga nusxalash. Ichki zaxira serverini o'rnatish. Axborot xavfsizligi tizimini takomillashtirish samaradorligi.

test, 2013-08-29 qo'shilgan


Axborot uchun asosiy tahdidlar. Ma'lumotlar himoyasini ta'minlash tushunchalari, usullari va usullari. Himoya tizimiga qo'yiladigan talablar. Avtorizatsiya mexanizmi axborot bazasi foydalanuvchi turini aniqlash uchun. Administratorning xavfsizlik tizimi bilan ishlashi.

KIRISH

Muvofiqlik. Zamonaviy dunyoda axborot strategik resursga, iqtisodiy rivojlangan davlatning asosiy boyliklaridan biriga aylanib bormoqda. Rossiyada axborotlashtirishning jadal rivojlanishi, uning shaxs, jamiyat va davlat hayotiy manfaatlarining barcha sohalariga kirib borishi, shubhasiz afzalliklarga qo'shimcha ravishda, bir qator muhim muammolarning paydo bo'lishiga olib keldi. Ulardan biri axborotni himoya qilish zarurati edi. Hozirgi vaqtda iqtisodiy salohiyat axborot tuzilmasining rivojlanish darajasi bilan ko'proq belgilanayotganini hisobga olsak, iqtisodiyotning axborot ta'siridan potentsial zaifligi mutanosib ravishda oshib bormoqda.

Yoyish kompyuter tizimlari, ularni aloqa tarmoqlariga birlashtirish ularga elektron kirish imkoniyatlarini oshiradi. Dunyoning barcha mamlakatlarida, ularning geografik joylashuvidan qat'i nazar, kompyuter jinoyati muammosi ushbu turdagi jinoyatlarga qarshi kurashni tashkil etish uchun jamoatchilik e'tiborini va kuchlarini tobora ko'proq jalb qilishni taqozo etmoqda. Ayniqsa, avtomatlashtirilgan bank tizimlari va elektron tijoratdagi jinoyatlar keng tarqalgan. Xorijiy ma'lumotlarga ko'ra, kompyuter jinoyatlari natijasida banklardagi yo'qotishlar har yili ko'p milliard dollarni tashkil qiladi. Rossiyada eng so'nggi axborot texnologiyalarini amaliyotga joriy etish darajasi unchalik katta bo'lmasa-da, kompyuter jinoyatlari kundan-kunga o'zini ko'proq his qilmoqda va davlat va jamiyatni ulardan himoya qilish vakolatli organlarning asosiy vazifasiga aylandi. .

Shaxsiy ma'lumotlarni himoya qilish masalasining dolzarbligiga hech kim shubha qilmaydi. Avvalo, bu "Shaxsiy ma'lumotlar to'g'risida" gi 2006 yil 27 iyuldagi 152-FZ-sonli Federal qonuniga muvofiq shaxsiy ma'lumotlarning axborot tizimlarini (ISPD) olib kelish uchun belgilangan muddat bilan bog'liq. Ushbu muddat muqarrar ravishda yaqinlashmoqda va shu bilan birga tartibga soluvchi organlarning me'yoriy hujjatlari talablarini bajarishning aniq murakkabligi ko'plab nizolar va noaniq talqinlarni keltirib chiqaradi. Shu bilan birga, ayrim yo‘l-yo‘riqli hujjatlarning yopiqligi, ularning huquqiy maqomi belgilanmaganligi, shuningdek, bir qator boshqa masalalar ham muammoni hal etishga yordam bermaydi. Bularning barchasi me'yoriy-huquqiy baza pirovardida belgilanmagan vaziyatni yuzaga keltiradi va qonun hujjatlari talablariga hozirdan rioya qilish zarur.

2009 yil may oyida birinchi yig'ilish bo'lib o'tdi ishchi guruhi ARBda shaxsiy ma'lumotlar masalasi bo'yicha. Tadbirda ochiq muloqot davomida bank jamoatchiligini o‘ylantirayotgan muammoli yo‘nalishlar aniq belgilab olindi. Asosan, ular shaxsiy ma'lumotlarning texnik himoyasi va moliyaviy institutlar va FSTEC o'rtasidagi kelajakdagi o'zaro munosabatlarga tegishli edi. Rossiya Banki vakillari o'z nutqlarida "Shaxsiy ma'lumotlar to'g'risida" gi qonunni amalga oshirishni tashkil etish bo'yicha ilg'or tajribalarni e'lon qilishdi. Rossiya Bankining tartibga solish organlari bilan murosa topishga urinishlari tubdan yangi va muhim hisoblanadi. texnik talablar bank jamoasi uchun. Rossiya Federatsiyasi Markaziy bankining Rossiya FSTEC bilan hamkorlikdagi faolligini alohida ta'kidlashni istardim. FSTEC ko'rsatmalari talablarini bajarishdagi barcha katta qiyinchiliklarni hisobga olgan holda, Rossiya Banki hozirda FSTEC bilan kelishilgan o'z hujjatlarini (hujjat loyihalari) tayyorlashga qaror qildi. Shaxsiy ma'lumotlar bo'yicha moliyaviy institutlar uchun yangi sanoat standarti ehtimoli yuqori deb taxmin qilish mumkin.

Kurs ishining maqsadi onlayn-banking tizimlarida shaxsiy ma'lumotlarni himoya qilish usullarini o'rganishdir.

Maqsadga erishish uchun quyidagi vazifalar hal qilindi:

yondashuvlarni, xavfsizlikning asosiy tamoyillarini o'rganish;

xavfsizlikni ta'minlash usullari va vositalarini belgilash;

onlayn-banking tizimlarida shaxsiy ma'lumotlar xavfsizligini ta'minlash xususiyatlarini aniqlash;

onlayn-banking tizimlarida shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha chora-tadbirlar ishlab chiqish.

Tadqiqot ob'ekti - bank axborot tizimlari.

Tadqiqot mavzusi onlayn bank tizimlarida shaxsiy ma'lumotlarning xavfsizligi.

Tadqiqotning nazariy va uslubiy asosini nazariy qoidalar, olimlarning ishlari, ma'lumotlar bilan ta'minlash masalalari bo'yicha mutaxassislarning tadqiqotlari tashkil etdi.

Kurs ishining uslubiy asosi xavfsizlik muammolarini o'rganishga tizimli yondashuv edi.

Mantiqiy, qiyosiy huquqiy, tizimli tahlildan foydalanilgan. Bundan tashqari, qo'llaniladigan tizimli tahlil usuli o'rganilayotgan hodisaning alohida tarkibiy qismlarini zaruriy chuqurlik bilan o'rganish va bu elementlarning bir-biri bilan, shuningdek, umumiy bir butun bilan aloqasini tahlil qilish imkonini beradi.

1. Internet-banking tizimlarida shaxsiy ma'lumotlarni himoya qilishning nazariy jihatlari

1.1 Xavfsizlikning yondashuvlari, tamoyillari

Axborot tizimlari xavfsizligi deganda axborot tizimini uning ishlash rejimlariga tasodifiy yoki qasddan aralashuvlardan himoya qiluvchi choralar tushuniladi.

Kompyuter xavfsizligiga ikkita asosiy yondashuv mavjud.

Ulardan birinchisi parchalangan bo'lib, uning doirasida ma'lum sharoitlarda (masalan, ixtisoslashtirilgan antivirus vositalari, avtonom shifrlash vositalari va boshqalar) qat'iy belgilangan tahdidlarga qarshi turishga yo'naltirilgan. Yondashuvning ikkala afzalliklari bor - aniq belgilangan muammo nuqtai nazaridan yuqori darajadagi selektivlikni nazarda tutadi va kamchiliklar - parchalangan himoyani nazarda tutadi - ya'ni. qat'iy belgilangan elementlar.

Axborot xavfsizligini boshqarish jarayoni rasmda ko'rsatilgan komponentlarni o'z ichiga oladi. 1.

Ikkinchi yondashuv tizimli bo'lib, uning o'ziga xos xususiyati shundaki, uning doirasida axborotni himoya qilish yanada keng miqyosda ko'rib chiqiladi - axborotni qayta ishlash, saqlash va uzatish uchun himoyalangan muhit yaratilib, tahdidlarga qarshi turishning turli xil usullari va vositalarini birlashtiradi: dasturiy ta'minot va texnik vositalar. , huquqiy, tashkiliy va iqtisodiy. Belgilangan xavfsiz muhit yordamida avtomatlashtirilgan axborot tizimining ma'lum darajadagi xavfsizligini ta'minlash mumkin.

Axborotni himoya qilishga tizimli yondashuv quyidagi uslubiy tamoyillarga asoslanadi:

yakuniy maqsad - yakuniy (global) maqsadning mutlaq ustuvorligi;

birlik - tizimni bir butun sifatida "va qismlar (elementlar) to'plami sifatida" birgalikda ko'rib chiqish;

ulanish - tizimning har qanday qismini uning atrof-muhit bilan aloqalari bilan birga ko'rib chiqish;

modulli konstruksiya - tizimda modullarni taqsimlash va uni modullar majmuasi sifatida ko'rib chiqish;

ierarxiyalar - qismlar (elementlar) ierarxiyasini va ularni tartiblashni joriy etish;

funksionallik - tuzilma va funktsiyani tuzilishdan ustunlik bilan birgalikda ko'rib chiqish;

rivojlanish - tizimning o'zgaruvchanligini, uning rivojlanish, kengaytirish, qismlarni almashtirish, ma'lumot to'plash qobiliyatini hisobga olgan holda;

markazsizlashtirish - qarorlar qabul qilish va boshqaruvni markazlashtirish va markazsizlashtirishning kombinatsiyasi;

noaniqlik - tizimdagi noaniqliklar va baxtsiz hodisalarni hisobga olish.

Zamonaviy tadqiqotchilar quyidagi metodologiyani ajratib ko'rsatishadi:

axborot (shu jumladan kompyuter) xavfsizligini tashkil etish va amalga oshirish tamoyillari.

Qonuniylik printsipi. Axborot xavfsizligi sohasidagi amaldagi qonun hujjatlariga rioya qilishdan iborat.

Noaniqlik printsipi sub'ektning xatti-harakatining noaniqligi tufayli yuzaga keladi, ya'ni. qo'riqlanadigan ob'ekt xavfsizligini kim, qachon, qayerda va qanday buzishi mumkin.

Ideal himoya tizimini yaratishning mumkin emasligi printsipi. Bu mablag'larning noaniqlik va cheklangan resurslar tamoyilidan kelib chiqadi.

Minimal xavf va minimal zarar tamoyillari ideal himoya tizimini yaratishning mumkin emasligidan kelib chiqadi. Unga muvofiq, har qanday vaqtda muhofaza qilish ob'ektining mavjudligi uchun aniq shartlarni hisobga olish kerak.

Xavfsiz vaqt printsipi.U mutlaq vaqtni hisobga olishni o'z ichiga oladi, ya'ni. uning davomida himoya ob'ektlarini saqlab qolish zarur; va nisbiy vaqt, ya'ni. zararli harakatlar aniqlangan paytdan boshlab tajovuzkor maqsadga erishgunga qadar vaqt oralig'i.

“Hammani hammadan himoya qilish” tamoyili. Bu noaniqlik printsipining natijasi bo'lgan himoya ob'ektlariga tahdidlarning barcha shakllariga qarshi himoya choralarini tashkil qilishni o'z ichiga oladi.

Shaxsiy javobgarlik tamoyillari. Korxona, muassasa va tashkilotning har bir xodimi o‘z vakolatlari, funksional vazifalari va amaldagi ko‘rsatmalari doirasida xavfsizlik rejimiga rioya qilish uchun shaxsiy javobgarlikni o‘z zimmasiga oladi.

Vakolatlarni cheklash printsipi sub'ektning o'z funktsional vazifalarini normal bajarishi uchun kirishni talab qilmaydigan ma'lumotlar bilan tanishish vakolatlarini cheklashni, shuningdek talab qilinmaydigan ob'ektlar va hududlarga kirishni taqiqlashni nazarda tutadi. faoliyatning tabiatiga ko'ra.

O'zaro ta'sir va hamkorlik printsipi. Ichki tomondan, u xavfsizlik uchun mas'ul bo'lgan xodimlar (shu jumladan, axborot xavfsizligi) va xodimlar o'rtasida ishonch munosabatlarini rivojlantirishni o'z ichiga oladi. Tashqi ko'rinishda - barcha manfaatdor tashkilotlar va shaxslar (masalan, huquqni muhofaza qilish organlari) bilan hamkorlikni o'rnatish.

Murakkablik va individuallik printsipi.U muhofaza qilinadigan ob'ekt xavfsizligini biron bir chora bilan, faqat muayyan shartlarga individual murojaat qilish bilan amalga oshiriladigan, o'zaro bog'liq bo'lgan va takrorlanadigan kompleks chora-tadbirlar majmui bilan ta'minlashning mumkin emasligini anglatadi.

Ketma-ket xavfsizlik liniyalari printsipi. U ma'lum bir himoya ob'ekti xavfsizligiga tajovuz yoki boshqa noxush hodisa to'g'risida imkon qadar tezroq xabar berishni o'z ichiga oladi, bu himoya vositalarining erta ogohlantirishi xavfsizlik xodimlariga xavf tug'dirish imkoniyatini beradi. signal sababini o'z vaqtida aniqlash va samarali qarshi choralarni tashkil etish.

Mudofaa chiziqlarining teng kuchliligi va teng kuchi tamoyillari. Teng kuch mudofaa chiziqlarida himoyalanmagan hududlarning yo'qligini nazarda tutadi. Teng quvvat himoyalangan ob'ektga tahdid darajasiga muvofiq himoya chiziqlarini himoya qilishning nisbatan teng miqdorini nazarda tutadi.

Korxonada axborotni himoya qilishni ta'minlash usullari quyidagilardan iborat:

To'siq - bu tajovuzkorning himoyalangan ma'lumotlarga (uskunalar, saqlash vositalari va boshqalar) yo'lini jismoniy blokirovka qilish usuli.

Kirish nazorati - bu korxonaning avtomatlashtirilgan axborot tizimining barcha resurslaridan foydalanishni tartibga solish orqali axborotni himoya qilish usuli. Kirish nazorati quyidagi xavfsizlik xususiyatlarini o'z ichiga oladi:

axborot tizimining foydalanuvchilari, xodimlari va resurslarini identifikatsiya qilish (har bir ob'ektga shaxsiy identifikatorni belgilash);

u taqdim etgan identifikator bo'yicha ob'ekt yoki sub'ektning autentifikatsiyasi (autentifikatsiyasi);

avtorizatsiya tekshiruvi (hafta kuni, kun vaqti, so'ralgan resurslar va tartiblarning belgilangan qoidalarga muvofiqligini tekshirish);

himoyalangan resurslarga qo'ng'iroqlarni ro'yxatga olish;

javob (signalizatsiya, o'chirish, ishning kechikishi, ruxsatsiz harakatlarga urinishda so'rovni rad etish).

Maskalash - bu korxonaning avtomatlashtirilgan axborot tizimidagi ma'lumotlarni kriptografik tarzda yopish orqali himoya qilish usuli.

Tartibga solish - axborotni avtomatlashtirilgan qayta ishlash, saqlash va uzatish uchun shart-sharoitlar yaratadigan axborotni himoya qilish usuli bo'lib, bunda unga ruxsatsiz kirish ehtimoli minimallashtiriladi.

Majburlash - bu ma'lumotlarni himoya qilish usuli bo'lib, unda foydalanuvchilar va tizim xodimlari himoyalangan ma'lumotlarni qayta ishlash, uzatish va ulardan foydalanish qoidalariga rioya qilishga majburlanadi, moddiy, ma'muriy va jinoiy javobgarlik tahdidi ostida.

Rag'batlantirish - foydalanuvchilar va tizim xodimlarini belgilangan axloqiy va axloqiy me'yorlarga rioya qilish orqali belgilangan qoidalarni buzmaslikka undaydigan ma'lumotlarni himoya qilish usuli.

Axborot xavfsizligini ta'minlashning yuqorida ko'rsatilgan usullari quyidagi asosiy vositalar yordamida amalga oshiriladi: jismoniy, apparat, dasturiy ta'minot, apparat va dasturiy ta'minot, kriptografik, tashkiliy, qonunchilik va ma'naviy-axloqiy.

Jismoniy himoya vositalari ob'ektlar hududini tashqi muhofaza qilish, korxonaning avtomatlashtirilgan axborot tizimining tarkibiy qismlarini himoya qilish uchun mo'ljallangan va avtonom qurilmalar va tizimlar shaklida amalga oshiriladi.

Uskunani himoya qilish vositalari - bu avtomatlashtirilgan axborot tizimining bloklariga to'g'ridan-to'g'ri o'rnatilgan yoki mustaqil qurilmalar sifatida ishlab chiqilgan va ushbu bloklar bilan bog'langan elektron, elektromexanik va boshqa qurilmalar. Ular kompyuter qurilmalari va tizimlarining strukturaviy elementlarini ichki himoya qilish uchun mo'ljallangan: terminallar, protsessorlar, periferik uskunalar, aloqa liniyalari va boshqalar.

Dasturiy ta'minotni himoya qilish vositalari mantiqiy va intellektual himoya funktsiyalarini bajarish uchun mo'ljallangan va avtomatlashtirilgan axborot tizimining dasturiy ta'minotiga yoki asboblar, komplekslar va boshqaruv uskunalari tizimlari tarkibiga kiritilgan.

Axborot xavfsizligini ta'minlash uchun dasturiy ta'minot himoya qilishning eng keng tarqalgan turi bo'lib, quyidagi ijobiy xususiyatlarga ega: ko'p qirralilik, moslashuvchanlik, amalga oshirish qulayligi, o'zgartirish va rivojlanish qobiliyati. Bu holat ularni bir vaqtning o'zida korxona axborot tizimini himoya qilishning eng zaif elementlariga aylantiradi.

Uskuna va dasturiy ta'minotni himoya qilish - bu dasturiy ta'minot (proshivka) va apparat qismlari to'liq o'zaro bog'langan va ajralmas bo'lgan.

Kriptografik vositalar - axborotni o'zgartirish (shifrlash) orqali himoya qilish vositalari.

Tashkiliy vositalar - xodimlarning xulq-atvorini tartibga solishning tashkiliy, texnik va tashkiliy-huquqiy choralari.

Qonunchilik vositalari - cheklangan kirish huquqiga ega bo'lgan ma'lumotlardan foydalanish, qayta ishlash va uzatish qoidalarini tartibga soluvchi va ushbu qoidalarni buzganlik uchun javobgarlik choralarini belgilovchi mamlakatning huquqiy hujjatlari.

Axloqiy va axloqiy vositalar - jamiyatdagi me'yorlar, an'analar, masalan: Qo'shma Shtatlardagi kompyuter foydalanuvchilari uyushmasi a'zolarining kasbiy xulq-atvor kodeksi.

1.2 Xavfsizlikni ta'minlash usullari va vositalari

Xavfsizlik choralarini amalga oshirish uchun turli xil shifrlash mexanizmlari qo'llaniladi.Bu usullar nima uchun ishlatiladi? Dastlab, ma'lumotlarni (matn, nutq yoki rasm) jo'natishda ular himoyalanmagan yoki mutaxassislarning ta'kidlashicha, ochiq. Ochiq ma'lumotlar boshqa foydalanuvchilar tomonidan osongina ushlanishi mumkin (ataylab yoki aqlli emas). Agar ma'lum ma'lumotlarning uchinchi shaxslarga kirishiga yo'l qo'ymaslik maqsadi bo'lsa, bunday ma'lumotlar shifrlanadi. Belgilangan ma'lumot mo'ljallangan foydalanuvchi, keyin kriptogrammani teskari o'zgartirishdan foydalanib, ma'lumotlarni o'ziga kerak bo'lgan shaklda qabul qilib, shifrini ochadi.

Shifrlash nosimmetrik (bitta maxfiy kalit shifrlash uchun ishlatiladi) va assimetrik (bitta ochiq kalit shifrlash uchun ishlatiladi va shifrni ochish uchun - boshqasi, o'zaro bog'liq emas - ya'ni ulardan birini bilib, ikkinchisini aniqlay olmaysiz).

Xavfsizlik mexanizmlari ham quyidagilardan iborat:

) Raqamli elektron imzo mexanizmlari assimetrik shifrlash algoritmlariga asoslanadi va ikkita protsedurani o'z ichiga oladi: jo'natuvchi tomonidan imzo yaratish va uni qabul qiluvchi tomonidan tan olinishi. Jo'natuvchi tomonidan imzoning shakllanishi ma'lumotlar blokining shifrlanganligini yoki kriptografik nazorat summasi bilan to'ldirilishini ta'minlaydi va ikkala holatda ham jo'natuvchining maxfiy kalitidan foydalaniladi. Ochiq kalit identifikatsiya qilish uchun ishlatiladi.

) Kirishni boshqarish mexanizmlari dastur va foydalanuvchilarning tarmoq resurslariga kirish huquqini tekshiradi. Ulanish orqali resursga kirishda boshqarish boshlash nuqtasida ham, oraliq nuqtalarda ham, oxirgi nuqtada ham amalga oshiriladi.

) Ma'lumotlar yaxlitligi mexanizmlari alohida blokga va ma'lumotlar oqimiga qo'llaniladi. Yuboruvchi uzatilgan blokni kriptografik miqdor bilan to'ldiradi va qabul qiluvchi uni qabul qilingan blokga mos keladigan kriptografik qiymat bilan taqqoslaydi. Mos kelmaslik blokdagi ma'lumotlarning buzilishini ko'rsatadi.

) Trafikni sozlash mexanizmlari. Ular AIS ob'ektlari tomonidan bloklarni yaratish, ularni shifrlash va tarmoq kanallari orqali uzatishni tashkil etishga asoslangan. Bu monitoring orqali ma'lumot olish imkoniyatini neytrallashtiradi tashqi xususiyatlar aloqa kanallari orqali aylanib yuradigan oqimlar.

) Marshrutni boshqarish mexanizmlari axborotning aloqa tarmog'i orqali xavfli jismoniy ishonchsiz kanallar orqali maxfiy ma'lumotlarni uzatishni istisno qiladigan tarzda oqishini ta'minlaydi.

) Arbitraj mexanizmlari uchinchi shaxs tomonidan ob'ektlar o'rtasida uzatiladigan ma'lumotlarning xususiyatlarini tasdiqlashni ta'minlaydi. Buning uchun ob'ektlar tomonidan yuborilgan yoki qabul qilingan ma'lumotlar arbitr orqali o'tadi, bu esa unga ko'rsatilgan xususiyatlarni keyinchalik tasdiqlash imkonini beradi.

Iqtisodiy ob'ektlar uchun xavfsizlik tizimining asosiy kamchiliklari:

-ob'ekt xavfsizligi muammosini tor, tizimli bo'lmagan tushunish;

-tahdidlarning oldini olishga e'tibor bermaslik, "Xavf bor - biz uni yo'q qilishni boshlaymiz" tamoyili bo'yicha ishlash;

-xavfsizlik iqtisodi bo'yicha malakasizlik, xarajatlar va foydani solishtirish qobiliyati;

-Boshqaruv va xavfsizlik bo'yicha mutaxassislarning "texnokratizmi", barcha vazifalarni ularga tanish bo'lgan soha tilida talqin qilish.

Ishning birinchi bobi bo'yicha xulosa sifatida quyidagilarni aniqlaymiz. Axborot tizimlari xavfsizligi deganda axborot tizimini tasodifiy yoki qasddan uning ishlash rejimlariga aralashishdan himoya qiladigan muayyan chora-tadbirlar tushuniladi. Xavfsizlikni ta'minlash uchun ikkita asosiy yondashuv ko'zda tutilgan: 1) parcha-parcha bo'lib, uning doirasida ma'lum sharoitlarda muayyan tahdidlarga qarshi kurash olib boriladi; va 2) tizimli bo'lib, uning doirasida axborotni qayta ishlash, saqlash va uzatish uchun himoyalangan muhit yaratiladi, tahdidlarga qarshi kurashishning turli usullari va vositalarini birlashtiradi. turli vositalar va mexanizmlar. Vositalar quyidagilarni o'z ichiga oladi: shifrlash, raqamli elektron yozish, kirishni boshqarish, trafikni sozlash va boshqalar.

onlayn-banking tizimining xavfsizligi

2. Onlayn bank tizimlarida shaxsiy ma'lumotlar xavfsizligini ta'minlash xususiyatlari

2.1. Internet-banking tizimlarida shaxsiy ma'lumotlar xavfsizligini ta'minlashning umumiy shartlari

Himoya Shaxsiy ma'lumot- bu axborotni va uni qo'llab-quvvatlovchi infratuzilmani (kompyuterlar, aloqa liniyalari, elektr ta'minoti tizimlari va boshqalar) ushbu ma'lumotlarning egalari yoki foydalanuvchilariga zarar etkazishi mumkin bo'lgan tasodifiy yoki qasddan ta'sirlardan himoya qilish holati.

Hisob ma'lumotlarining axborot xavfsizligi deganda quyidagilar tushuniladi: kompyuterning ishonchliligini ta'minlash; qimmatli hisob ma'lumotlarining xavfsizligi; shaxsiy ma'lumotlarni unga ruxsat etilmagan shaxslar tomonidan o'zgartirishlardan himoya qilish; elektron aloqada hujjatlashtirilgan ma'lumotlarning saqlanishi.

Buxgalteriya hisobida axborot xavfsizligi ob'ektlari hisoblanadi axborot resurslari tijorat siri deb tasniflangan ma'lumotlarni va maxfiy ma'lumotlarni o'z ichiga olgan; shuningdek, axborotlashtirish vositalari va tizimlari.

Axborot resurslari, axborot tizimlari, texnologiyalari va ularni ta’minlash vositalarining egasi ko‘rsatilgan ob’ektlarga egalik qiluvchi va ulardan foydalanadigan hamda qonun hujjatlarida belgilangan doirada tasarruf etish vakolatlarini amalga oshiradigan sub’ekt hisoblanadi.

Axborotdan foydalanuvchi o'ziga kerakli ma'lumotlarni olish uchun axborot tizimiga yoki vositachiga murojaat qiladigan va undan foydalanadigan sub'ektdir.

Axborot resurslari - bu alohida hujjatlar va hujjatlarning alohida massivlari, hujjatlar va hujjatlar massivlari axborot tizimlari.

Axborot xavfsizligiga tahdid - bu komponentlarga ta'sir qilish orqali potentsial mumkin bo'lgan harakat shaxsiy tizim axborot resurslari egalariga yoki tizim foydalanuvchilariga zarar yetkazishi mumkin.

Axborot resurslarining huquqiy rejimi quyidagilarni belgilovchi normalar bilan belgilanadi:

axborotni hujjatlashtirish tartibi;

individual hujjatlar va individual massivlarga egalik qilish

axborot tizimlaridagi hujjatlar, hujjatlar va hujjatlar massivlari; axborotning unga kirish darajasi bo'yicha toifasi; axborotni huquqiy himoya qilish tartibi.

Buxgalteriya hisobida axborot tahdidini amalga oshirishda buzilgan asosiy tamoyil axborotni hujjatlashtirish tamoyilidir. Buxgalteriya hisobining avtomatlashtirilgan axborot tizimidan olingan buxgalteriya hujjati Rossiya Federatsiyasi qonunchiligida belgilangan tartibda mansabdor shaxs tomonidan imzolanganidan keyin yuridik kuchga ega bo'ladi.

Buxgalteriya hisobidagi barcha mumkin bo'lgan tahdidlarni ularning paydo bo'lish xususiyatiga ko'ra ikkita sinfga bo'lish mumkin: tabiiy (ob'ektiv) va sun'iy.

Tabiiy tahdidlar, qoida tariqasida, buxgalterning nazorati ostida bo'lmagan ob'ektiv sabablarga ko'ra yuzaga keladi, buxgalteriya bo'limining tarkibiy qismlari bilan birga to'liq yoki qisman yo'q qilinishiga olib keladi. Bunday tabiat hodisalariga quyidagilar kiradi: zilzilalar, chaqmoqlar, yong'inlar va boshqalar.

Texnogen tahdidlar inson faoliyati bilan bog'liq. Ular xodimlarning e'tiborsizligi yoki charchoq, og'riqli holat va boshqalar tufayli biron bir xatoga yo'l qo'yish qobiliyatidan kelib chiqadigan beixtiyor (o'ylamasdan) bo'linishi mumkin. Misol uchun, buxgalter kompyuterga ma'lumot kiritishda noto'g'ri tugmachani bosishi, dasturda beixtiyor xatolarga yo'l qo'yishi, virusni kiritishi yoki parollarni tasodifan ochishi mumkin.

Qasddan (qasddan) tahdidlar odamlarning g'arazli intilishlari - noto'g'ri hujjatlarni ataylab yaratish bilan bog'liq.

O'z yo'nalishi bo'yicha xavfsizlik tahdidlarini quyidagi guruhlarga bo'lish mumkin:

hisob ma'lumotlari ma'lumotlar bazalaridan ma'lumotlarga kirish va o'qish tahdidlari va kompyuter dasturlari ularni qayta ishlash;

hisob ma'lumotlarining xavfsizligiga tahdidlar, ularning yo'q qilinishi yoki o'zgarishi, shu jumladan to'lov hujjatlarini (to'lov talablari, topshiriqlari va boshqalar) qalbakilashtirish;

foydalanuvchi hisob ma'lumotlariga kira olmaganida paydo bo'ladigan ma'lumotlar mavjudligi tahdidlari;

bir foydalanuvchi boshqasiga xabar yuborganida va keyin uzatilgan ma'lumotlarni tasdiqlamasa, operatsiyalarni bajarishdan bosh tortish tahdidi.

Axborot jarayonlari - bu axborotni yig'ish, qayta ishlash, to'plash, saqlash, qidirish va tarqatish jarayonlari.

Axborot tizimi - bu tashkiliy tartibda tartibga solingan hujjatlar to'plami (hujjatlar va axborot texnologiyalari massivlari, shu jumladan kompyuter texnologiyalari va aloqa vositalaridan foydalanadiganlar). axborot jarayonlari).

Ma'lumotni hujjatlashtirish ish yuritishni tashkil etish, hujjatlar va ularning massivlarini standartlashtirish va Rossiya Federatsiyasi xavfsizligini ta'minlash uchun mas'ul bo'lgan davlat organlari tomonidan belgilangan tartibda amalga oshiriladi.

Tahdidlar manbasiga ko'ra ularni ichki va tashqilarga bo'lish mumkin.

Ichki tahdidlarning manbai tashkilot xodimlarining faoliyatidir. Tashqi tahdidlar tashqaridan boshqa tashkilotlar xodimlaridan, xakerlardan va boshqalardan keladi.

Tashqi tahdidlarni quyidagilarga bo'lish mumkin:

mahalliy bo'lib, bu tajovuzkorning tashkilot hududiga kirib borishi va kirish huquqiga ega bo'lishini anglatadi alohida kompyuterga yoki mahalliy tarmoq;

masofaviy tahdidlar global tarmoqlarga (Internet, SWIFT xalqaro bank hisob-kitoblar tizimi va boshqalar) ulangan tizimlar uchun xosdir.

Bunday xavf-xatarlar ko'pincha elektron to'lov tizimida etkazib beruvchilar va xaridorlar o'rtasidagi hisob-kitoblarni amalga oshirishda va hisob-kitoblarda Internet tarmog'idan foydalanishda yuzaga keladi. Bunday axborot hujumlarining manbalari minglab kilometr uzoqlikda bo'lishi mumkin. Bundan tashqari, nafaqat kompyuterlar, balki buxgalteriya ma'lumotlari ham ochiladi.

Buxgalteriya hisobidagi tavakkalchilikning kuchayishiga olib keladigan buxgalteriya hisobidagi qasddan va beixtiyor xatolar quyidagilardan iborat: buxgalteriya hisobi ma'lumotlarini qayd etishdagi xatolar; noto'g'ri kodlar, ruxsatsiz buxgalteriya operatsiyalari; nazorat chegaralarini buzish; o'tkazib yuborilgan Hisoblar; ma'lumotlarni qayta ishlash yoki chiqarishdagi xatolar; ma'lumotnomalarni shakllantirish yoki tuzatishdagi xatolar; to'liq bo'lmagan hisoblar; davrlar bo'yicha yozuvlarni noto'g'ri belgilash; ma'lumotlarni soxtalashtirish; normativ-huquqiy hujjatlar talablarini buzish; shaxsiy siyosat tamoyillarini buzish; xizmatlar sifatining foydalanuvchilar ehtiyojlariga mos kelmasligi.

Tijorat sirini tashkil etuvchi va shaxsiy va hisobot ma'lumotlari (hamkorlar, mijozlar, banklar to'g'risidagi ma'lumotlar, bozor faoliyati to'g'risidagi tahliliy ma'lumotlar) bilan bog'liq ma'lumotlar ayniqsa xavflidir. Ushbu va shunga o'xshash ma'lumotlarni himoya qilish uchun buxgalteriya bo'limi, moliyaviy xizmatlar va boshqa xo'jalik bo'linmalari xodimlari bilan e'lon qilinishi mumkin bo'lmagan ma'lumotlar ro'yxatini ko'rsatgan holda shartnomalar tuzish kerak.

Buxgalteriya hisobining avtomatlashtirilgan tizimlarida axborotni muhofaza qilish quyidagi asosiy tamoyillarga asoslanadi.

Maxfiy va tasniflanmagan ma'lumotlarni qayta ishlash uchun mo'ljallangan hududlarni jismoniy ajratishni ta'minlash.

Axborotning kriptografik himoyasini ta'minlash. Abonentlar va abonent o'rnatishlarning autentifikatsiyasini ta'minlash. Ma'lumotlarga sub'ektlar va ularning jarayonlari kirishining farqlanishini ta'minlash. Hujjatli xabarlarni aloqa kanallari orqali uzatishda ularning haqiqiyligi va yaxlitligini o'rnatishni ta'minlash.

Tizimning jihozlari va texnik vositalarini, ular joylashgan binolarni texnik kanallar orqali maxfiy ma'lumotlarning sizib chiqishidan himoya qilishni ta'minlash.

Shifrlash texnologiyasi, uskunalari, texnik va himoyasini ta'minlash dasturiy vositalar apparat va dasturiy ta'minot xatcho'plari tufayli ma'lumotlarning sizib chiqishidan.

Avtomatlashtirilgan tizimning dasturiy ta'minot va axborot qismlarining yaxlitligini nazorat qilishni ta'minlash.

Faqat uy sharoitida foydalanish

Rossiya Federatsiyasining davlat axborot resurslari ochiq va hamma uchun ochiqdir. Istisno qonun bilan cheklangan kirish toifasi sifatida tasniflangan hujjatlashtirilgan ma'lumotlardir. Huquqiy rejim shartlariga ko'ra, kirish huquqi cheklangan hujjatlashtirilgan ma'lumotlar davlat siri va maxfiy ma'lumotlarga bo'linadi. Maxfiy ma'lumotlarning ro'yxati, xususan, tijorat faoliyati bilan bog'liq ma'lumotlar Rossiya Federatsiyasi Prezidentining 1997 yil 6 martdagi 188-sonli Farmoni (ilova No) ishlanmalar bilan belgilanadi.

Tashkiliy va rejimni muhofaza qilish choralarini ta'minlash. Tizimda aloqa xavfsizligini ta'minlash uchun qo'shimcha choralarni qo'llash maqsadga muvofiqdir.

Axborot almashinuvining intensivligi, davomiyligi va harakati to'g'risidagi ma'lumotlarni himoya qilishni tashkil etish.

Tutib qolishga xalaqit beradigan axborotni uzatish va qayta ishlash kanallari va usullaridan foydalanish.

Axborotni ruxsatsiz kirishdan himoya qilish himoyalangan axborotning uchta asosiy xususiyatini shakllantirishga qaratilgan:

maxfiylik (maxfiy ma'lumotlar faqat u mo'ljallangan shaxs uchun mavjud bo'lishi kerak);

yaxlitlik (muhim qarorlar qabul qilinadigan ma'lumotlar ishonchli, to'g'ri va mumkin bo'lgan tasodifiy va zararli buzilishlardan to'liq himoyalangan bo'lishi kerak);

tayyorlik (axborot va tegishli axborot xizmatlari mavjud bo'lishi kerak, zarurat tug'ilganda manfaatdor tomonlarga xizmat ko'rsatishga tayyor bo'lishi kerak).

Shaxsiy ma'lumotlar himoyasini ta'minlash usullari quyidagilardir: to'siqlar; kirishni boshqarish, niqoblash, tartibga solish, majburlash, motivatsiya.

To'siqni himoyalangan shaxsiy ma'lumotlarga tajovuzkorning yo'lini jismonan to'sib qo'yish usuli deb hisoblash kerak. Ushbu usul korxonaning kirish tizimi tomonidan amalga oshiriladi, jumladan, unga kirishda xavfsizlik mavjudligi, ruxsatsiz shaxslarning buxgalteriya bo'limiga, kassirga va hokazolarga yo'llarini to'sib qo'yish.

Kirish nazorati shaxsiy va hisobot ma'lumotlarini himoya qilish usuli bo'lib, u tomonidan amalga oshiriladi:

autentifikatsiya - u taqdim etgan identifikator bo'yicha ob'ekt yoki sub'ektning haqiqiyligini aniqlash (kiritilgan identifikatorni kompyuter xotirasida saqlangan bilan solishtirish orqali amalga oshiriladi);

avtorizatsiya tekshiruvlari - so'ralgan resurslar va ajratilgan resurslar bo'yicha amalga oshirilgan operatsiyalar va ruxsat etilgan tartiblarning muvofiqligini tekshirish; himoyalangan resurslarga qo'ng'iroqlarni ro'yxatga olish;

ruxsatsiz harakatlarga urinishlar haqida xabar berish va javob berish. (Kriptografiya - axborotni o'zgartirish (shifrlash) orqali himoya qilish usuli).

BEST-4 kompleksida axborotga kirishni differentsiallashtirish alohida quyi tizimlar darajasida amalga oshiriladi va alohida kirish parollarini o'rnatish orqali ta'minlanadi. Da dastlabki sozlash yoki dastur bilan ishlashda istalgan vaqtda tizim ma'muri bir yoki bir nechta parollarni o'rnatishi yoki o'zgartirishi mumkin. Har safar quyi tizimga kirganingizda parol so'raladi.

Bundan tashqari, ba'zi modullarda axborotga kirishni farqlashning o'ziga xos tizimi mavjud. U har bir menyu bandini maxsus parollar bilan himoya qilish imkoniyatini beradi. Shuningdek, siz birlamchi hujjatlarning alohida kichik to'plamlariga kirishni parollar bilan himoya qilishingiz mumkin: masalan, "Ombordagi zaxiralarni hisobga olish" va "Tovar va mahsulotlarni hisobga olish" ish stantsiyasida har bir omborga alohida kirish parollarini o'rnatish mumkin, har bir naqd pul. ro'yxatdan o'ting, "Bank bilan hisob-kitoblarni hisobga olish" avtomatlashtirilgan ish stantsiyasida - har bir bank hisobiga kirish parollari.

Shuni alohida ta'kidlash kerakki, ma'lumotlarga kirishni samarali chegaralash uchun, birinchi navbatda, ma'lum bloklarga kirish uchun parollarni aniqlash rejimlarini parollar bilan himoya qilish kerak.

1C. Enterprise, 7.7-versiyasida, o'ziga xos ma'lumotlarni himoya qilish - kirish huquqlari mavjud.1C tizimi bilan ishlashda foydalanuvchining ma'lumotlarga kirishini birlashtirish va ajratish uchun. shaxsiy kompyuterlar, tizim konfiguratori har bir foydalanuvchi uchun tizim tomonidan qayta ishlangan ma'lumotlar bilan ishlash uchun ruxsatlarni o'rnatish imkonini beradi. Huquqlar juda keng doirada belgilanishi mumkin - faqat ma'lum turdagi hujjatlarni ko'rish qobiliyatidan tortib har qanday turdagi ma'lumotlarni kiritish, ko'rish, tuzatish va o'chirish huquqlarining to'liq to'plamigacha.

Foydalanuvchiga kirish huquqini berish 2 bosqichda amalga oshiriladi. Birinchi bosqichda ma'lumotlar bilan ishlash uchun standart huquqlar to'plamlari yaratiladi, ular, qoida tariqasida, taqdim etilgan kirish imkoniyatlarining kengligi bilan farqlanadi. Ikkinchi bosqichda foydalanuvchiga ulardan biri tayinlanadi standart to'plamlar to'g'ri.

Standart huquqlar to'plamlarini yaratish bo'yicha barcha ishlar "Konfiguratsiya" oynasining "Huquqlar" yorlig'ida amalga oshiriladi. Ushbu oyna ekranda dasturning asosiy menyusining "Konfiguratsiya" menyusidan "konfiguratsiyani ochish" bandini tanlash orqali chaqiriladi.

2.2 Onlayn bank tizimlarida shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha chora-tadbirlar majmui

ISPDda PD xavfsizligini ta'minlash bo'yicha chora-tadbirlar majmuini asoslash tahdidlar xavfini baholash natijalarini hisobga olgan holda va "Shaxsiy xavfsizlikni tashkil etish va texnik xavfsizligini ta'minlash bo'yicha asosiy chora-tadbirlar" asosida ISPD sinfini aniqlashda amalga oshiriladi. shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlangan ma'lumotlar."

Shu bilan birga, chora-tadbirlar belgilanishi kerak:

ISPDN da PD qochqinning texnik kanallarini aniqlash va yopish;

shaxsiy ma'lumotlarni ruxsatsiz kirish va noqonuniy harakatlardan himoya qilish;

himoya vositalarini o'rnatish, sozlash va qo'llash.

PDISda PD qochqinning texnik kanallarini aniqlash va yopish choralari PD xavfsizligiga tahdidlarni tahlil qilish va baholash asosida ishlab chiqilgan.

ISPDda qayta ishlash jarayonida PDni ruxsatsiz kirish va noqonuniy harakatlardan himoya qilish choralari quyidagilardan iborat:

kirishni boshqarish;

ro'yxatga olish va hisobga olish;

yaxlitligini ta'minlash;

e'lon qilinmagan imkoniyatlarning yo'qligini nazorat qilish;

virusga qarshi himoya;

ISPDN ning xavfsiz o'zaro ulanishini ta'minlash;

xavfsizlik tahlili;

kirishni aniqlash.

Ruxsatsiz harakatlarni blokirovka qilish, signalizatsiya va ro'yxatga olish uchun dasturiy ta'minot asosida kirishni boshqarish, ro'yxatga olish va hisobga olish quyi tizimini joriy qilish tavsiya etiladi. Bular maxsus bo'lib, hech birining yadrosiga kiritilmagan operatsion tizim operatsion tizimlarning o'zini himoya qilishning dasturiy va apparat-dasturiy vositalari, shaxsiy ma'lumotlarning elektron ma'lumotlar bazalari va amaliy dasturlar. Ular himoya funktsiyalarini mustaqil ravishda yoki boshqa himoya vositalari bilan birgalikda bajaradilar va foydalanuvchi yoki huquqbuzarning ISPD uchun xavfli bo'lgan harakatlarini istisno qilish yoki bajarishga to'sqinlik qilishga qaratilgan. Bularga diagnostika, ro'yxatga olish, yo'q qilish, signalizatsiya va imitatsiya funktsiyalarini amalga oshiradigan maxsus yordamchi dasturlar va himoya dasturiy komplekslari kiradi.

Diagnostika vositalari fayl tizimi va PD ma'lumotlar bazalarini sinovdan o'tkazadi, doimiy ravishda axborot xavfsizligi quyi tizimi elementlarining ishlashi haqida ma'lumot to'playdi.

Yo'q qilish vositalari qoldiq ma'lumotlarni yo'q qilish uchun mo'ljallangan va tizim tomonidan bloklana olmaydigan ruxsatsiz hujum tahdidi yuzaga kelganda favqulodda ma'lumotlarni yo'q qilishni ta'minlaydi.

Signal vositalari operatorlarni himoyalangan PD larga kirishda ogohlantirish va PD ga ruxsatsiz kirish fakti va PDISning normal ishlashini buzishning boshqa faktlari aniqlanganda ma'murni ogohlantirish uchun mo'ljallangan.

Simulyatsiya vositalari PD yoki dasturiy ta'minotni himoya qilish uchun ruxsatsiz hujumga urinish aniqlanganda qoidabuzarlar bilan ishlashni simulyatsiya qiladi. Imitatsiya sizga geografik jihatdan taqsimlangan tarmoqlarda ayniqsa muhim bo'lgan UANning joylashuvi va tabiatini aniqlash vaqtini ko'paytirishga va himoyalangan PDning joylashuvi haqida qoidabuzarga noto'g'ri ma'lumot berishga imkon beradi.

Butunlikni ta'minlash uchun quyi tizim asosan operatsion tizimlar va ma'lumotlar bazasini boshqarish tizimlari tomonidan amalga oshiriladi. Operatsion tizimlar va ma'lumotlar bazasini boshqarish tizimlariga o'rnatilgan uzatilayotgan ma'lumotlarning ishonchliligini va yaxlitligini va tranzaktsiyalarning ishonchliligini oshirish vositalari nazorat summalarini hisoblash, xabarlar paketini uzatishda xatolik haqida xabar berish va xabarlarni qayta uzatishga asoslanadi. qabul qilinmagan paket.

E'lon qilinmagan imkoniyatlarning yo'qligi monitoringi quyi tizimi ko'p hollarda ma'lumotlar bazasini boshqarish tizimlari, axborotni himoya qilish vositalari va virusga qarshi ma'lumotlarni himoya qilish vositalari asosida amalga oshiriladi.

Shaxsiy ma'lumotlarning xavfsizligini va ushbu ma'lumotlarni qayta ishlaydigan ISPD dasturiy-apparat muhitini ta'minlash uchun quyidagi ishlarni bajaradigan maxsus virusga qarshi himoya vositalaridan foydalanish tavsiya etiladi:

butun tizimga va qo'llaniladigan halokatli virusli ta'sirlarni aniqlash va (yoki) blokirovka qilish dasturiy ta'minot PD qayta ishlashni, shuningdek PDni qayta ishlashni amalga oshiradigan;

noma'lum viruslarni aniqlash va yo'q qilish;

ushbu antivirus vositasi ishga tushirilganda o'z-o'zini nazorat qilishni (infektsiyaning oldini olish) ta'minlash.

Virusga qarshi himoya vositalarini tanlashda quyidagi omillarni hisobga olish tavsiya etiladi:

ushbu vositalarning standart ISPD dasturiy ta'minoti bilan mosligi;

asosiy maqsad uchun ISPDn ishlashining unumdorligini pasaytirish darajasi;

ISPDda axborot xavfsizligi ma'murining ish joyidan antivirus himoyasi ishlashini markazlashtirilgan nazorat qilish vositalarining mavjudligi;

dasturiy va matematik ta'sirlarning (PMA) namoyon bo'lishining barcha hodisalari va faktlari to'g'risida ISPDdagi axborot xavfsizligi ma'murini zudlik bilan xabardor qilish imkoniyati;

virusga qarshi himoyaning ishlashi bo'yicha batafsil hujjatlar mavjudligi;

antivirus himoyasini vaqti-vaqti bilan sinab ko'rish yoki o'z-o'zini sinab ko'rish imkoniyati;

ISPD samaradorligi va boshqa himoya vositalari bilan "mojaro" bo'yicha sezilarli cheklovlarsiz yangi qo'shimcha vositalar bilan PMA dan himoya vositalarining tarkibini oshirish imkoniyati.

Virusga qarshi himoya vositalarini o'rnatish, sozlash, sozlash va boshqarish tartibining tavsifi, shuningdek, virus hujumi yoki dasturiy va matematik ta'sirlardan himoya qilish talablarining boshqa buzilishi faktlari aniqlangan taqdirda harakatlar tartibi. ISPDN da axborot xavfsizligi ma'muri qo'llanmasiga kiritilishi kerak.

O'zaro ulanish vaqtida ISPD resurslariga kirishni farqlash uchun dasturiy ta'minot va dasturiy ta'minot va apparat xavfsizlik devori (ME) tomonidan amalga oshiriladigan xavfsizlik devori qo'llaniladi. Ichki tarmoq deb ataladigan himoyalangan tarmoq va tashqi tarmoq o'rtasida xavfsizlik devori o'rnatiladi. Xavfsizlik devori himoyalangan tarmoqning bir qismidir. Buning uchun sozlamalar orqali ichki tarmoqdan tashqi tarmoqqa va aksincha kirishni cheklaydigan qoidalar alohida o'rnatiladi.

3 va 4-sinf ISPDN-da xavfsiz ulanishni ta'minlash uchun xavfsizlikning kamida beshinchi darajasidagi ME-dan foydalanish tavsiya etiladi.

2-sinf ISPDda xavfsiz o'zaro ulanishni ta'minlash uchun kamida to'rtinchi xavfsizlik darajasidagi ME dan foydalanish tavsiya etiladi.

1-sinf ISPDda xavfsiz ulanishni ta'minlash uchun kamida uchinchi xavfsizlik darajasidagi ME dan foydalanish tavsiya etiladi.

Xavfsizlikni tahlil qilish quyi tizimi sinov (xavfsizlik tahlili) va axborot xavfsizligini nazorat qilish (audit) vositalaridan foydalanish asosida amalga oshiriladi.

Xavfsizlikni tahlil qilish vositalari ish stantsiyalari va serverlarida operatsion tizimlarning himoya sozlamalarini nazorat qilish va buzg'unchilarning tarmoq uskunalariga hujum qilish ehtimolini baholash va dasturiy ta'minot xavfsizligini nazorat qilish uchun ishlatiladi. Buning uchun ular tarmoq topologiyasini tadqiq qiladilar, himoyalanmagan yoki ruxsatsiz qidiradilar tarmoq ulanishlari xavfsizlik devori sozlamalarini tekshiring. Bunday tahlil asosida amalga oshiriladi batafsil tavsiflar xavfsizlik sozlamalaridagi zaifliklar (masalan, kalitlar, marshrutizatorlar, xavfsizlik devorlari) yoki operatsion tizimlar yoki amaliy dasturlardagi zaifliklar. Xavfsizlikni tahlil qilish vositasining ishlashi natijasi aniqlangan zaifliklar haqidagi ma'lumotlarni umumlashtiradigan hisobotdir.

Zaiflik detektorlari tarmoq qatlamida (bu holda ular "tarmoqqa asoslangan" deb ataladi), operatsion tizimda ("xostga asoslangan") va dasturda ("ilovaga asoslangan") ishlashi mumkin. Skanerlash dasturidan foydalanib, siz tezda barcha mavjud ISPD tugunlarining xaritasini tuzishingiz, ularning har birida ishlatiladigan xizmatlar va protokollarni aniqlashingiz, ularning asosiy sozlamalarini aniqlashingiz va ruxsatsiz xizmatni amalga oshirish ehtimoli haqida taxminlar qilishingiz mumkin.

Tizimni skanerlash natijalari boʻyicha aniqlangan kamchiliklarni bartaraf etish boʻyicha tavsiya va chora-tadbirlar ishlab chiqiladi.

Bosqinlarni aniqlash tizimlari o'zaro bog'lanish orqali hujumni aniqlash tahdidlarini aniqlash uchun ishlatiladi. Bunday tizimlar hujumlarni amalga oshirishning o'ziga xos xususiyatlarini, ularning rivojlanish bosqichlarini hisobga olgan holda quriladi va hujumlarni aniqlashning bir qator usullariga asoslanadi.

Hujumni aniqlash usullarining uchta guruhi mavjud:

imzolash usullari;

anomaliyalarni aniqlash usullari;

estrodiol usullar (imzo va anomaliyalarni aniqlash usullarida belgilangan algoritmlardan birgalikda foydalanish).

3 va 4-sinflarning ISPDN ga bosqinlarni aniqlash uchun imzo tahlili usullaridan foydalanadigan tarmoq hujumlarini aniqlash tizimlaridan foydalanish tavsiya etiladi.

1 va 2-sinf ISPDlarga bosqinlarni aniqlash uchun imzo tahlili usullari bilan bir qatorda anomaliyalarni aniqlash usullaridan foydalanadigan tarmoq hujumlarini aniqlash tizimlaridan foydalanish tavsiya etiladi.

Shaxsiy ma'lumotlarni texnik kanallar orqali sizib chiqishidan himoya qilish uchun akustik (nutq), turdagi ma'lumotlarning sizib chiqishini, shuningdek, ma'lumotlarning yon tomondan chiqib ketishini bartaraf etish uchun tashkiliy va texnik choralar qo'llaniladi. elektromagnit nurlanish va olib boradi.

Ishning ikkinchi bobi bo'yicha xulosa sifatida biz quyidagi xulosalarni chiqaramiz. Shaxsiy ma'lumotlarni himoya qilish - bu axborotni va uni qo'llab-quvvatlovchi infratuzilmani ushbu ma'lumotlarning egalari yoki foydalanuvchilariga zarar etkazishi mumkin bo'lgan tabiiy yoki sun'iy xarakterdagi tasodifiy yoki qasddan ta'sirlardan himoya qilish holati.Buxgalteriya hisobida axborot xavfsizligi ob'ektlari belgilanadi: axborot. tijorat siri sifatida tasniflangan ma'lumotlarni o'z ichiga olgan resurslar va axborotlashtirish vositalari va tizimlari. Axborotni himoya qilish doirasida qo'llaniladigan asosiy usullar: aniqlash va bevosita himoya qilish.

XULOSA

Iqtisodiy ob'ektlarning axborot xavfsizligi muammosi ko'p qirrali bo'lib, yanada chuqurroq ishlab chiqishni talab qiladi.

Zamonaviy dunyoda axborotlashtirish strategik milliy resursga, iqtisodiy rivojlangan davlatning asosiy boyliklaridan biriga aylanib bormoqda. Rossiyada axborotlashtirishning jadal rivojlanishi, uning shaxs, jamiyat va davlat hayotiy manfaatlarining barcha sohalariga kirib borishi shubhasiz afzalliklarga qo'shimcha ravishda bir qator muhim muammolarning paydo bo'lishiga olib keldi. Ulardan biri axborotni himoya qilish zarurati edi. Hozirgi vaqtda iqtisodiy salohiyat axborot infratuzilmasining rivojlanish darajasi bilan ko'proq belgilanayotganini hisobga olsak, iqtisodiyotning axborot ta'siriga potentsial zaifligi mutanosib ravishda oshib bormoqda.

Axborot xavfsizligiga tahdidlarni amalga oshirish axborotning maxfiyligi, yaxlitligi va mavjudligini buzish hisoblanadi. Axborotni himoya qilishga tizimli yondashuv nuqtai nazaridan iqtisodiy ob'ektning barcha tarkibiy elementlarida va axborotni qayta ishlashning texnologik tsiklining barcha bosqichlarida mavjud himoya vositalarining butun arsenalidan foydalanish kerak. Himoya qilish usullari va vositalari himoyalangan sirlarga ruxsatsiz kirishning mumkin bo'lgan yo'llarini ishonchli tarzda to'sib qo'yishi kerak. Axborot xavfsizligini ta'minlash samaradorligi uni amalga oshirish xarajatlari axborot tahdidlarini amalga oshirishdan mumkin bo'lgan yo'qotishlardan oshmasligini anglatadi. Axborot xavfsizligini rejalashtirish har bir xizmat tomonidan batafsil axborot xavfsizligi rejalarini ishlab chiqish orqali amalga oshiriladi. Foydalanuvchilarning ma'lum turdagi ma'lumotlarga kirish vakolatlari va huquqlarini amalga oshirishda, himoya vositalarini nazorat qilishni ta'minlashda va ularning ishdan chiqishiga darhol javob berishda aniqlik kerak.

ADABIYOTLAR RO'YXATI

1.Bank ishida avtomatlashtirilgan axborot texnologiyalari / ed. prof. G.A. Titorenko. - M .: Finstatinform, 2007

2.Iqtisodiyotda avtomatlashtirilgan axborot texnologiyalari / Ed. prof. G.A. Titorenko. - M .: UNITI, 2010

.Ageev A.S. Axborotni himoya qilishni tashkil etish va zamonaviy usullari. - M .: "Bank. Biznes markazi" kontserni, 2009 yil

.Adzhiev, V. Dasturiy ta'minot xavfsizligi haqidagi afsonalar: mashhur ofatlardan saboqlar. - Ochiq tizimlar, 199. No 6

.Alekseev va V.I. Munitsipalitetlarning axborot xavfsizligi. - Voronej: VSTU nashriyoti, 2008 yil.

.Alekseev, V.M. Axborot texnologiyalari xavfsizligini baholashning xalqaro mezonlari va ularning amaliy foydalanish: Darslik. - Penza: Penz nashriyoti. davlat Universitet, 2002 yil

.Alekseev, V.M. Axborotni ruxsatsiz kirishdan himoya qilishni tartibga soluvchi yordam. - Penza: Penz nashriyoti. davlat Universitet, 2007 yil

.Alekseev, V.M. Dasturiy ta'minotni ishlab chiqishda axborot xavfsizligini ta'minlash. - Penza: Penz nashriyoti. davlat Universitet, 2008 yil

.Aleshin, L.I. Axborot xavfsizligi va axborot xavfsizligi: L. I. Aleshin ma'ruzalari; Moskva davlat madaniyatdan tashqari. - M .: Mosk. davlat Madaniyat universiteti, 2010 yil

.Axramenka, N.F. Jinoyat va jazo to'lov tizimi bilan elektron hujjatlar// Axborot xavfsizligini boshqarish, 1998 yil

.Banklar va bank operatsiyalari. Darslik / Ed. E.F. Jukov. - M .: Banklar va fond birjalari, UNITI, 2008

.Barsukov, V.S. Xavfsizlik: texnologiyalar, vositalar, xizmatlar. - M .: Kudits - Rasm, 2007 yil

.Baturin, Yu.M. Kompyuter qonuni muammolari. - M .: Jurid. lit., 1991 yil

.Baturin, Yu.M. Kompyuter jinoyati va kompyuter xavfsizligi. M .: Jur.lit., 2009 yil

.Bezrukov, N.N. Hisoblash virusologiyasiga kirish. Umumiy tamoyillar M5-005 da eng keng tarqalgan viruslarning ishlashi, tasnifi va katalogi. K., 2005 yil

.Bykov, V.A. Elektron biznes va xavfsizlik / V. A. Bykov. - M .: Radio va aloqa, 2000 yil

.Varfolomeev, A.A. Axborot xavfsizligi. Kriptologiyaning matematik asoslari. 1-qism. - Moskva: MEPhI, 1995 yil

.Vexov, V.B. Kompyuter jinoyatlari: sodir etish va fosh qilish usullari. - M .: Qonun va huquq, 1996 yil

.Volobuev, S.V. Axborot xavfsizligi bo'yicha taqdimot. - Obninsk: Obn. Atom energiyasi instituti, 2001 yil

.Volobuev, S.V. Axborot xavfsizligi avtomatlashtirilgan tizimlar... - Obninsk: Obn. Atom energiyasi instituti, 2001 yil

."Oliy ta'lim tizimida axborot xavfsizligi" Butunrossiya ilmiy-amaliy konferentsiyasi, 28-29 noyabr. 2000, NSTU, Novosibirsk, Rossiya: IBVSh 2000. - Novosibirsk, 2001 y.

23.Galatenko, V.A. Axborot xavfsizligi: amaliy yondashuv V. A. Galatenko; Ed. VB Betelin; O'sgan. akad. Fanlar, Nauchn.-issled. Tizimlar instituti. adashgan. - M .: Nauka, 1998 yil

.Galatenko, V.A .. Axborot xavfsizligi asoslari: Ma'ruzalar kursi. - M .: Internet-Un-t ma'lumot. texnologiyalar, 2003 yil

.Gennadieva, E.G. Informatika fanining nazariy asoslari va axborot xavfsizligi. - M .: Radio va aloqa, 2000 yil

.Geek, Sebastyan Narchis. Dis formatidagi BMP grafik fayllaridagi ma'lumotlarni yashirish. ... Cand. texnologiya. Fanlar: 05.13.19 - SPb., 2001 yil

.Gika, S.N. BMP formatidagi grafik fayllarda ma'lumotlarni yashirish: Avtoref. dis. ... Cand. texnologiya. Fanlar: 05.13.19 S.-Peterburg. davlat in-t toch. mexanika va optika. - SPb., 2001 yil

.Golubev, V.V. Xavfsizlik boshqaruvi. - Sankt-Peterburg: Pyotr, 2004 yil

.Gorbatov, V.S. Axborot xavfsizligi. Huquqiy himoya asoslari. - M .: MEPhI (TU), 1995 yil

.Gorlova, I.I., ed. Axborot erkinligi va axborot xavfsizligi: Xalqaro materiallar. ilmiy. Konf., Krasnodar, 30-31 oktyabr. 2001 yil - Krasnodar, 2001 yil

.Greensberg, A.S. va boshqa davlat boshqaruvi axborot resurslarini himoya qilish. - M .: UNITI, 2003 yil

."INFORUM-5" global axborot jamiyati kontekstida Rossiyaning axborot xavfsizligi: shanba. 5-Vseros materiallari. Konf., Moskva, 4-5 fevral 2003 yil - M .: OOO Ed. zhurn. Rossiyaning biznes va xavfsizligi, 2003 yil

.Axborot xavfsizligi: Sent. usuli. materiallar M-in ta'lim Ros. Federatsiya [va boshqalar]. - M .: TSNIIATOMINFORM, 2003 yil

34.Axborot texnologiyalari// Iqtisodiyot va hayot. № 25, 2001 y

35.Marketingda axborot texnologiyalari: Universitetlar uchun darslik. - Moskva: 2003

.Iqtisodiyot va boshqaruvda axborot texnologiyalari: Darslik / Kozyrev A.A. - M .: Mixaylov V.A. nashriyoti, 2005 yil

.Lopatin, V.N. Rossiyaning axborot xavfsizligi Dis. ... doktor jurid. Fanlar: 12.00.01

.Lukashin, V.I. Axborot xavfsizligi. - M .: Mosk. davlat Iqtisodiyot, statistika va informatika universiteti

.Luchin, I.N., Jeldakov A.A., Kuznetsov N.A. Parolni buzish // Huquqni muhofaza qilish tizimlarini axborotlashtirish. M., 1996 yil

.Makklar, Styuart. Internetni buzish. Hujumlar va mudofaa Styuart Makklar, Saumil Shoh, Shrirai Shoh. - M .: Uilyams, 2003 yil

.Malyuk, A.A. Ma'lumotlarni qayta ishlash tizimlarida axborot xavfsizligi darajasini bashoratli baholashni rasmiylashtirishning nazariy asoslari. - M .: MEPhI, 1998 SPb., 2000

.Axborot xavfsizligi tizimlarining iqtisodiy samaradorligi. P.P. Chebotar - Moldova iqtisodiyot akademiyasi, 2003 yil

.Yakovlev, V.V. Axborot xavfsizligi va axborotni himoya qilish korporativ tarmoqlar temir yo'l transporti. - M., 2002 yil

.Yarochkin, V.I. Axborot xavfsizligi. - M .: Mir, 2003 yil

.Yarochkin, V.I. Axborot xavfsizligi. - M .: "Mir" jamg'armasi, 2003 yil: akad. Loyiha

.Yasenev, V.N. Iqtisodiyotda avtomatlashtirilgan axborot tizimlari va ularning xavfsizligini ta’minlash: Qo'llanma... - N. Novgorod, 2002 yil

Shu kabi ishlar - Onlayn bank tizimlarida shaxsiy ma'lumotlarni himoya qilish

Marina Proxorova,"Shaxsiy ma'lumotlar" jurnali muharriri

Natalya Samoylova,"InfoTechnoProekt" kompaniyasining advokati

Shaxsiy ma'lumotlarni qayta ishlash sohasida bugungi kunga qadar ishlab chiqilgan qonunchilik bazasi, tashkilotlarda shaxsiy ma'lumotlarni himoya qilish bo'yicha ishlarni yanada samarali tashkil etish uchun hali qabul qilinishi kerak bo'lgan hujjatlar, shaxsiy ma'lumotlar operatorlari uchun axborot tizimlarini tayyorlashning texnik jihatlari ma'lumotlar - bu shaxsiy ma'lumotlar muammosiga bag'ishlangan ko'plab gazeta va jurnal nashrlarida yaqinda muhokama qilingan mavzular. Ushbu maqolada men bank-kredit tashkilotlari ishini tashkil etishning ushbu tashkilotlarda qayta ishlangan shaxsiy ma'lumotlarning "texnik bo'lmagan" himoyasi kabi jihatiga to'xtalib o'tmoqchiman.

Keling, aniq bir misol bilan boshlaylik

Biz 2008 yil iyun oyida Sberbankga qarshi qo'zg'atilgan shaxsiy ma'lumotlarni himoya qilish bo'yicha ishning sud tomonidan ko'rib chiqilishi haqida gapiramiz. Sud jarayonining mohiyati quyidagicha edi. Fuqaro bilan bank o‘rtasida kafillik shartnomasi tuzilib, unga muvofiq fuqaro qarz oluvchining kredit shartnomasi bo‘yicha majburiyatlarini bajarganligi uchun bank oldida javob berish majburiyatini o‘z zimmasiga olgan. Ikkinchisi kredit shartnomasida belgilangan muddatda o‘z majburiyatlarini bajarmaganligi, kafolat beruvchining ishonchsiz mijoz sifatidagi ma’lumotlar bankning “Stop list” avtomatlashtirilgan axborot tizimiga kiritilganligi, bu esa o‘z navbatida, kredit shartnomasini tuzishni rad etish uchun asos bo‘lgan. unga qarz bering. Shu bilan birga, bank fuqaroni qarz oluvchi tomonidan kredit shartnomasi bo'yicha o'z majburiyatlarini lozim darajada bajarmaganligi haqida hatto xabardor qilmagan. Bundan tashqari, kafillik shartnomasida qarz oluvchi o'z majburiyatlarini lozim darajada bajarmagan taqdirda, bank "Stop List" axborot tizimiga kafil to'g'risidagi ma'lumotlarni kiritish huquqiga ega ekanligi ko'rsatilmagan. Shunday qilib, bank fuqaro to'g'risidagi ma'lumotlarni uning roziligisiz "Stop ro'yxati" axborot tizimiga kiritish orqali uning shaxsiy ma'lumotlarini qayta ishlagan, bu San'atning 1-qismi talablarini buzadi. 2006 yil 27 iyuldagi "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ-sonli Federal qonunining 9-moddasi, unga ko'ra shaxsiy ma'lumotlar sub'ekti o'z shaxsiy ma'lumotlarini taqdim etishga qaror qiladi va ularni o'z xohishiga ko'ra va uning manfaatlariga muvofiq qayta ishlashga rozi bo'ladi. Bundan tashqari, San'atning 1-qismida belgilangan tartibda. Shu qonunning 14-moddasiga binoan, fuqaro “Stop list” axborot tizimiga o‘zi haqida kiritilgan ma’lumotlar bilan tanishish imkoniyatini berish, shuningdek, ushbu ma’lumotlarni bloklash va yo‘q qilishni so‘rab bankka murojaat qilgan. Bank fuqaroning talablarini qondirishdan bosh tortdi.

Ishni ko'rib chiqish natijalariga ko'ra, Vladivostokning Leninskiy tuman sudi Roskomnadzorning Primorsk o'lkasi bo'yicha ma'muriyatining Rossiya Sberbankiga nisbatan fuqarolarning buzilgan huquqlarini himoya qilish to'g'risidagi da'volarini qanoatlantirdi va bankka ma'lumotlarni yo'q qilishni buyurdi. Fuqaro toʻxtash roʻyxati axborot tizimidan.

Bu misol qanday dalolat beradi? Banklar o'z mijozlarining katta qismining shaxsiy ma'lumotlarini hech ikkilanmasdan bir ma'lumotlar bazasidan boshqasiga o'tkazadilar va ko'pincha bu haqda shaxsiy ma'lumotlar sub'ektini xabardor qilmasdan, uning shaxsiy ma'lumotlari bilan bunday harakatlarga roziligini olishni nazarda tutmaydilar. ma'lumotlar. Albatta, bank ishi bir qator xususiyatlarga ega va ko'pincha mijozlarning shaxsiy ma'lumotlari nafaqat bank tomonidan tuzilgan shartnomalarni bajarish uchun, balki bankning mijozning majburiyatlari bajarilishini nazorat qilish uchun ham qo'llaniladi, ammo bu har qanday manipulyatsiyani anglatadi. shaxsiy ma'lumotlar bilan allaqachon ularning sub'ektining roziligini talab qiladi. ...

Qoidalarni talqin qilishda qiyinchiliklar

Nega shaxsiy ma'lumotlar bilan hech qanday operatsiyalarni qonuniy qilmaysiz? Albatta, bu uchinchi tomon mutaxassislarini jalb qilishni talab qiladi, chunki hatto yirik banklarning yuridik bo'limlari advokatlari ham faqat ma'lum bir sohada birinchi darajali mutaxassislardir va ular ishning o'ziga xos xususiyatlari bilan tanishishlari kerak. shaxsiy ma'lumotlar sohasi deyarli noldan. Shunday qilib, eng yaxshi yo'l - shaxsiy ma'lumotlar bilan ishlashni tashkil etish bo'yicha xizmatlar ko'rsatishga ixtisoslashgan kompaniyalarni, shu jumladan siz ko'rayotgan texnik bo'lmagan himoya choralarining qonun chiqaruvchining talablariga muvofiqligini tekshirishga qodir bo'lgan kompaniyalarni jalb qilishdir. shaxsiy ma'lumotlarni himoya qilish tizimini tashkil etish ustida ishlash.

Analitik tadqiqotlar natijalari "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ-sonli Federal qonunining qaysi qoidalarini talqin qilish eng katta qiyinchiliklarni keltirib chiqaradi degan xulosaga kelishimizga imkon beradi.

Ushbu me'yoriy hujjatning 22-moddasi 1-qismiga muvofiq, operator vakolatli organni shaxsiy ma'lumotlarni qayta ishlash to'g'risida xabardor qilishi shart. Istisnolar qatorida, qayta ishlangan shaxsiy ma'lumotlar shaxsiy ma'lumotlar sub'ekti taraf bo'lgan shartnoma tuzish munosabati bilan olingan ... va operator tomonidan faqat ushbu shartnomani bajarish uchun foydalanilgan holdir. 152-FZ-sonli "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 22-moddasi 2-qismining 2-bandi. Aynan shu qoida asosida ishlayotgan ba'zi banklar shaxsiy ma'lumotlarga ishlov berish to'g'risida bildirishnoma taqdim etmaydilar va ko'pchilik o'zlarini operator deb hisoblamaydi, bu tubdan noto'g'ri.

Shuningdek, shartnoma bilan bog'liq shaxsiy ma'lumotlar operatorlari sifatida banklarning yana bir keng tarqalgan xatosi quyidagicha. San'atga muvofiq. Yuqorida qayd etilgan qonunning 6-moddasiga binoan, shaxsiy ma'lumotlarni qayta ishlash operator tomonidan shaxsiy ma'lumotlar sub'ektlarining roziligi bilan amalga oshirilishi mumkin, bundan tomonlardan biri shartnomani bajarish maqsadida qayta ishlashni o'z ichiga olgan hollar bundan mustasno. shaxsiy ma'lumotlarning predmeti bo'lgan. Shu sababli, ko'plab bank muassasalari shaxsiy ma'lumotlar sub'ektiga rozilik bermasliklarini aynan shunday shartnoma tuzilganligi bilan izohlaydilar.

Ammo o‘ylab ko‘raylik, bank operator sifatida shartnoma tuzish chog‘ida olingan sub’ektning shaxsiy ma’lumotlaridan, masalan, yangi xizmatlar to‘g‘risida bildirishnoma yuborish, “To‘xtash ro‘yxatlari”ni yuritish uchun foydalanmaydimi? Bu shuni anglatadiki, shaxsiy ma'lumotlarga ishlov berish nafaqat shartnomani bajarish uchun, balki banklar uchun tijorat manfaatdor bo'lgan boshqa maqsadlarda ham amalga oshiriladi, shuning uchun:

• banklar vakolatli organga shaxsiy ma'lumotlarga ishlov berilganligi to'g'risida bildirishnoma taqdim etishlari shart;
• banklar shaxsiy ma'lumotlarni faqat sub'ektning roziligi bilan qayta ishlashlari kerak.

Bu shuni anglatadiki, banklar o'z mijozlarining shaxsiy ma'lumotlari bilan ishlash tizimini tashkil etishlari kerak, ya'ni bunday ma'lumotlarning texnik bo'lmagan himoyasini ta'minlashi kerak.

Shaxsiy ma'lumotlarni qayta ishlashga yozma rozilik

Shaxsiy ma'lumotlar sub'ektining shaxsiy ma'lumotlarni qayta ishlashga roziligiga kelsak, "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ-sonli Federal qonuni operatorlarni faqat qonun hujjatlarida belgilangan hollarda shaxsiy ma'lumotlarni qayta ishlashga yozma rozilik olishga majbur qiladi. Shu bilan birga, San'atning 3-qismiga muvofiq. 9 sub'ektning shaxsiy ma'lumotlarini qayta ishlashga roziligi olinganligini isbotlash majburiyati operatorga yuklanadi. Agar kerak bo'lsa, bunday dalillarni to'plash (masalan, guvohlarni qidirish) bilan vaqtni boy bermaslik uchun, bizningcha, har qanday holatda ham sub'ektlardan yozma ravishda rozilik olgan ma'qul.

Keling, yana bir dalil keltiraylik yozma shakl shaxsiy ma'lumotlarni qayta ishlash. Ko'pincha banklar faoliyati ma'lumotlarni (shu jumladan shaxsiy) xorijiy davlat hududiga o'tkazishni ta'minlaydi. Shu munosabat bilan, San'atning 1-qismi. "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ-sonli Federal qonunining 12-moddasida aytilishicha, shaxsiy ma'lumotlarni transchegaraviy uzatish boshlanishidan oldin operator shaxsiy ma'lumotlarni o'tkazish hududiga amalga oshirilayotgan xorijiy davlatga ishonch hosil qilishi kerak. , shaxsiy ma'lumotlar sub'ektlarining huquqlarini etarli darajada himoya qilishni ta'minlaydi. Agar bunday himoya ta'minlanmagan bo'lsa, shaxsiy ma'lumotlarni transchegaraviy uzatish faqat shaxsiy ma'lumotlar sub'ektining yozma roziligi bilan mumkin. Taxmin qilish mumkinki, bank xodimi uchun shaxsiy ma'lumotlarni qayta ishlash uchun mijozdan yozma rozilik olish xorijiy davlatda ularni himoya qilishning etarlilik darajasini belgilashdan ko'ra osonroqdir.

Sizning e'tiboringizni yozma rozilikda bo'lishi kerak bo'lgan ma'lumotlar San'atning 4-qismida keltirilganligiga qaratamiz. Yuqorida aytib o'tilgan Federal qonunning 9-moddasi va bu ro'yxat to'liqdir. Va ibora ostida imzo, masalan, kredit shartnomasida: "Men shaxsiy ma'lumotlarimdan foydalanishga roziman", "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ-sonli Federal qonuniga binoan, ularni qayta ishlashga rozilik emas!

Ko'rinishidan, qonunning bir nechta bandlari bor va sud jarayonigacha qancha qiyinchiliklar ularning noto'g'ri talqin qilinishiga olib kelishi mumkin. Bundan tashqari, bugungi kunda sub'ektlarning shaxsiy ma'lumotlari ko'pincha turli tuzilmalar raqobatida tovarga aylanib borayotgan bir paytda, ularni himoya qilish, bank-kredit tashkilotlari axborot tizimlari xavfsizligini ta'minlash masalalarini muvaffaqiyatli hal etish obro'-e'tibor va obro'-e'tiborni saqlash kafolatiga aylanadi. har qanday tashkilotning halol nomi.

Har kuni fuqarolarning shaxsiy ma'lumotlarini tarqatishning mumkin bo'lgan salbiy oqibatlari to'g'risida xabardorligi ortib bormoqda, bu esa ixtisoslashtirilgan nashrlarning paydo bo'lishi bilan yordam beradi. Axborot resurslari ham mavjud turli kompaniyalar... Ulardan ba'zilari odatda "axborot xavfsizligi" tushunchasi bilan bog'liq masalalarning butun doirasini qamrab oladi, boshqalari texnik himoya choralari va vositalarini ko'rib chiqishga bag'ishlangan, kimdir, aksincha, texnik bo'lmagan himoya bilan bog'liq muammolarga e'tibor qaratadi. . Ya’ni, shaxsiy ma’lumotlarni himoya qilish bo‘yicha ma’lumotlar tobora kengayib bormoqda, bu esa fuqarolarning o‘z huquqlarini himoya qilish sohasida bilimli bo‘lishini anglatadi.

Bu, ayniqsa, "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ 18-moddasining 5-qismiga qo'shilishi munosabati bilan xorijiy kompaniyalarning Rossiya bo'linmalari uchun mashhur bo'ldi: Shaxsiy malumot Rossiya Federatsiyasi fuqarolari Rossiya Federatsiyasi hududida joylashgan ma'lumotlar bazalaridan foydalangan holda " . Qonunda bir qator istisnolar mavjud, ammo siz regulyator tomonidan tekshirilganda, "lekin bu bizga tegishli emas" dan ko'ra ishonchliroq kozozlarga ega bo'lishni xohlayotganiga rozi bo'lishingiz kerak.

Qoidabuzarlar uchun jazo juda jiddiy. Internet-do'konlar, ijtimoiy tarmoqlar, ma'lumot saytlari, boshqa biznes bilan bog'liq Internet nazorat organlarining da'volari bo'lsa, ular haqiqatda yopilishi mumkin. Ehtimol, birinchi tekshiruv vaqtida regulyator kamchiliklarni bartaraf etish uchun vaqt beradi, lekin vaqt odatda cheklangan. Agar muammo juda tez hal etilmasa (buni dastlabki tayyorgarliksiz qilish qiyin), yo'qotishlarni hech qanday tarzda qoplash mumkin emas. Veb-saytlarni blokirovka qilish nafaqat savdoning to'xtatilishiga olib keladi, balki bozor ulushini yo'qotishni anglatadi.

Oflayn kompaniyalar uchun shaxsiy ma'lumotlar to'g'risidagi qonunni buzganlarning "qora ro'yxati" ning paydo bo'lishi unchalik dramatik emas. Ammo bu obro'-e'tiborga xavf tug'diradi, bu xorijiy kompaniyalar uchun muhim omil hisoblanadi. Bundan tashqari, endi shaxsiy ma'lumotlarni himoya qilish bilan bog'liq bo'lmagan deyarli hech qanday faoliyat qolmadi. Banklar, savdo, hatto ishlab chiqarish - barchasi mijozlar bazasini saqlab turadi, ya'ni ular tegishli qonunlarga bo'ysunadi.

Bu erda shuni tushunish kerakki, masalani kompaniyalar ichida ham alohida ko'rib bo'lmaydi. Sertifikatlangan xavfsizlik choralarini serverlarga o'rnatish va qog'oz kartalarni seyflarda qulflash orqali shaxsiy ma'lumotlarning himoyasini cheklash mumkin bo'lmaydi. Shaxsiy ma'lumotlar kompaniyaga juda ko'p kirish nuqtalariga ega - savdo bo'limlari, kadrlar bo'limi, mijozlarga xizmat ko'rsatish bo'limlari, ba'zan o'quv markazlari, xarid komissiyalari va boshqa bo'limlar. Shaxsiy ma'lumotlarni himoya qilishni boshqarish murakkab jarayon bo'lib, unga ta'sir qiladi IT, hujjat aylanishi, nizomlar, huquqiy ro'yxatga olish.

Keling, bunday jarayonni boshlash va davom ettirish uchun nima kerakligini ko'rib chiqaylik.

Qanday ma'lumotlar shaxsiy hisoblanadi

To'g'ridan-to'g'ri yoki bilvosita ma'lum bir shaxsga tegishli bo'lgan har qanday ma'lumot uning shaxsiy ma'lumotlaridir. Eslatma keladi haqida emas, balki odamlar haqida yuridik shaxslar... Ma'lum bo'lishicha, ushbu (shuningdek, tegishli) ma'lumotlarni himoya qilishni boshlash uchun to'liq ism va yashash manzilini ko'rsatish kifoya. Biroq, olish elektron pochta imzo shaklida kimningdir shaxsiy ma'lumotlari bilan va telefon raqami hali ularni himoya qilish uchun sabab emas. Kalit atama: "Shaxsiy ma'lumotlarni yig'ish kontseptsiyasi". Kontekstga aniqlik kiritish uchun “Shaxsiy ma’lumotlar to‘g‘risida”gi qonunning bir nechta moddalarini ta’kidlab o‘tmoqchiman.

5-modda. Shaxsiy ma'lumotlarni qayta ishlash tamoyillari. Sizning aniq maqsadlaringiz bo'lishi kerak, bu ma'lumotlar nima uchun to'planishini aniq ko'rsatib beradi. Aks holda, boshqa barcha qoidalar va qoidalarga to'liq rioya qilingan taqdirda ham, sanktsiyalar qo'llanilishi mumkin.

10-modda. Shaxsiy ma'lumotlarning maxsus toifalari. Masalan, HR sayohat cheklovlarini, shu jumladan ayol xodimlar uchun homiladorlikni qayd etishi mumkin. Albatta, bunday qo'shimcha ma'lumotlar ham himoyalangan. Bu shaxsiy ma'lumotlar tushunchasini, shuningdek, himoyaga e'tibor berishingiz kerak bo'lgan kompaniyaning bo'limlari va ma'lumotlar omborlari ro'yxatini sezilarli darajada kengaytiradi.

12-modda. Shaxsiy ma'lumotlarni transchegaraviy uzatish. Agar Rossiya Federatsiyasi fuqarolari to'g'risidagi ma'lumotlarga ega bo'lgan axborot tizimi Shaxsiy ma'lumotlarni himoya qilish to'g'risidagi konventsiyani ratifikatsiya qilmagan mamlakat hududida joylashgan bo'lsa (masalan, Isroilda), siz Rossiya qonunchiligi qoidalariga rioya qilishingiz kerak.

22-modda. Shaxsiy ma'lumotlarni qayta ishlash to'g'risidagi xabar. Regulyatorning ortiqcha e'tiborini jalb qilmaslik uchun zaruriy shart. Shaxsiy ma'lumotlar bilan bog'liq biznes yuritish - tekshirishlarni kutmasdan, o'zingiz xabar bering.

Shaxsiy ma'lumotlar qayerda joylashgan bo'lishi mumkin?

Texnik jihatdan, PD har qanday joyda, bosma ommaviy axborot vositalaridan (qog'oz fayl shkaflari) mashina vositalarigacha ( qattiq disklar, flesh-disklar, kompakt disklar va boshqalar). Ya'ni, diqqat markazida ISPDN (shaxsiy ma'lumotlar axborot tizimlari) ta'rifiga kiruvchi har qanday ma'lumotlarni saqlash hisoblanadi.

Joylashuv geografiyasi alohida katta savol. Bir tomondan, ruslarning shaxsiy ma'lumotlari ( shaxslar Rossiya Federatsiyasi fuqarolari) Rossiya Federatsiyasi hududida saqlanishi kerak. Boshqa tomondan, hozirgi vaqtda u haqiqatdan ham ko'ra vaziyatning rivojlanishi uchun vektordir. Ko'pgina xalqaro va eksport kompaniyalari, turli xoldinglar, qo'shma korxonalar tarixan taqsimlangan infratuzilmaga ega - va bu bir kechada o'zgarmaydi. Deyarli hozir darhol tuzatilishi kerak bo'lgan shaxsiy ma'lumotlarni saqlash va himoya qilish usullaridan farqli o'laroq.

PDni ro'yxatga olish, tashkil etish, to'plash, saqlash, yangilash (yangilash, o'zgartirish), chiqarish bilan shug'ullanadigan bo'limlarning minimal ro'yxati:

• Kadrlar xizmati.
• Savdo bo'limi.
• Yuridik bo'lim.

Kamdan-kam hollarda mukammal tartib mavjud bo'lgani uchun, aslida, eng oldindan aytib bo'lmaydigan birliklar ko'pincha ushbu "kutilgan" ro'yxatga qo'shilishi mumkin. Misol uchun, omborda etkazib beruvchilar to'g'risida shaxsiy ma'lumotlar bo'lishi mumkin yoki xavfsizlik xizmati hududga kirganlarning barchasini batafsil qayd etishi mumkin. Aytgancha, xodimlar uchun PD tarkibi mijozlar, hamkorlar, pudratchilar, shuningdek, tasodifiy va hatto notanish shaxslar to'g'risidagi ma'lumotlar bilan to'ldirilishi mumkin - ularning PDlari ruxsat olish uchun suratga olish, shaxsiy guvohnomalarni skanerlashda "jinoyat" ga aylanadi. ba'zi boshqa holatlar. ACS (kirishni boshqarish va boshqarish tizimlari) shaxsiy ma'lumotlarni himoya qilish kontekstida osongina muammolar manbai bo'lib xizmat qilishi mumkin. Shuning uchun, "Qaerda?" Degan savolga javob. Qonunga rioya qilish nuqtai nazaridan, bu shunday ko'rinadi: hamma joyda hisobot beriladigan hududda. Aniqrog'i, siz faqat tegishli audit o'tkazish orqali javob berishingiz mumkin. Bu birinchi bosqich loyiha shaxsiy ma'lumotlarni himoya qilish to'g'risida. To'liq ro'yxat uning asosiy bosqichlari:

1) Kompaniyadagi mavjud vaziyatning auditi.

2) Texnik yechimni loyihalash.

3) Shaxsiy ma'lumotlarni himoya qilish jarayonini tayyorlash.

4) Rossiya Federatsiyasi qonunchiligiga va kompaniya qoidalariga muvofiqligi uchun shaxsiy ma'lumotlarni himoya qilish bo'yicha texnik echim va jarayonni tekshirish.

5) Texnik yechimni amalga oshirish.

6) Shaxsiy ma'lumotlarni himoya qilish jarayonini boshlash.

1. Korxonadagi mavjud vaziyatning auditi

Avvalo, shaxsiy ma'lumotlarga ega qog'oz tashuvchilardan foydalangan holda kadrlar bo'limi va boshqa bo'limlarga murojaat qiling:

• Shaxsiy ma'lumotlarni qayta ishlashga rozilik shakllari mavjudmi? Ular to'ldirilgan va imzolanganmi?
• 2008 yil 15 sentyabrdagi 687-sonli «Avtomatlashtirish vositalaridan foydalanmasdan amalga oshiriladigan shaxsiy ma'lumotlarni qayta ishlashning o'ziga xos xususiyatlari to'g'risida»gi Nizomga rioya qilinganmi?

ISPD ning geografik joylashuvini aniqlang:

• Ular qaysi davlatlarda joylashgan?
• Qaysi asosda?
• Ulardan foydalanish bo'yicha shartnomalar bormi?
• PD qochqinning oldini olish uchun qanday texnologik himoya qo'llaniladi?
• Shaxsiy ma'lumotlarni himoya qilish uchun qanday tashkiliy choralar ko'rilmoqda?

Ideal holda, ruslarning shaxsiy ma'lumotlariga ega bo'lgan axborot tizimi "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ qonunining barcha talablariga javob berishi kerak, hatto u chet elda joylashgan bo'lsa ham.

Va nihoyat, tekshirish paytida talab qilinadigan hujjatlarning ta'sirchan ro'yxatiga e'tibor bering (bu hammasi emas, faqat asosiy ro'yxat):

• PD ishlov berish bildirishnomasi.
• PDni qayta ishlashni tashkil etish uchun mas'ul shaxsni belgilaydigan hujjat.
• PD qayta ishlashga qabul qilingan xodimlar ro'yxati.
• PDni saqlash joyini belgilovchi hujjat.
• Shaxsiy ma'lumotlarning maxsus va biometrik toifalarini qayta ishlash bo'yicha yordam.
• Transchegaraviy PD uzatishni amalga oshirish to'g'risidagi guvohnoma.
• PD bilan hujjatlarning odatiy shakllari.
• PDni qayta ishlashga rozilikning odatiy shakli.
• Shaxsiy ma'lumotlarni uchinchi shaxslarga o'tkazish tartibi.
• Shaxsiy ma'lumotlar sub'ektlarining arizalarini ro'yxatga olish tartibi.
• Shaxsiy ma'lumotlarning axborot tizimlari ro'yxati (ISPDN).
• ISPDN-da ma'lumotlarni zaxiralashni tartibga soluvchi hujjatlar.
• Amaldagi axborotni himoya qilish vositalari ro'yxati.
• Shaxsiy ma'lumotlarni yo'q qilish tartibi.
• Kirish matritsasi.
• Tahdid modeli.
• Shaxsiy ma'lumotlarni mashina tashuvchilarni hisobga olish jurnali.
• 2012-yil 1-noyabrdagi “Shaxsiy ma’lumotlar axborot tizimlarida shaxsiy ma’lumotlarni qayta ishlash jarayonida ularni himoya qilishga qo‘yiladigan talablarni tasdiqlash to‘g‘risida”gi PP-1119 ga muvofiq har bir ISPD uchun xavfsizlik darajalarini belgilovchi hujjat.

2. Texnik yechimni loyihalash

Shaxsiy ma'lumotlarni himoya qilish uchun amalga oshirilishi kerak bo'lgan tashkiliy va texnik chora-tadbirlar tavsifi 4-bobda keltirilgan. "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ-sonli Qonunning "Operatorning majburiyatlari". Texnik yechim 2014 yil 21 iyuldagi 242-FZ-sonli Qonunning 2-moddasi qoidalariga asoslanishi kerak.

Ammo PDIS hali ham chet elda bo'lgan taqdirda, Rossiya Federatsiyasi fuqarolarining Rossiya hududidagi qonunlariga rioya qilish va PDni qanday ko'rib chiqish kerak? Bu erda bir nechta variant mavjud:

• Axborot tizimi va ma'lumotlar bazasini Rossiya Federatsiyasi hududiga jismoniy o'tkazish. Agar bu texnik jihatdan mumkin bo'lsa, u eng oson bo'ladi.
• Biz ISPDni chet elda qoldiramiz, lekin Rossiyada biz uning nusxasini yaratamiz va Rossiya Federatsiyasi fuqarolarining shaxsiy ma'lumotlarini rus nusxasidan chet elga bir tomonlama takrorlashni o'rnatamiz. Shu bilan birga, xorijiy tizimda Rossiya Federatsiyasi fuqarolarining shaxsiy ma'lumotlarini o'zgartirish imkoniyatini istisno qilish kerak, barcha tahrirlar faqat Rossiya ISPD orqali amalga oshiriladi.
• Bir nechta ISPD mavjud va ularning barchasi chet elda. O'tkazish qimmat bo'lishi mumkin yoki umuman texnik jihatdan amalga oshirilmasligi mumkin (masalan, siz Rossiya Federatsiyasi fuqarolarining shaxsiy ma'lumotlari bilan ma'lumotlar bazasining bir qismini tanlay olmaysiz va uni Rossiyaga olib kela olmaysiz). Bunday holda, yechim Rossiyadagi serverda har qanday mavjud platformada yangi ISPD yaratish bo'lishi mumkin, u erdan har bir xorijiy ISPDga bir tomonlama replikatsiya amalga oshiriladi. E'tibor bering, platformani tanlash kompaniyada qoladi.

Agar ISPD to'liq va monopolistik tarzda Rossiyaga o'tkazilmagan bo'lsa, transchegaraviy ma'lumotlarni uzatish sertifikatida kimga va qaysi PD to'plami yuborilganligini ko'rsatishni unutmang. Qayta ishlash xabarnomasida siz shaxsiy ma'lumotlarni uzatish maqsadini ko'rsatishingiz kerak. Shunga qaramay, bu maqsad qonuniy va aniq asosli bo'lishi kerak.

3. Shaxsiy ma'lumotlarni himoya qilish jarayonini tayyorlash

Shaxsiy ma'lumotlarni himoya qilish jarayoni kamida quyidagi fikrlarni belgilashi kerak:

• Kompaniyada shaxsiy ma'lumotlarni qayta ishlash uchun mas'ul shaxslar ro'yxati.
• ISPD ga kirishni ta'minlash tartibi. Ideal holda, bu har bir lavozim yoki ma'lum bir xodim uchun kirish darajasiga ega kirish matritsasi (o'qish / o'qish-yozish / o'zgartirish). Yoki har bir lavozim uchun mavjud shaxsiy ma'lumotlar ro'yxati. Bularning barchasi IP-ni amalga oshirishga va kompaniyaning talablariga bog'liq.
• Shaxsiy ma'lumotlarga kirish auditi va kirish darajasini buzgan holda kirishga urinishlarni tahlil qilish.
• Shaxsiy ma'lumotlarning mavjud emasligi sabablarini tahlil qilish.
• PD sub'ektlarining PDga oid so'rovlariga javob berish tartibi.
• Kompaniyadan tashqariga uzatiladigan shaxsiy ma'lumotlar ro'yxatini qayta ko'rib chiqish.
• Shaxsiy ma'lumotlarni, shu jumladan chet elda qabul qiluvchilarni qayta ko'rib chiqish.
• Shaxsiy ma'lumotlar uchun tahdid modelini davriy qayta ko'rib chiqish, shuningdek, tahdid modelining o'zgarishi munosabati bilan shaxsiy ma'lumotlarni himoya qilish darajasini o'zgartirish.
• Kompaniyaning yangilangan hujjatlarini qo'llab-quvvatlash (ro'yxat yuqorida va agar kerak bo'lsa, uni to'ldirish kerak bo'lishi mumkin).

Bu erda siz har bir nuqtani batafsil bayon qilishingiz mumkin, ammo men xavfsizlik darajasiga alohida e'tibor qaratmoqchiman. U quyidagi hujjatlar asosida aniqlanadi (ketma-ket o'qing):

1. «Haqiqiy tahdidlarni aniqlash metodologiyasi xavfsizlik shaxsiy ma'lumotlarning shaxsiy ma'lumotlar tizimlarida qayta ishlash jarayonida "(FSTEC RF 2008 yil 14 fevral).

2. Rossiya Federatsiyasi Hukumatining 2012 yil 1 noyabrdagi 1119-sonli "Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish talablarini tasdiqlash to'g'risida"gi qarori.

3. FSTECning 2013 yil 18 fevraldagi 21-son buyrug'i "Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha tashkiliy-texnik chora-tadbirlarning tarkibi va mazmunini tasdiqlash to'g'risida".

Shuningdek, xarajatlarning bunday toifalariga bo'lgan ehtiyojni hisobga olishni unutmang:

• Tashkilot loyiha jamoasi va loyiha boshqaruvi.
• ISPDN platformalarining har biri uchun ishlab chiquvchilar.
• Server sig'imlari (ma'lumotlar markazida shaxsiy yoki ijaraga olingan).

Loyihaning ikkinchi va uchinchi bosqichlari oxirida siz quyidagilarga ega bo'lishingiz kerak:

• Xarajatlarni hisoblash.
• Sifat talablari.
• Loyihaning shartlari va jadvali.
• Loyihaning texnik va tashkiliy risklari.

4. Texnik yechim va shaxsiy ma'lumotlarni himoya qilish jarayonini Rossiya Federatsiyasi qonunchiligiga va kompaniya qoidalariga muvofiqligini tekshirish

Qisqa, ammo muhim bosqich, unda barcha rejalashtirilgan harakatlar Rossiya Federatsiyasi qonunchiligiga va kompaniya qoidalariga (masalan, xavfsizlik siyosati) zid emasligiga ishonch hosil qilishingiz kerak. Agar bu bajarilmasa, loyiha poydevoriga bomba o'rnatiladi, bu kelajakda "portlashi" mumkin, erishilgan natijalarning afzalliklarini yo'q qiladi.

5. Texnik yechimni amalga oshirish

Bu erda hamma narsa ko'proq yoki kamroq aniq. Xususiyatlar dastlabki vaziyatga va qarorlarga bog'liq. Ammo umuman olganda, siz quyidagi rasmga o'xshash narsalarni olishingiz kerak:

• Server quvvatlari ajratilgan.
• Tarmoq muhandislari yetarli darajada ta'minlangan o'tkazish qobiliyati qabul qiluvchi va PDn uzatuvchi o'rtasidagi kanallar.
• Ishlab chiquvchilar ISPDN ma'lumotlar bazalari o'rtasida replikatsiyani o'rnatdilar.
• Administratorlar chet elda joylashgan ISPDN-dagi o'zgarishlarning oldini oldi.

PDni himoya qilish uchun mas'ul shaxs yoki "jarayon egasi" bir xil yoki boshqacha bo'lishi mumkin. "Jarayon egasi" barcha hujjatlarni tayyorlashi va shaxsiy ma'lumotlarni himoya qilishning butun jarayonini tashkil qilishi kerakligi. Buning uchun barcha manfaatdor tomonlar xabardor qilinishi, xodimlarga ko‘rsatma berilishi, IT xizmati esa ma’lumotlarni himoya qilish bo‘yicha texnik chora-tadbirlarni amalga oshirishga ko‘maklashishi kerak.

6. Shaxsiy ma'lumotlarni himoya qilish jarayonini ishga tushirish

Bu muhim bosqich va qaysidir ma'noda butun loyihaning maqsadi oqimni nazorat qilishdir. Bu erda texnik echimlar va me'yoriy hujjatlardan tashqari, jarayon egasining roli juda muhimdir. U nafaqat qonunchilikdagi, balki IT infratuzilmasidagi o'zgarishlarni kuzatishi kerak. Bu tegishli ko'nikma va malakalar kerakligini anglatadi.

Bundan tashqari, real hayot sharoitida juda muhim bo'lgan PDni himoya qilish jarayonining egasi kompaniya rahbariyatidan barcha zarur vakolatlarga va ma'muriy yordamga muhtoj. Aks holda, u hech kim e'tibor bermaydigan abadiy "murojatchi" bo'lib qoladi va bir muncha vaqt o'tgach, loyihani qayta boshlash mumkin, yana auditdan boshlanadi.

Nuanslar

Ko'zdan kechirish oson bo'lgan bir nechta fikrlar:

• Agar siz ma'lumotlar markazi bilan ishlasangiz, sizga server vositalarini taqdim etish bo'yicha xizmatlar ko'rsatish shartnomasi kerak bo'ladi, unga ko'ra kompaniyangiz ma'lumotlarni qonuniy asosda saqlaydi va ularni nazorat qiladi.
• Shaxsiy ma'lumotlarni to'plash, saqlash va qayta ishlash yoki ijara shartnomalari uchun foydalaniladigan dasturiy ta'minot uchun litsenziya kerak.
• Agar ISPD chet elda joylashgan bo'lsa, u erda tizimga ega bo'lgan kompaniya bilan shartnoma kerak - Rossiya Federatsiyasi qonunchiligiga ruslarning shaxsiy ma'lumotlariga nisbatan rioya etilishini kafolatlash.
• Agar shaxsiy ma'lumotlar kompaniyangizning pudratchisiga (masalan, IT-autsorsing hamkoriga) o'tkazilsa, autsorserdan PD sizib chiqqan taqdirda, siz da'volar uchun javobgar bo'lasiz. O'z navbatida, sizning kompaniyangiz autsorserga da'vo arizasi berishi mumkin. Ehtimol, bu omil ishni autsorsingga o'tkazish haqiqatiga ta'sir qilishi mumkin.

Va yana, eng muhimi, shaxsiy ma'lumotlarning himoyasini olish va ta'minlash mumkin emas. Bu jarayon. Davom etuvchi takrorlanuvchi jarayon, bu qonunchilikdagi keyingi o'zgarishlarga, shuningdek, ushbu normalarni amalda qo'llash formati va qat'iyligiga kuchli bog'liq bo'ladi.