منو
خانهجهت یابی

حفاظت از داده های شخصی در بانک ها آیا بانک ها واقعاً از کارفرمایان درخواست اطلاعات در مورد کارمندان را متوقف خواهند کرد؟ نحوه اطمینان از حفاظت از داده های شخصی در یک شرکت حفاظت از داده های شخصی در یک بانک

به دلیل اضافه شدن بخش 5 ماده 18 به 152-FZ "در مورد داده های شخصی"، به ویژه برای بخش های روسی شرکت های خارجی محبوب شده است: "... اپراتور موظف است از ضبط، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی اطمینان حاصل کند. (به روز رسانی، تغییر)، بازیابی اطلاعات شخصیشهروندان فدراسیون روسیهبا استفاده از پایگاه های داده واقع در قلمرو فدراسیون روسیه" . تعدادی استثنا در قانون وجود دارد، اما باید اعتراف کنید که در صورت بازرسی توسط رگولاتوری، می خواهید برگه های برنده قوی تری نسبت به "اما این به ما مربوط نمی شود" داشته باشید.

مجازات متخلفان بسیار جدی است. فروشگاه های آنلاین، رسانه های اجتماعی، سایت های اطلاعاتی، سایر مشاغل مرتبط با اینترنتدر صورت ادعاهای مقامات نظارتی، ممکن است در واقع بسته شوند. ممکن است در اولین بازرسی به تنظیم کننده زمان داده شود تا نواقص را برطرف کند، اما این دوره معمولاً محدود است. اگر مشکل خیلی سریع حل نشود (که بدون آمادگی قبلی انجام آن دشوار است)، ضرر و زیان به هیچ وجه قابل جبران نیست. مسدود کردن سایت ها نه تنها منجر به توقف فروش می شود، بلکه به معنای از دست دادن سهم بازار است.

ظهور ناقضان قانون داده های شخصی در "لیست سیاه" برای شرکت های آفلاین کمتر چشمگیر است. اما این مستلزم خطرات اعتباری است که عامل مهمی برای شرکت های خارجی است. علاوه بر این، در حال حاضر تقریباً هیچ نوع فعالیتی وجود ندارد که تحت تأثیر محافظت از داده های شخصی قرار نگیرد. بانک ها، تجارت، حتی تولید - همه پایگاه های داده مشتریان را نگهداری می کنند، به این معنی که آنها تابع قوانین مربوطه هستند.

درک این نکته مهم است که در شرکت ها نیز نمی توان این موضوع را به صورت مجزا در نظر گرفت. حفاظت از داده های شخصی نمی تواند به نصب اقدامات امنیتی تایید شده روی سرورها و قفل کردن کارت های کاغذی در گاوصندوق محدود شود. داده های شخصی دارای نقاط ورودی بسیاری به شرکت هستند - بخش های فروش، منابع انسانی، خدمات مشتری، گاهی اوقات مراکز آموزشی، کمیسیون های خرید و سایر بخش ها. مدیریت حفاظت از داده های شخصی یک فرآیند پیچیده است که تأثیر می گذارد آی تی، گردش اسناد، مقررات، ثبت قانونی.

بیایید ببینیم برای اجرا و حفظ چنین فرآیندی چه چیزی لازم است.

چه داده هایی شخصی در نظر گرفته می شوند

به بیان دقیق، هر اطلاعاتی که به طور مستقیم یا غیرمستقیم به یک اطلاعات خاص مربوط می شود به یک فرد- این اطلاعات شخصی اوست. لطفا توجه داشته باشید ما در مورددر مورد مردم نه در مورد اشخاص حقوقی. به نظر می رسد که برای شروع حفاظت از این داده ها (و همچنین مربوط به آن) کافی است نام کامل و آدرس محل سکونت خود را مشخص کنید. با این حال، دریافت پست الکترونیکبا اطلاعات شخصی شخصی به صورت امضا و شماره تلفناین دلیلی برای دفاع از آنها نیست. اصطلاح کلیدی: "مفهوم جمع آوری داده های شخصی." برای روشن شدن زمینه، می خواهم چندین ماده از قانون "در مورد داده های شخصی" را برجسته کنم.

ماده 5. اصول پردازش داده های شخصی. باید اهداف روشنی وجود داشته باشد که مشخص کند چرا اطلاعات جمع آوری می شود. در غیر این صورت، حتی با رعایت کامل سایر قوانین و مقررات، تحریم ها محتمل است.

ماده 10. دسته های ویژه داده های شخصی. به عنوان مثال، بخش منابع انسانی ممکن است محدودیت هایی را در سفرهای کاری، از جمله بارداری کارمندان، ثبت کند. البته چنین است اطلاعات اضافینیز محافظت می شوند. این امر درک داده های شخصی و همچنین لیست بخش ها و مخازن اطلاعات شرکت را که در آنها باید به حفاظت توجه شود، بسیار گسترش می دهد.

ماده 12. انتقال فرامرزی داده های شخصی. اگر یک سیستم اطلاعاتی با داده‌های مربوط به شهروندان فدراسیون روسیه در کشوری قرار دارد که کنوانسیون حفاظت از داده‌های شخصی را تصویب نکرده است (به عنوان مثال، در اسرائیل)، مفاد قوانین روسیه باید رعایت شود.

ماده 22. اطلاع رسانی در مورد پردازش داده های شخصی. پیش نیازی برای عدم جلب توجه نابجا از سوی تنظیم کننده. اگر فعالیت‌های تجاری مرتبط با داده‌های شخصی را انجام می‌دهید، خودتان آن را بدون انتظار برای بازرسی گزارش دهید.

جایی که داده های شخصی ممکن است قرار گیرد

از نظر فنی، PD را می توان در هر مکانی قرار داد، از رسانه چاپی (فایل های کاغذی) تا رسانه ماشین ( دیسک های سخت، درایوهای فلش، سی دی و غیره). یعنی تمرکز بر هر ذخیره سازی داده ای است که تحت تعریف ISPD قرار می گیرد ( سیستم های اطلاعاتیاطلاعات شخصی).

جغرافیای مکان یک مسئله بزرگ جداگانه است. از یک طرف، داده های شخصی روس ها (افرادی که شهروند فدراسیون روسیه هستند) باید در قلمرو فدراسیون روسیه ذخیره شوند. از سوی دیگر، در حال حاضر این بیشتر بردار توسعه وضعیت است تا یک عمل انجام شده. بسیاری از شرکت‌های بین‌المللی و صادراتی، هلدینگ‌های مختلف و سرمایه‌گذاری‌های مشترک در طول تاریخ دارای زیرساخت توزیع‌شده بوده‌اند - و این یک شبه تغییر نخواهد کرد. برخلاف روش‌های ذخیره و حفاظت از داده‌های شخصی، که تقریباً اکنون باید بلافاصله تنظیم شوند.

حداقل فهرست دپارتمان های درگیر در ضبط، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، بازیابی اطلاعات شخصی:

  • خدمات پرسنلی.
  • بخش فروش.
  • بخش قانونی.

از آنجایی که به ندرت نظم کامل وجود دارد، در واقعیت، اغلب غیرقابل پیش بینی ترین واحدها را می توان به این لیست "مورد انتظار" اضافه کرد. به عنوان مثال، یک انبار ممکن است اطلاعات شخصی سازی شده در مورد تامین کنندگان را ثبت کند، یا یک سرویس امنیتی ممکن است سوابق دقیق خود را از هرکسی که وارد محل می شود نگه دارد. بنابراین، به هر حال، ترکیب داده‌های شخصی کارمندان را می‌توان با داده‌های مربوط به مشتریان، شرکا، پیمانکاران و همچنین بازدیدکنندگان تصادفی و حتی سایر افراد تکمیل کرد - که داده‌های شخصی آنها هنگام عکس‌برداری برای پاس، اسکن، "جنایت" می‌شود. کارت شناسایی و در برخی موارد دیگر. ACS (سیستم های کنترل و مدیریت دسترسی) می تواند به راحتی به منبع مشکلات در زمینه حفاظت از داده های شخصی تبدیل شود. بنابراین، پاسخ به سوال "کجا؟" از نقطه نظر انطباق با قانون، به نظر می رسد: در همه جا در قلمرو گزارش. پاسخ دقیق تری تنها با انجام ممیزی مناسب می توان داد. این مرحله اول است پروژهدر مورد حفاظت از داده های شخصی لیست کاملمراحل کلیدی آن:

1) حسابرسی وضعیت فعلی شرکت.

2) طراحی راه حل فنی.

3) آماده سازی فرآیند برای حفاظت از داده های شخصی.

4) بررسی راه حل فنی و فرآیند حفاظت از داده های شخصی برای انطباق با قوانین فدراسیون روسیه و مقررات شرکت.

5) اجرای راه حل فنی.

6) راه اندازی فرآیند حفاظت از داده های شخصی.

1. حسابرسی وضعیت موجود در شرکت

اول از همه، با بخش منابع انسانی و سایر بخش هایی که از رسانه های کاغذی با داده های شخصی استفاده می کنند، چک کنید:

  • آیا فرم های رضایت برای پردازش داده های شخصی وجود دارد؟ آیا آنها پر و امضا شده اند؟
  • آیا "آیین نامه مربوط به ویژگی های پردازش داده های شخصی بدون استفاده از ابزارهای اتوماسیون انجام می شود" مورخ 15 سپتامبر 2008 شماره 687 رعایت شده است؟

تعیین موقعیت جغرافیایی ISPD:

  • در چه کشورهایی قرار دارند؟
  • بر چه اساسی؟
  • آیا توافقاتی برای استفاده از آنها وجود دارد؟
  • چه حفاظت تکنولوژیکی برای جلوگیری از نشت داده های شخصی استفاده می شود؟
  • چه اقدامات سازمانی برای حفاظت از داده های شخصی انجام می شود؟

در حالت ایده آل، یک سیستم اطلاعاتی با داده های شخصی روس ها باید با تمام الزامات قانون 152-FZ "در مورد داده های شخصی" مطابقت داشته باشد، حتی اگر در خارج از کشور واقع شده باشد.

در نهایت، به لیست چشمگیر اسنادی که در صورت تأیید مورد نیاز است توجه کنید (این همه نیست، فقط فهرست اصلی):

  • اطلاع رسانی در مورد پردازش PD.
  • سندی که فرد مسئول سازماندهی پردازش داده های شخصی را شناسایی می کند.
  • فهرست کارکنان مجاز به پردازش داده های شخصی.
  • سندی که مکان ذخیره سازی PD را مشخص می کند.
  • گواهی در مورد پردازش دسته های خاص و بیومتریک داده های شخصی.
  • گواهی انتقال برون مرزی داده های شخصی.
  • فرم های استاندارد اسناد با داده های شخصی.
  • فرم استاندارد رضایت برای پردازش داده های شخصی.
  • مراحل انتقال PD به اشخاص ثالث.
  • روش ثبت درخواست های افراد PD.
  • فهرست سیستم های اطلاعات شخصی (ISPD).
  • اسناد تنظیم کننده پشتیبان گیری از داده ها در ISPD.
  • فهرست ابزارهای امنیت اطلاعات مورد استفاده
  • روش از بین بردن اطلاعات شخصی
  • ماتریس دسترسی
  • مدل تهدید
  • دفترچه ثبت PDn رسانه ماشین.
  • سندی که سطوح امنیتی هر ISPD را مطابق با PP-1119 مورخ 1 نوامبر 2012 «در مورد تأیید الزامات حفاظت از داده های شخصی در حین پردازش آنها در سیستم های اطلاعات داده های شخصی» تعریف می کند.

2. طراحی راه حل فنی

شرح اقدامات سازمانی و فنی که باید برای محافظت از داده های شخصی انجام شود در فصل 4 آورده شده است. "مسئولیت های اپراتور" قانون 152-FZ "در مورد داده های شخصی". راه حل فنی باید بر اساس مفاد ماده 2 قانون 242-FZ مورخ 21 ژوئیه 2014 باشد.

اما چگونه می توان از قانون پیروی کرد و داده های شخصی شهروندان فدراسیون روسیه را در خاک روسیه پردازش کرد در صورتی که منبع داده هنوز در خارج از کشور قرار دارد؟ چندین گزینه در اینجا وجود دارد:

  • انتقال فیزیکی سیستم اطلاعات و پایگاه داده به قلمرو فدراسیون روسیه. اگر از نظر فنی امکان پذیر باشد، این ساده ترین خواهد بود.
  • ما داده‌های PD را در خارج از کشور می‌گذاریم، اما در روسیه یک کپی از آن ایجاد می‌کنیم و تکثیر یک‌طرفه داده‌های PD شهروندان روسی را از نسخه روسی به خارجی تنظیم می‌کنیم. در عین حال، در یک سیستم خارجی، لازم است امکان تغییر داده های شخصی شهروندان فدراسیون روسیه حذف شود؛ همه تغییرات باید فقط از طریق ISPD روسیه انجام شود.
  • چندین ISPD وجود دارد و همه آنها در خارج از کشور هستند. انتقال می تواند گران یا از نظر فنی غیرممکن باشد (به عنوان مثال، انتخاب بخشی از پایگاه داده با داده های شخصی شهروندان فدراسیون روسیه و انتقال آن به روسیه غیرممکن است). در این مورد، راه حل ممکن است ایجاد یک ISPD جدید بر روی هر پلت فرم موجود بر روی سروری در روسیه باشد، که از آنجا همانند سازی یک طرفه به هر ISPD خارجی انجام می شود. توجه داشته باشم که انتخاب پلت فرم با شرکت باقی می ماند.

اگر PDn به طور کامل و انحصاری به روسیه منتقل نشده است، فراموش نکنید که در گواهی انتقال داده های مرزی مشخص کنید که به چه کسی و چه مجموعه خاصی از PD ارسال می شود. اطلاعیه پردازش باید هدف از انتقال داده های شخصی را نشان دهد. باز هم این هدف باید مشروع و واضح باشد.

3. آماده سازی فرآیند برای حفاظت از داده های شخصی

فرآیند حفاظت از داده های شخصی باید حداقل نکات زیر را مشخص کند:

  • فهرست افرادی که مسئول پردازش داده های شخصی در شرکت هستند.
  • روش ارائه دسترسی به ISPD. در حالت ایده آل، این یک ماتریس دسترسی با سطح دسترسی برای هر موقعیت یا کارمند خاص (خواندن/خواندن-نوشتن/تغییر) است. یا لیستی از داده های شخصی موجود برای هر موقعیت. همه چیز به پیاده سازی IP و الزامات شرکت بستگی دارد.
  • ممیزی دسترسی به داده های شخصی و تجزیه و تحلیل تلاش های دسترسی با نقض سطوح دسترسی.
  • تجزیه و تحلیل دلایل عدم دسترسی به داده های شخصی.
  • روش پاسخگویی به درخواست‌های افراد PD در مورد PD آنها.
  • بازبینی لیست داده های شخصی که به خارج از شرکت منتقل می شود.
  • بررسی گیرندگان داده های شخصی، از جمله در خارج از کشور.
  • بررسی دوره ای مدل تهدید برای داده های شخصی و همچنین تغییرات در سطح حفاظت از داده های شخصی در ارتباط با تغییرات در مدل تهدید.
  • به روز نگه داشتن اسناد شرکت (لیست در بالا آمده است و در صورت لزوم می توان آن را تکمیل کرد).

در اینجا می توانید هر نکته را به تفصیل بیان کنید، اما من می خواهم به سطح امنیت توجه ویژه ای داشته باشم. بر اساس اسناد زیر تعیین می شود (به ترتیب بخوانید):

1. «روش شناسایی تهدیدهای فعلی امنیتداده های شخصی زمانی که در سیستم های اطلاعات داده های شخصی پردازش می شوند" (FSTEC RF 14 فوریه 2008).

2. فرمان شماره 1119 دولت فدراسیون روسیه در تاریخ 1 نوامبر 2012 "در مورد تصویب الزامات حفاظت از داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی."

3. دستور شماره 21 FSTEC مورخ 18 فوریه 2013 "در مورد تصویب ترکیب و محتوای اقدامات سازمانی و فنی برای اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی."

همچنین، فراموش نکنید که نیاز به داشتن دسته های هزینه ای مانند:

  • سازمان تیم پروژهو مدیریت پروژه
  • توسعه دهندگان برای هر یک از پلتفرم های ISPDn.
  • ظرفیت سرور (خود یا اجاره ای در مرکز داده).

در پایان مراحل دوم و سوم پروژه باید:

  • محاسبه هزینه.
  • الزامات کیفیت
  • مهلت و زمانبندی پروژه.
  • ریسک های فنی و سازمانی پروژه.

4. بررسی راه حل فنی و فرآیند حفاظت از داده های شخصی برای انطباق با قوانین فدراسیون روسیه و مقررات شرکت

از نظر عبارت کوتاه اما مرحله مهم، که در آن باید مطمئن شوید که تمام اقدامات برنامه ریزی شده با قوانین فدراسیون روسیه و قوانین شرکت (به عنوان مثال، سیاست های امنیتی) در تضاد نیست. اگر این کار انجام نشود، بمبی در پایه پروژه قرار می گیرد که می تواند در آینده "منفجر شود" و مزایای نتایج به دست آمده را از بین ببرد.

5. اجرای راه حل فنی

همه چیز در اینجا کم و بیش آشکار است. جزئیات به موقعیت اولیه و تصمیمات بستگی دارد. اما به طور کلی تصویر باید چیزی شبیه به این باشد:

  • ظرفیت سرور اختصاص داده شده است.
  • مهندسان شبکه به اندازه کافی ارائه کرده اند توان عملیاتیکانال های بین گیرنده و فرستنده PDn.
  • توسعه دهندگان همانندسازی بین پایگاه های داده ISPDn ایجاد کرده اند.
  • مدیران از تغییرات در ISPDهای مستقر در خارج از کشور جلوگیری کردند.

شخصی که مسئول حفاظت از داده های شخصی یا "مالک فرآیند" است ممکن است همان شخص یا متفاوت باشد. واقعیت این است که "مالک فرآیند" باید تمام اسناد را آماده کند و کل فرآیند حفاظت از داده های شخصی را سازماندهی کند. برای انجام این کار، باید به تمام افراد ذینفع اطلاع داده شود، به کارکنان آموزش داده شود، و سرویس فناوری اطلاعات باید اجرای اقدامات فنی برای حفاظت از داده ها را تسهیل کند.

6. راه اندازی فرآیند حفاظت از داده های شخصی

این یک گام مهم است و به تعبیری هدف کل پروژه کنترل جریان است. علاوه بر راه حل های فنی و اسناد نظارتی، نقش مالک فرآیند در اینجا بسیار مهم است. او باید تغییرات را نه تنها در قوانین، بلکه در زیرساخت های فناوری اطلاعات نیز نظارت کند. این بدان معناست که مهارت ها و شایستگی های مناسب مورد نیاز است.

علاوه بر این، که در شرایط واقعی کار بسیار مهم است، صاحب فرآیند حفاظت از داده های شخصی به تمام اختیارات لازم و پشتیبانی اداری از مدیریت شرکت نیاز دارد. در غیر این صورت، او یک "دعا کننده" ابدی خواهد بود که هیچ کس به او توجه نمی کند و پس از مدتی می توان پروژه را مجدداً شروع کرد و دوباره با ممیزی شروع کرد.

تفاوت های ظریف

چند نکته که به راحتی قابل چشم پوشی است:

  • اگر با یک مرکز داده کار می کنید، برای تامین ظرفیت سرور نیاز به یک قرارداد خدماتی دارید که بر اساس آن شرکت شما داده ها را به صورت قانونی ذخیره و کنترل می کند.
  • شما به مجوزهایی برای نرم افزاری نیاز دارید که برای جمع آوری، ذخیره و پردازش داده های شخصی یا قراردادهای اجاره استفاده می شود.
  • اگر ISPD در خارج از کشور واقع شده است، توافق نامه ای با شرکتی که مالک سیستم در آنجا است لازم است - برای تضمین انطباق با قوانین فدراسیون روسیه در رابطه با داده های شخصی روس ها.
  • اگر اطلاعات شخصی به پیمانکار شرکت شما (به عنوان مثال، یک شریک برون سپاری فناوری اطلاعات) منتقل شود، در صورت درز اطلاعات شخصی از طرف برون سپاری، مسئولیت ادعاها بر عهده شما خواهد بود. به نوبه خود، شرکت شما ممکن است علیه برون سپاری شکایت کند. شاید این عامل بر واقعیت برون سپاری کار تأثیر بگذارد.

و بار دیگر، مهمترین چیز این است که حفاظت از داده های شخصی را نمی توان به سادگی تضمین کرد. این یک فرآیند است. یک فرآیند تکراری مداوم که به شدت به تغییرات بیشتر در قوانین و همچنین به شکل و سختی اعمال این قوانین در عمل بستگی دارد.

اسناد مشابه

    چارچوب قانونی برای حفاظت از داده های شخصی. طبقه بندی تهدیدات امنیت اطلاعات پایگاه داده های شخصی طراحی و تهدیدات شبکه محلی سازمانی نرم افزار و سخت افزار اصلی حفاظت برای رایانه های شخصی. سیاست امنیتی اساسی

    پایان نامه، اضافه شده 06/10/2011

    پیش نیازهای ایجاد یک سیستم امنیت داده های شخصی. تهدیدات امنیت اطلاعات منابع دسترسی غیرمجاز به ISPD. طراحی سیستم های اطلاعات شخصی. ابزارهای امنیت اطلاعات خط مشی امنیتی.

    کار دوره، اضافه شده 10/07/2016

    تجزیه و تحلیل ساختار یک سیستم اطلاعاتی توزیع شده و داده های شخصی پردازش شده در آن. انتخاب اقدامات اساسی و ابزار برای تضمین امنیت داده های شخصی در برابر تهدیدات فعلی. تعیین هزینه های ایجاد و نگهداری پروژه.

    پایان نامه، اضافه شده در 07/01/2011

    سیستم کنترل و مدیریت دسترسی سازمانی تجزیه و تحلیل اطلاعات پردازش شده و طبقه بندی ISPD. توسعه مدلی از تهدیدات برای امنیت داده های شخصی در هنگام پردازش آنها در سیستم اطلاعات شخصی ACS OJSC MMZ.

    پایان نامه، اضافه شده 04/11/2012

    شرح راهکارهای فنی اصلی برای تجهیز سیستم اطلاعات شخصی واقع در کلاس کامپیوتر. زیرسیستم حفاظت از آنتی ویروس فعالیت های آماده سازی برای اجرای اقدامات امنیت اطلاعات.

    کار دوره، اضافه شده در 2013/09/30

    محرمانه بودن و امنیت اطلاعات مستند. انواع داده های شخصی مورد استفاده در فعالیت های سازمان. توسعه قوانین در زمینه تضمین حمایت از آنها. روش های تضمین امنیت اطلاعات فدراسیون روسیه.

    ارائه، اضافه شده در 2016/11/15

    تجزیه و تحلیل ریسک امنیت اطلاعات ارزیابی ابزارهای حفاظتی موجود و برنامه ریزی شده. مجموعه ای از اقدامات سازمانی برای اطمینان از امنیت اطلاعات و حفاظت از اطلاعات سازمانی. نمونه تست اجرای پروژه و شرح آن.

    پایان نامه، اضافه شده 12/19/2012

    اسناد نظارتی در زمینه امنیت اطلاعات در روسیه. تجزیه و تحلیل تهدیدات سیستم های اطلاعاتی ویژگی های سازماندهی سیستم حفاظت از داده های شخصی کلینیک. پیاده سازی سیستم احراز هویت با استفاده از کلیدهای الکترونیکی.

    پایان نامه، اضافه شده در 1395/10/31

    اطلاعات کلیدر مورد فعالیت های شرکت اشیاء امنیت اطلاعات در شرکت اقدامات و وسایل حفاظت از اطلاعات. کپی کردن داده ها در رسانه های قابل جابجایی نصب سرور پشتیبان داخلی کارایی بهبود سیستم امنیت اطلاعات.

    تست، اضافه شده در 2013/08/29

    تهدیدهای اصلی اطلاعات مفاهیم، ​​روش ها و روش های تضمین حفاظت از داده ها. الزامات سیستم حفاظتی مکانیزم مجوز در پایگاه اطلاع رسانیبرای تعیین نوع کاربر کار مدیر با سیستم امنیتی.

کنترل بر اجرای قوانین لازم. فهرست ادبیات مورد استفاده:

1. قانون فدرال "در مورد بانک ها و فعالیت های بانکی"

2. www.Grandars.ru [منبع الکترونیکی] حالت دسترسی: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (تاریخ دسترسی: 05/05/2016)

3. In-bank.ru [منبع الکترونیکی] حالت دسترسی: http://journal.ib-bank.ru/post/411 (تاریخ دسترسی: 05.5.2016)

خلستوا داریا روبرتونا

پست الکترونیک: [ایمیل محافظت شده]

ویژگی های حفاظت از داده های شخصی در بخش بانکی

حاشیه نویسی

این مقاله ویژگی های حفاظت از داده های شخصی مشتری در صنعت بانکداری را مورد بحث قرار می دهد. تعدادی از قوانین نظارتی و قانونی فهرست شده است که بر اساس آنها باید سیستم پردازش و حفاظت از داده های شخصی در بانک ایجاد شود. فهرستی از اقدامات برای سازماندهی امنیت داده ها در موسسات بانکی برجسته شده است.

کلید واژه ها

داده های شخصی، امنیت در بانک ها، امنیت اطلاعات،

حفاظت از اطلاعات شخصی

حفاظت از داده های شخصی در عصر فناوری اطلاعات اهمیت ویژه ای پیدا کرده است. مواردی که مهاجمان به هر کدام دسترسی پیدا می کنند اطلاعات محرمانهافراد بیشتری به سیستم های اطلاعاتی سازمان ها حمله می کنند. بدون شک حملات دور نمی زند بخش بانکی. از آنجایی که سیستم های بانکی حاوی تعداد زیادی از داده های شخصی مشتریان است، امنیت آنها باید تحت توجه جدی دولت و صاحبان خود مؤسسات مالی باشد.

اولاً، ارزش درک این را دارد که اگر یک فرد مشتری بانک شود، چه اطلاعات شخصی ممکن است در دسترس بانک قرار گیرد. بنابراین، این مورد نیاز است: نام خانوادگی، نام و نام خانوادگی. تاریخ و محل تولد؛ تابعیت؛ محل ثبت نام و اقامت واقعی؛ تمام اطلاعات گذرنامه (سری، شماره، زمان و توسط چه کسی سند صادر شده است)؛ شماره موبایل و تلفن منزل; محل کار، موقعیت شغلی در بیشتر موارد، موسسات از یک شخص درخواست می کنند و اطلاعات تکمیلی، اما حتی بدون آن، فهرست داده هایی که شخص به بانک می سپارد چشمگیر است. البته، مشتری امیدوار است که اطلاعات شخصی وی در طول پردازش و ذخیره سازی به طور قابل اعتماد محافظت شود.

برای اینکه موسسات مالی بتوانند به طور کارآمد سیستمی برای پردازش و حفاظت از داده های شخصی سازماندهی کنند، لازم است فهرستی از اقدامات قانونی و قانونی که بانک باید در هنگام کار با داده های شخصی مشتریان به آنها تکیه کند، ترسیم شود: قانون اساسی فدراسیون روسیه مهمترین سند کشور است. قانون کار فدراسیون روسیه؛ قانون مدنی و قانون جزایی فدراسیون روسیه؛ قانون فدرال شماره 152 "در مورد داده های شخصی"؛ قانون فدرال شماره 149 «در

اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات»؛ قانون فدرال شماره 395-1 "در مورد بانک ها و فعالیت های بانکی". همچنین در بانک ها، هنگام ایجاد سیستمی برای پردازش و ذخیره داده های شخصی، تعدادی از اسناد محلی ایجاد می شود که کنترل بیشتری بر کار با داده ها فراهم می کند.

هنگامی که یک سازمان بانکی داده های شخصی مشتری را دریافت می کند، متعهد به انجام کلیه اقدامات سازمانی و فنی برای محافظت از اطلاعاتی است که به آن سپرده شده است از دسترسی غیرمجاز (تصادفی یا عمدی)، مسدود کردن، اصلاح، تخریب و سایر اقدامات غیرقانونی. شایان ذکر است تعدادی از اقدامات برای سازماندهی با کیفیت بالا پردازش و حفاظت از داده های شخصی در بانک ها: انتصاب افرادی که مسئول پردازش و تضمین امنیت داده ها در سیستم اطلاعات بانک هستند. اجرای اقدامات کنترلی و آشنایی کارکنان با چارچوب نظارتی مربوطه و اسناد داخلی که سیستم امنیت داده بانک بر آن استوار است. شناسایی تهدیدات در حین پردازش داده های شخصی در بانک و اقدامات لازم برای مقابله با آنها. ارزیابی اثربخشی اقدامات سازمانی و فنی اعمال شده برای اطمینان از حفاظت از داده ها، قبل از راه اندازی سیستم حفاظتی. حسابداری تمام رسانه های ذخیره سازی رایانه داده های شخصی؛ ایجاد قوانین برای دسترسی به سیستم پردازش و امنیت برای کارکنان؛ اگر دسترسی غیرمجاز به داده های محافظت شده شناسایی شود، اقداماتی برای از بین بردن تهدید و بازیابی داده های از دست رفته انجام می شود. و یک اقدام اجباری برای بانک‌هایی که دارای سیستم موجود برای ذخیره و حفاظت از داده‌های شخصی مشتریان هستند، نظارت مداوم و بهبود سیستم امنیتی است.

بنابراین، شایان ذکر است که پردازش، ذخیره سازی و حفاظت از داده های شخصی در بانک ها باید بر اساس شرایط تعریف شده توسط چارچوب نظارتی فدراسیون روسیه انجام شود. هر موسسه مالی باید: هنگام سازماندهی حفاظت از داده های شخصی مشتریان خود، اصل قانونی را رعایت کند. انجام طیف گسترده ای از اقدامات برای حفاظت از داده های سازمانی و فنی؛ هنگام ایجاد اسناد محلی مرتبط با امنیت اطلاعات، بر بهترین شیوه های روسیه و بین المللی در این زمینه تکیه کنید. برای اطمینان از حفاظت از اطلاعات شخصی مشتری، تمام الزامات مقامات نظارتی (FSTEK، Roskomnadzor، FSB) را رعایت کنید.

فهرست ادبیات مورد استفاده:

1. خلستوا د.ر.، پوپوف ک.گ. "در مورد جنبه های حقوقی حفاظت از داده های شخصی"

2. قانون فدرال "در مورد بانک ها و فعالیت های بانکی"

3. بانک روسیه [منبع الکترونیکی] حالت دسترسی: http://www.cbr.ru/ (تاریخ دسترسی: 05/06/2016)

©Khlestova D.R., Popov K.G., 2016

خلستوا داریا روبرتونا

دانشجوی سال دوم IUPP BashSU، Ufa، فدراسیون روسیه ایمیل: [ایمیل محافظت شده]پوپوف کریل گنادیویچ دکتری، دانشیار، گروه امنیت اطلاعات، دانشگاه دولتی باشقیر، اوفا، فدراسیون روسیه

پست الکترونیک: [ایمیل محافظت شده]

هوش تجاری به عنوان قانونی ترین راه برای کسب اطلاعات

حاشیه نویسی

در این مقاله روش های هوش تجاری بحث می شود. همچنین توضیح می دهد که چرا هوش تجاری یک فعالیت قانونی در تجارت است. اصول اساسی برجسته ای که باید به آنها پایبند بود عبارتند از:

امنیت اطلاعات شخصی در بانک

داده های شخصی چیست؟

طبق تعریف قانون فدرال، داده های شخصی هر گونه اطلاعات مربوط به یک فرد است که بر اساس چنین اطلاعاتی (موضوع داده های شخصی) شناسایی یا تعیین می شود، از جمله نام خانوادگی، نام، نام خانوادگی، سال، ماه، تاریخ و مکان او. تولد، آدرس، خانواده، اجتماعی، وضعیت دارایی، تحصیلات، حرفه، درآمد، اطلاعات دیگر.

اطلاعات شخصی در کجا قرار دارد؟

داده های شخصی (PD) در بانک در سیستم های زیر قرار دارد:

سیستم بانکی خودکار (ABS)؛

سیستم های مشتری-بانک؛

سیستم های انتقال پول فوری؛

سیستم های حسابداری؛

سیستم های حسابداری پرسنلی؛

سیستم اطلاعات شرکت؛

پورتال وب داخلی

PD ممکن است در اسناد کاغذی (توافق نامه ها، فرم ها، دستورات، دستورالعمل ها، پرسشنامه ها، توافق نامه ها و غیره) وجود داشته باشد.

چه اسنادی الزامات حفاظت از داده های شخصی را تعیین می کند؟

قوانین فدرال

قانون فدرال شماره 149-FZ مورخ 27 ژوئیه 2006 "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"؛

احکام دولت

فرمان شماره 781 دولت فدراسیون روسیه در 17 نوامبر 2007 "در مورد تصویب مقررات مربوط به تضمین امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"؛

فرمان شماره 957 دولت فدراسیون روسیه در 29 دسامبر 2007 "در مورد تصویب مقررات مربوط به صدور مجوز برای انواع خاصی از فعالیت های مربوط به رمزگذاری (رمز نگاری)"؛

فرمان شماره 687 دولت فدراسیون روسیه در 15 سپتامبر 2008 "در مورد تصویب مقررات مربوط به ویژگی های پردازش داده های شخصی که بدون استفاده از ابزارهای اتوماسیون انجام می شود."

FSTEC روسیه

دستور مشترک FSTEC روسیه، FSB روسیه و وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008 به شماره 55/86/20 "در مورد تصویب رویه طبقه بندی سیستم های اطلاعات داده های شخصی"؛

سند راهنمای FSTEC روسیه " مدل پایهتهدید امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات داده های شخصی"؛

سند راهنمای FSTEC روسیه "روش تعیین تهدیدهای فعلی برای امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"؛

دستور FSTEC روسیه مورخ 5 فوریه 2010 شماره 58 "در مورد تصویب مقررات روش ها و ابزارهای حفاظت از اطلاعات در داده های اطلاعات شخصی".

FSB روسیه

دستور شماره 152 FAPSI مورخ 13 ژوئن 2001 "در مورد تصویب دستورالعمل های سازماندهی و تضمین امنیت ذخیره سازی، پردازش و انتقال از طریق کانال های ارتباطی با استفاده از ابزارهای حفاظت رمزنگاری شده از اطلاعات با دسترسی محدود که حاوی اطلاعاتی است که یک راز دولتی نیست" ;

دستور FSB فدراسیون روسیه مورخ 9 فوریه 2005 شماره 66 "در مورد تصویب مقررات مربوط به توسعه، تولید، فروش و بهره برداری از ابزارهای امنیتی اطلاعات رمزگذاری (رمز نگاری) (مقررات PKZ-2005)".

سند راهنمای FSB روسیه مورخ 21 فوریه 2008 شماره 149/54-144 " رهنمودهادر حصول اطمینان از امنیت داده های شخصی با کمک ابزارهای رمزنگاری در هنگام پردازش آنها در سیستم های اطلاعات شخصی با استفاده از ابزارهای اتوماسیون"؛

سند راهنمای FSB روسیه مورخ 21 فوریه 2008 شماره 149/6/6-622 "الزامات استاندارد برای سازماندهی و اطمینان از عملکرد ابزارهای رمزگذاری (رمزنگاری) برای محافظت از اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند، در صورتی که آنها برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات داده های شخصی استفاده می شوند.

استاندارد بانک روسیه

STO BR IBBS-1.0-2010 "تضمین امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه. مقررات عمومی"؛

STO BR IBBS-1.1-2007 "تضمین امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه. ممیزی امنیت اطلاعات"؛

STO BR IBBS-1.2-2010 "تضمین امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه. روش ارزیابی انطباق امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه با الزامات STO BR IBBS-1.0-20xx"؛

RS BR IBBS-2.0-2007 "تضمین امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه. دستورالعمل های مستندسازی در زمینه امنیت اطلاعات مطابق با الزامات STO BR IBBS-1.0"؛

RS BR IBBS-2.1-2007 "تضمین امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه. دستورالعمل های خود ارزیابی انطباق امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه با الزامات STO BR IBBS-1.0"؛

RS BR IBBS-2.3-2010 "تامین امنیت اطلاعات برای سازمان های سیستم بانکی فدراسیون روسیه. الزامات اطمینان از امنیت داده های شخصی در سیستم های اطلاعات شخصی سازمان های سیستم بانکی فدراسیون روسیه"؛

RS BR IBBS-2.4-2010 "تامین امنیت اطلاعات برای سازمان های سیستم بانکی فدراسیون روسیه. مدل خاص صنعت تهدید برای امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعاتی PD سازمان های بانک های سیستم بانکی فدراسیون روسیه"؛

توصیه های روش شناختی برای برآوردن الزامات قانونی هنگام پردازش داده های شخصی در سازمان های RF BS، که به طور مشترک توسط بانک روسیه، ARB و انجمن بانک های منطقه ای روسیه (انجمن Rossiya) ایجاد شده است.

چگونه باید از داده های شخصی محافظت شود؟

با توجه به الزامات اسناد روش شناختی برای حفاظت از PD، زیرسیستم های زیر برای همه انواع ISPD مشترک هستند:

زیرسیستم کنترل دسترسی؛

زیر سیستم ثبت و حسابداری؛

زیرسیستم یکپارچگی؛

زیر سیستم امنیتی فایروال

اگر ISPD به اینترنت متصل است، لازم است از زیرسیستم های زیر نیز استفاده کنید:

زیرسیستم امنیتی آنتی ویروس؛

زیرسیستم تشخیص نفوذ؛

زیرسیستم تحلیل امنیتی

همچنین استفاده از قفل های الکترونیکی و/یا ضروری است کلیدهای الکترونیکیبرای شناسایی و احراز هویت مطمئن کاربران.

اگر PDIS برای جلوگیری از دسترسی غیرمجاز با جداسازی اطلاعات محافظت شده از اطلاعات عمومی توزیع شود، لازم است از رمزنگاری هنگام انتقال PD از طریق کانال های ارتباطی ناامن و همچنین امضای دیجیتال برای تأیید صحت داده ها استفاده شود.

این تقسیم به زیرسیستم ها و تشکیل لیستی از محصولات برای حفاظت از داده های شخصی بر اساس آنها به طور کلی پذیرفته شده است و در بیشتر موارد استفاده می شود.

محافظت از اطلاعات شخصی در برابر چه چیزی ضروری است؟

اگر وظیفه فقط اطمینان از محرمانه بودن داده های شخصی باشد، لازم است اقداماتی انجام شود و/یا از ابزارهای فنی با هدف جلوگیری از دسترسی غیرمجاز استفاده شود، در این صورت چنین سیستم اطلاعاتی استاندارد می شود.

اگر الزامات اضافی برای اطمینان از سایر خصوصیات امنیت اطلاعات، مانند اطمینان از یکپارچگی، در دسترس بودن، و همچنین مشتقات آنها (عدم انکار، پاسخگویی، کفایت، قابلیت اطمینان و غیره) اعمال شود، آنگاه چنین ISPD خاصی می شود. در بیشتر موارد، هر ISPD خاصی خواهد بود، یعنی علاوه بر کلاس های PD، برای تعیین مکانیسم های حفاظتی، باید توسط مدل تهدید ایجاد شده برای این منظور هدایت شوید.

چگونه کلاس PD را کاهش دهیم؟

به منظور کاهش و ساده سازی اقدامات حفاظت از داده های شخصی، بانک ها از ترفندهای مختلفی استفاده می کنند. در زیر معمولی ترین روش ها را برای کاهش هزینه تجهیزات حفاظتی ارائه می دهم. با این حال، چنین "بازنگری" سیستم های اطلاعاتی بانک به خودی خود یک کار نسبتاً پیچیده و وقت گیر است.

کاهش تعداد سایت ها

همانطور که در بالا نشان داده شد، اگر ISPD توزیع شود، الزامات بیشتری بر حفاظت از آن تحمیل می شود؛ برای کاهش آنها، باید سعی کنید از ISPD توزیع شده فاصله بگیرید.

با یک ISPD توزیع شده، PD در سایت های مختلف قرار می گیرد، PD از طریق کانال های ارتباطی کنترل نشده توسط بانک منتقل می شود، و به طور کلی به این معنی است که PD از منطقه کنترل شده خارج یا خارج می شود. سپس، اول از همه، لازم است PD را بومی سازی کنید و تعداد سایت هایی را که در آنها قرار می گیرند کاهش دهید. در برخی موارد این امکان پذیر است، اما اگر ABS را در نظر بگیریم، به احتمال زیاد این امکان پذیر نخواهد بود.

کاهش تعداد سرورها

اگر PDIS محلی است، یعنی در شبکه محلی بانک عمل می‌کند، ساده‌ترین راه برای کاهش هزینه‌های حفاظتی، کاهش تعداد تجهیزات سروری است که PD در آنها وجود دارد و/یا پردازش می‌شود.

کاهش تعداد ایستگاه های کاری و پرسنل

با هر نوع ISPD (در قالب یک محل کار خودکار، محلی، توزیع شده)، پردازش نهایی PD معمولا توسط پرسنل بانک انجام می شود. اگر از دسترسی به ترمینال استفاده نمی کنید، که در زیر به آن پرداخته خواهد شد، منطقی است که تعداد پرسنل بانک را که در پردازش داده های شخصی یا دسترسی به آنها دخیل هستند، کاهش دهید.

جداسازی آی سی با استفاده از فایروال

به منظور کاهش میزان داده های شخصی و در نتیجه کاهش هزینه تجهیزات حفاظتی، به نحوی خوبتقسیم شبکه های اطلاعاتی به بخش هایی است که در آن PD پردازش می شود. برای انجام این کار، نصب و استفاده از فایروال هایی ضروری است که به پورت های آنها باید سگمنت های دارای PD متصل شوند. اغلب همه چیز تجهیزات سرورواقع در یک منطقه غیرنظامی، یعنی در بخش هایی که توسط فایروال از شبکه های عمومی و بانکی جدا شده اند. این روش همچنین مستلزم "باز ترسیم" قابل توجهی از شبکه های اطلاعاتی است. روشی مبتنی بر به اصطلاح "رمزگذاری خطی" وجود دارد، یعنی رمزگذاری کانال مشتری-مشتری، مشتری-سرور، کانال سرور-سرور. این رمزگذاری ترافیک شبکهمی تواند هم با استفاده از وسایل امنیتی خاص و هم با استفاده از فناوری استاندارد IPSec اجرا شود، اما توسط FSB روسیه تایید نشده است که این نقطه ضعف قابل توجه آن است.

راه دیگر برای به اشتراک گذاری ISPD در کل شبکه می تواند فناوری باشد شبکه های مجازی– VLAN، اما در واقع VLAN فقط یک شناسه در یکی از فیلدهای بسته شبکه است که به ما امکان می دهد در مورد این فناوری به عنوان "IT" صحبت کنیم. بنابراین، تقسیم شبکه ها با استفاده از VLAN، شما را از استفاده از فناوری های امنیت اطلاعات معاف نمی کند.

تقسیم پایگاه های داده به قطعات

بیایید فرض کنیم که یک پایگاه داده متشکل از هزاران رکورد وجود دارد: نام کامل. و مبلغ سپرده

بیایید دو پایگاه داده دیگر ایجاد کنیم. بیایید یک شناسه منحصر به فرد اضافی وارد کنیم. بیایید جدول را به دو قسمت تقسیم کنیم، در قسمت اول فیلدهای نام کامل و شناسه و در قسمت دیگر شناسه و مبلغ سپرده را قرار می دهیم.

بنابراین، اگر هر کارمند بتواند تنها یکی از این پایگاه‌های داده جدید را پردازش کند، حفاظت از داده‌های شخصی تا حد زیادی ساده‌تر می‌شود، در صورتی که لغو نشود. بدیهی است که ارزش چنین پایگاه داده ای به طور قابل توجهی کمتر از پایگاه داده اصلی است. هر دو پایگاه داده در امن ترین سرور قرار خواهند گرفت. با این حال، در واقعیت، فیلدهای بسیار بیشتری در پایگاه داده وجود دارد این اصلتقریباً در هر موردی می تواند کار کند، زیرا تعداد فیلدهایی که از نظر امنیت داده های شخصی مهم هستند، چندان زیاد نیست، بلکه کاملاً محدود است. در موارد شدید، می توانید موارد کلیدی را روی رایانه شخصی که بخشی از آن نیست ذخیره کنید شبکه محلییا حتی از پردازش خودکار استفاده نکنید.

غیرشخصی سازی داده های شخصی

طبق تعریف 152-FZ، غیرشخصی سازی داده های شخصی اقداماتی است که در نتیجه تعیین اینکه آیا داده های شخصی متعلق به یک موضوع داده شخصی خاص است غیرممکن است. از این تعریف مجموعه ای از روش ها به دست می آید که از طریق آنها می توان PD را به دست آورد، که توسط آنها تعیین هویت PD غیرممکن است. به عنوان مثال، اگر داده‌های دقیق برخی از فیلدها برای اهداف پردازش مهم نیست، می‌توانید آنها را نمایش ندهید یا فقط محدوده‌هایی را که در آن قرار دارند نمایش دهید. به عنوان مثال، سن 20-30، 30-40 و غیره. آدرس را می توان به یک منطقه، ناحیه یا شهر "گرد" کرد: Tsaritsyno، Yuzhny، مسکو. بسته به نیاز، فرآیند غیرشخصی‌سازی داده‌های شخصی می‌تواند برگشت‌پذیر یا غیرقابل برگشت باشد. برگشت ناپذیر شامل روش های فوق "گرد" و برگشت پذیر، برای مثال، رمزگذاری است. از دیدگاه من، رمزگذاری (رمزگذاری) می تواند راهی برای غیر شخصی کردن داده ها باشد و باید برای این اهداف استفاده شود.

تین کلاینت ها و دسترسی به ترمینال

استفاده از فن‌آوری‌های Thin Client و فناوری دسترسی به ترمینال مربوطه در سرورها می‌تواند الزامات حفاظت از داده‌های شخصی را به میزان قابل توجهی کاهش دهد. واقعیت این است که در هنگام استفاده از «تین کلاینت‌ها» و دسترسی به ترمینال در رایانه شخصی کارکنان بانک، نیازی به نصب نرم‌افزارهای تخصصی مانند بخش‌های مشتریان پایگاه‌های اطلاعاتی، بخش‌های مشتری از سیستم‌های اصلی بانکی و غیره نیست. علاوه بر این، نیازی به نصب ابزار حفاظتی خاصی بر روی رایانه شخصی کارکنان بانک نیست. این فناوری‌ها به شما امکان می‌دهند اطلاعاتی را از پایگاه‌های داده ذخیره شده در سرورهای محل کار خود نمایش دهید و پردازش داده‌های شخصی را مدیریت کنید. این فناوری ها پیش از این ایمن هستند، زیرا خط‌مشی‌های پایانه می‌توانند به راحتی توانایی مشتریان نهایی (کارمندان بانک) را برای کپی کردن و در نتیجه توزیع داده‌های شخصی محدود کنند. کانال ارتباطی بین سرورها و رایانه شخصی با "Tin Client" به راحتی رمزگذاری می شود، یعنی به روش های سادهمحرمانه بودن داده های ارسالی می تواند تضمین شود.

سرعت نشت اطلاعات بالقوه فقط توسط کانال بصری که با سرعت دوربین یا دوربین فیلمبرداری تعیین می شود محدود خواهد شد، اما با ارائه اقدامات سازمانی خاص، چنین کپی برداری بسیار دشوار می شود.

چگونه می توانید از داده های شخصی محافظت کنید؟

در یک مفهوم گسترده، تضمین حفاظت در برابر دسترسی غیرمجاز به عنوان مجموعه ای از اقدامات سازمانی و فنی درک می شود. این فعالیت ها مبتنی بر درک مکانیسم هایی برای جلوگیری از دسترسی غیرمجاز در سطوح مختلف است:

شناسایی و احراز هویت (همچنین دو عاملی یا قوی). این می تواند (سیستم عامل، نرم افزار زیرساخت، نرم افزار کاربردی، سخت افزار مانند دانگل) باشد.

ثبت و حسابداری. این می تواند ثبت (ورود، ثبت) رویدادها در تمام سیستم ها، نرم افزارها و ابزارهای فوق باشد.

تضمین یکپارچگی. این می تواند محاسبه جمع های چک فایل های کنترل شده، اطمینان از یکپارچگی اجزای نرم افزار، با استفاده از یک حلقه بسته باشد. محیط نرم افزار، و همچنین اطمینان از بارگیری سیستم عامل قابل اعتماد)؛

فایروال، هم دروازه و هم محلی؛

امنیت ضد ویروس (حداکثر سه سطح دفاع استفاده می شود، به اصطلاح رویکرد لایه ای یا چند فروشنده)؛

رمزنگاری (به طور عملکردی در سطوح مختلف مدل OSI (شبکه، حمل و نقل و بالاتر) اعمال می شود و عملکردهای امنیتی مختلفی را ارائه می دهد.

چندین محصول پیچیده وجود دارد که عملکرد NSD را توسعه داده اند. همه آنها در انواع برنامه ها، پشتیبانی سخت افزاری، نرم افزار و توپولوژی پیاده سازی متفاوت هستند.

هنگامی که ISPD توزیع می شود یا به یک شبکه عمومی (اینترنت، Rostelecom و غیره) متصل می شود، از محصولات تجزیه و تحلیل امنیتی (MaxPatrol از Positive Technologies، که هیچ رقیب مستقیمی در فدراسیون روسیه ندارد)، و همچنین تشخیص نفوذ و پیشگیری (IDS) استفاده می شود. /IPS) - مانند در سطح دروازه و در سطح گره انتهایی.

چگونه می توان اطلاعات شخصی را انتقال داد؟

اگر PDIS توزیع شده باشد، این به معنای نیاز به انتقال PD از طریق کانال های ارتباطی ناامن است. به هر حال، کانال "هوا" به کانال محافظت نشده نیز اشاره دارد. برای محافظت از داده های شخصی در کانال های ارتباطی می توان از روش های مختلفی استفاده کرد:

رمزگذاری کانال ارتباطی می توان به هر طریقی مانند VPN بین دروازه ها، VPN بین سرورها، VPN بین ایستگاه های کاری (InfoTecs ViPNet Custom، Informzashchita APKSh Kontinent و غیره) ارائه کرد.

سوئیچینگ بسته MPLS بسته ها در طول مسیرهای مختلف مطابق با برچسب های اختصاص داده شده توسط تجهیزات شبکه منتقل می شوند. به عنوان مثال، شبکه MPLS Rostelecom دارای گواهی انطباق شبکه سوئیچینگ بسته با الزامات امنیت اطلاعات FSTEC روسیه است که تضمین کننده امنیت بالای خدمات ارائه شده بر اساس آن است.

رمزگذاری اسناد نرم افزارهای مختلفی را می توان برای رمزگذاری فایل های داده و همچنین فایل های کانتینری (ViPNet SafeDisk، InfoWatch CryptoStorage، True Crypt و غیره) استفاده کرد.

رمزگذاری آرشیوها از آرشیوهای مختلفی می توان استفاده کرد که به شما امکان می دهد با استفاده از الگوریتم های رمزنگاری مانند AES فایل ها را بایگانی و رمزگذاری کنید. (WinRAR، WinZIP، 7-ZIP، و غیره).

آیا باید از تجهیزات حفاظتی تایید شده استفاده کنم؟

امروزه فقط یک الزام FSTEC روسیه در مورد صدور گواهینامه وسایل حفاظت از داده های شخصی وجود دارد. الزام مربوط به ارائه قابلیت های اعلام نشده سطح 4 است، بنابراین در مورد آخرین موضوع فقط سه پایان نامه را ارائه می کنم:

سیستم صدور گواهینامه برای تجهیزات حفاظتی داوطلبانه است.

رعایت الزامات قانونی کافی است.

نیازی به تایید سیستم اطلاعات شخصی به عنوان یک کل نیست.

شائورو اوگنی

معرفی

ارتباط. که در دنیای مدرناطلاعات به یک منبع استراتژیک، یکی از ثروت های اصلی یک کشور توسعه یافته اقتصادی تبدیل می شود. بهبود سریع اطلاعات در روسیه، نفوذ آن به تمام حوزه های منافع حیاتی فرد، جامعه و دولت، علاوه بر مزایای بدون شک، باعث ظهور تعدادی از مشکلات مهم نیز شده است. یکی از آنها نیاز به حفاظت از اطلاعات بود. با توجه به اینکه در حال حاضر پتانسیل اقتصادی به طور فزاینده ای توسط سطح توسعه ساختار اطلاعات تعیین می شود، آسیب پذیری بالقوه اقتصاد از تأثیرات اطلاعاتی به طور متناسب در حال رشد است.

در حال گسترش سیستم های کامپیوتریترکیب آنها در شبکه های ارتباطی، امکان نفوذ الکترونیکی به آنها را افزایش می دهد. معضل جرایم رایانه ای در همه کشورهای جهان صرف نظر از موقعیت جغرافیایی آنها، جلب توجه هر چه بیشتر مردم و تلاش برای سازماندهی مبارزه با این نوع جرایم را ایجاب می کند. جرایم در سیستم های بانکی خودکار و تجارت الکترونیکی به ویژه گسترده شده است. بر اساس داده های خارجی، زیان بانک ها در نتیجه جرایم رایانه ای سالانه به میلیاردها دلار می رسد. اگرچه سطح اجرای جدیدترین فناوری های اطلاعاتی در روسیه چندان قابل توجه نیست، جرایم رایانه ای هر روز بیشتر احساس می شود و محافظت از دولت و جامعه در برابر آنها به یک وظیفه فوق العاده برای مقامات ذیصلاح تبدیل شده است.

هیچ کس در ارتباط موضوع حفاظت از داده های شخصی شک ندارد. این در درجه اول به دلیل ضرب الاجل تعیین شده برای تطبیق سیستم های اطلاعات شخصی (PDIS) با قانون فدرالمورخ 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی". این ضرب الاجل به طور اجتناب ناپذیری نزدیک است و در عین حال دشواری آشکار تحقق الزامات اسناد راهنمایی نظارتی، اختلاف نظرها و تفسیرهای مبهم زیادی را برمی انگیزد. در عین حال، محرمانه بودن برخی اسناد حاکم، نامشخص بودن وضعیت حقوقی آنها و همچنین تعدادی از مسائل دیگر کمکی به حل مشکل نمی کند. همه اینها شرایطی را ایجاد می کند که چارچوب نظارتی نهایی نشده است و لازم است از هم اکنون الزامات قانونی رعایت شود.

می 2009 اولین جلسه برگزار شد گروه کاریدر مورد موضوع داده های شخصی در ARB. در این رویداد، طی یک بحث آزاد، حوزه‌های مشکلی که جامعه بانکی را مورد توجه قرار می‌دهد، به وضوح شناسایی شد. اساساً آنها نگران بودند حفاظت فنیداده های شخصی و تعامل آتی بین مؤسسات مالی و FSTEC. نمایندگان بانک روسیه در سخنرانی خود تحولات مربوط به سازماندهی اجرای قانون "در مورد داده های شخصی" را اعلام کردند. اساساً تلاش های بانک روسیه برای یافتن سازش با تنظیم کننده ها در رابطه با فرمولاسیون جدید و مهم است. الزامات فنیبرای جامعه بانکی من به ویژه می خواهم به فعالیت بانک مرکزی فدراسیون روسیه در همکاری با FSTEC روسیه اشاره کنم. با در نظر گرفتن تعداد زیادی از مشکلات در تحقق الزامات اسناد حاکم FSTEC ، بانک روسیه تصمیم گرفت اسناد خود را تهیه کند (اسناد پیش نویس) که در حال حاضر با FSTEC مطابقت دارد. می توان فرض کرد که احتمال ظهور یک استاندارد صنعتی جدید برای موسسات مالی در مورد داده های شخصی وجود دارد.

هدف از کار دوره مطالعه روش های حفاظت از داده های شخصی در سیستم های بانکداری آنلاین است.

برای رسیدن به هدف، وظایف زیر حل شد:

مطالعه رویکردها و اصول اساسی تضمین امنیت؛

تعیین روشها و ابزارهای تضمین امنیت؛

شناسایی ویژگی های تضمین امنیت داده های شخصی در سیستم های بانکداری آنلاین؛

توسعه اقداماتی برای اطمینان از امنیت داده های شخصی در سیستم های بانکداری آنلاین.

موضوع مطالعه سیستم های اطلاعات بانکی است.

موضوع تحقیق، امنیت اطلاعات شخصی در سیستم های بانکداری آنلاین است.

مبانی نظری و روش‌شناختی این مطالعه بر اساس اصول نظری، کار دانشمندان و تحقیقات متخصصان در زمینه ارائه اطلاعات بود.

مبنای روش شناختی کار دوره یک رویکرد سیستماتیک برای مطالعه مشکلات امنیتی بود.

از تحلیل منطقی، تطبیقی ​​حقوقی و سیستمی استفاده شد. علاوه بر این، روش تحلیل ساختاری به کار رفته به ما این امکان را می دهد که با دقت لازم اجزای منفرد پدیده مورد مطالعه را مطالعه کرده و رابطه این عناصر را با یکدیگر و همچنین با کل کلی تحلیل کنیم.

1. جنبه های نظری حفاظت از داده های شخصی در سیستم های بانکداری آنلاین

1.1 رویکردها، اصول امنیت

تضمین امنیت سیستم های اطلاعاتی به معنای اقداماتی است که از یک سیستم اطلاعاتی در برابر تداخل تصادفی یا عمدی در حالت های عملیاتی آن محافظت می کند.

دو رویکرد اساسی برای تضمین امنیت رایانه وجود دارد.

اولین آنها تکه تکه است، در چارچوب آن تمرکز بر مقابله با تهدیدهای کاملاً تعریف شده تحت شرایط خاص (به عنوان مثال، ابزارهای تخصصی ضد ویروس، ابزارهای رمزگذاری مستقل و غیره) وجود دارد. این رویکرد هر دو مزیت را دارد - پیشنهاد سطح بالاگزینش پذیری در رابطه با یک مشکل کاملاً تعریف شده، و کاستی ها - که نشان دهنده پراکندگی حفاظت است - یعنی. عناصر کاملاً تعریف شده

فرآیند مدیریت امنیت اطلاعات شامل اجزای ارائه شده در شکل 1 می باشد. 1.

رویکرد دوم سیستمی است، ویژگی آن این است که در چارچوب آن حفاظت از اطلاعات در مقیاس بزرگتر انجام می شود - یک محیط امن برای پردازش، ذخیره و انتقال اطلاعات ایجاد می شود که ترکیبی از روش ها و ابزارهای ناهمگن برای مقابله با تهدیدات است: نرم افزار و سخت افزار، قانونی، سازمانی و اقتصادی از طریق محیط امن مشخص شده، می توان سطح خاصی از امنیت سیستم اطلاعات خودکار را تضمین کرد.

یک رویکرد سیستماتیک برای حفاظت از اطلاعات مبتنی بر اصول روش شناختی زیر است:

هدف نهایی - اولویت مطلق هدف نهایی (جهانی)؛

وحدت - در نظر گرفتن مشترک سیستم به عنوان یک کل" و به عنوان مجموعه ای از قطعات (عناصر).

اتصال - در نظر گرفتن هر بخشی از سیستم همراه با ارتباطات آن با محیط.

ساخت مدولار - شناسایی ماژول ها در سیستم و در نظر گرفتن آن به عنوان مجموعه ای از ماژول ها.

سلسله مراتب - معرفی سلسله مراتبی از قطعات (عناصر) و رتبه بندی آنها.

عملکرد - در نظر گرفتن مشترک ساختار و عملکرد با اولویت عملکرد بر ساختار.

توسعه - با در نظر گرفتن تنوع سیستم، توانایی آن در توسعه، گسترش، جایگزینی قطعات، جمع آوری اطلاعات.

عدم تمرکز - ترکیبی از تمرکز و تمرکززدایی در تصمیمات اتخاذ شده و مدیریت.

عدم قطعیت - با در نظر گرفتن عدم قطعیت ها و موارد احتمالی در سیستم.

محققان مدرن روش های زیر را شناسایی می کنند:

اصول سازمانی و پیاده سازی امنیت اطلاعات (از جمله کامپیوتر).

اصل قانونی بودن. شامل پیروی از قوانین جاری در زمینه امنیت اطلاعات است.

اصل عدم قطعیت. به دلیل ابهام رفتار سوژه به وجود می آید، یعنی. چه کسی، چه زمانی، کجا و چگونه می تواند امنیت شی محافظت شده را نقض کند.

اصل عدم امکان ایجاد یک سیستم حفاظتی ایده آل. از اصل عدم قطعیت و محدودیت منابع این صندوق ها ناشی می شود.

اصول حداقل خطر و حداقل آسیب ناشی از عدم امکان ایجاد یک سیستم حفاظتی ایده آل است. مطابق با آن، لازم است شرایط خاص وجود یک مورد حفاظتی را برای هر لحظه در نظر گرفت.

اصل زمان امن. شامل در نظر گرفتن زمان مطلق است، یعنی. که در طی آن حفظ اشیاء حفاظتی ضروری است. و زمان نسبی، یعنی. بازه زمانی از لحظه شناسایی اقدامات مخرب تا زمانی که مهاجم به هدف خود برسد.

اصل "حفاظت از همه از همه". این شامل سازماندهی اقدامات حفاظتی در برابر همه اشکال تهدید علیه اشیاء حفاظتی است که نتیجه اصل عدم اطمینان است.

اصول مسئولیت شخصی مسئولیت شخصی هر یک از کارکنان یک مؤسسه، مؤسسه و سازمان را برای رعایت رژیم امنیتی در چارچوب اختیارات، مسئولیت های عملکردی و دستورالعمل های جاری بر عهده می گیرد.

اصل محدودیت اختیارات: شامل محدود کردن اختیارات یک فرد برای آشنایی با اطلاعاتی است که دسترسی به آنها برای انجام عادی وظایف عملکردی او لازم نیست و همچنین ممنوعیت دسترسی به اشیا و مناطق در که ماهیت فعالیت او نیازی به اقامت ندارد.

اصل تعامل و همکاری. در تجلی درونی شامل تزکیه می شود روابط اعتمادبین کارکنان مسئول امنیت (از جمله امنیت اطلاعات) و پرسنل. در تجلی بیرونی - ایجاد همکاری با کلیه سازمان ها و افراد ذینفع (مثلاً سازمان های مجری قانون).

اصل پیچیدگی و فردیت: این به معنای عدم امکان تضمین امنیت هدف حفاظتی با هر اقدامی است، اما تنها با مجموعه ای از اقدامات پیچیده، به هم پیوسته و همپوشانی که با ارجاع فردی به شرایط خاص اجرا می شود.

اصل خطوط ایمنی متوالی: شامل اولین اطلاع رسانی ممکن در مورد تجاوز به ایمنی یک شی محافظت شده خاص یا سایر حوادث نامطلوب به منظور افزایش احتمال اینکه یک سیگنال هشدار اولیه تجهیزات حفاظتی به کارکنان مسئول ایمنی فرصتی را ارائه دهد. برای تعیین به موقع علت زنگ خطر و سازماندهی اقدامات متقابل موثر.

اصول قدرت برابر و قدرت برابر خطوط حفاظتی. استحکام برابر به معنای عدم وجود مناطق محافظت نشده در خطوط حفاظتی است. هم ارزی، مقدار نسبتاً برابری از حفاظت از خطوط حفاظتی را مطابق با درجه تهدیدات برای شی محافظت شده پیش‌فرض می‌گیرد.

روش های تضمین امنیت اطلاعات در یک شرکت به شرح زیر است:

مانع روشی برای مسدود کردن فیزیکی مسیر مهاجم به سمت اطلاعات محافظت شده (تجهیزات، رسانه های ذخیره سازی و غیره) است.

کنترل دسترسی روشی برای محافظت از اطلاعات با تنظیم استفاده از تمام منابع سیستم اطلاعات خودکار یک شرکت است. کنترل دسترسی شامل ویژگی های امنیتی زیر است:

شناسایی کاربران، پرسنل و منابع سیستم اطلاعاتی (تخصیص یک شناسه شخصی برای هر شی).

احراز هویت (تثبیت اصالت) یک شی یا موضوع با استفاده از شناسه ارائه شده توسط آن؛

تأیید صلاحیت (بررسی مطابقت روز هفته، ساعت روز، منابع و روشهای درخواستی با مقررات تعیین شده)؛

ثبت درخواست برای منابع حفاظت شده؛

پاسخ (زنگ هشدار، خاموش شدن، تاخیر در کار، رد درخواست هنگام تلاش برای اقدامات غیرمجاز).

پوشاندن روشی برای محافظت از اطلاعات در سیستم اطلاعات خودکار یک شرکت با بستن رمزنگاری آن است.

مقررات روشی برای حفاظت از اطلاعات است که شرایطی را برای پردازش، ذخیره سازی و انتقال خودکار اطلاعات ایجاد می کند که تحت آن امکان دسترسی غیرمجاز به آن به حداقل می رسد.

اجبار روشی برای حفاظت از اطلاعات است که در آن کاربران و پرسنل سیستم مجبور به پیروی از قوانین پردازش، انتقال و استفاده از اطلاعات محافظت شده تحت تهدید مسئولیت مادی، اداری و کیفری هستند.

القاء روشی برای محافظت از اطلاعات است که کاربران و پرسنل سیستم را تشویق می کند که تخلف نکنند قوانین تعیین شدهاز طریق رعایت استانداردهای اخلاقی و اخلاقی تعیین شده.

روش های فوق برای تضمین امنیت اطلاعات با استفاده از ابزارهای اساسی زیر اجرا می شود: فیزیکی، سخت افزاری، نرم افزاری، سخت افزاری-نرم افزاری، رمزنگاری، سازمانی، قانونی و اخلاقی.

وسایل حفاظت فیزیکی برای محافظت خارجی از قلمرو اشیاء، حفاظت از اجزای یک سیستم اطلاعات خودکار یک شرکت در نظر گرفته شده است و در قالب دستگاه ها و سیستم های مستقل اجرا می شود.

وسایل حفاظت سخت افزاری، وسایل الکترونیکی، الکترومکانیکی و سایر وسایلی هستند که مستقیماً در بلوک های یک سیستم اطلاعاتی خودکار ساخته می شوند یا به عنوان دستگاه های مستقل طراحی می شوند و با این بلوک ها در ارتباط هستند. آنها برای حفاظت داخلی عناصر ساختاری تاسیسات و سیستم ها طراحی شده اند فناوری رایانه: پایانه ها، پردازنده ها، تجهیزات جانبی، خطوط ارتباطی و غیره.

ابزارهای حفاظتی نرم افزار برای انجام عملکردهای حفاظتی منطقی و هوشمند طراحی شده اند و به عنوان بخشی از آن گنجانده شده اند نرم افزارسیستم اطلاعات خودکار یا به عنوان بخشی از وسایل، مجتمع ها و سیستم های تجهیزات کنترلی.

نرم افزار امنیت اطلاعات رایج ترین نوع حفاظت است که دارای ویژگی های مثبت زیر است: تطبیق پذیری، انعطاف پذیری، سهولت اجرا، امکان تغییر و توسعه. این شرایط آنها را در عین حال آسیب پذیرترین عناصر محافظت از سیستم اطلاعات یک شرکت می کند.

ابزارهای حفاظتی سخت افزاری-نرم افزاری وسایلی هستند که در آن نرم افزار (سیستم افزار) و قطعات سخت افزاری کاملاً به هم پیوسته و غیرقابل تفکیک هستند.

ابزارهای رمزنگاری ابزاری برای محافظت از طریق تبدیل اطلاعات (رمزگذاری) هستند.

وسایل سازمانی - اقدامات سازمانی، فنی و سازمانی و قانونی برای تنظیم رفتار پرسنل.

ابزارهای قانونی، اقدامات قانونی کشور هستند که قوانین استفاده، پردازش و انتقال اطلاعات دسترسی محدود را تنظیم می کنند و برای نقض این قوانین مجازات تعیین می کنند.

ابزارهای اخلاقی و اخلاقی - هنجارها، سنت ها در جامعه، به عنوان مثال: کد رفتار حرفه ای برای اعضای انجمن کاربران رایانه در ایالات متحده آمریکا.

1.2 روش ها و ابزارهای امنیتی

مکانیسم های رمزگذاری مختلفی برای اجرای اقدامات امنیتی استفاده می شود، این روش ها برای چه مواردی استفاده می شوند؟ در ابتدا، هنگام ارسال داده ها (متن، گفتار یا نقاشی)، محافظت نشده یا به قول کارشناسان باز است. داده های باز می توانند به راحتی توسط سایر کاربران (عمدا یا غیر عمدی) رهگیری شوند. اگر هدفی برای جلوگیری از دستیابی اطلاعات خاصی به اشخاص ثالث وجود داشته باشد، چنین داده هایی رمزگذاری می شوند. کاربری که اطلاعات مشخص شده برای او در نظر گرفته شده است، سپس آن را با استفاده از تبدیل معکوس رمزنگاری رمزگشایی می کند و داده ها را به شکل مورد نیاز خود دریافت می کند.

رمزگذاری می‌تواند متقارن باشد (یک کلید مخفی برای رمزگذاری استفاده می‌شود) و نامتقارن (یک کلید عمومی برای رمزگذاری استفاده می‌شود و دیگری برای رمزگشایی استفاده می‌شود، نه مرتبط - یعنی اگر یکی از آنها را بشناسید، نمی‌توانید دیگری را تعیین کنید).

مکانیسم های امنیتی عبارتند از:

) مکانیسم های دیجیتال امضای الکترونیکمبتنی بر الگوریتم‌های رمزگذاری نامتقارن هستند و شامل دو رویه هستند: تشکیل امضا توسط فرستنده و شناسایی آن توسط گیرنده. تشکیل یک امضا توسط فرستنده تضمین می‌کند که بلوک داده رمزگذاری شده یا با یک جمع‌بندی رمزنگاری تکمیل شده است و در هر دو مورد از کلید مخفی فرستنده استفاده می‌شود. یک کلید عمومی برای شناسایی استفاده می شود.

) مکانیسم های کنترل دسترسی، اختیار برنامه ها و کاربران را برای دسترسی به منابع شبکه بررسی می کنند. هنگامی که یک منبع از طریق یک اتصال دسترسی پیدا می کند، کنترل هم در نقطه مبدا و هم در نقاط میانی و هم در نقطه پایان انجام می شود.

) مکانیسم های یکپارچگی داده ها برای هر بلوک و جریان داده اعمال می شود. فرستنده بلوک ارسال شده را با مقدار رمزنگاری تکمیل می کند و گیرنده آن را با مقدار رمزنگاری مربوط به بلوک دریافتی مقایسه می کند. اختلاف نشان دهنده تحریف اطلاعات در بلوک است.

) مکانیسم های راه اندازی ترافیک. آنها بر اساس تولید بلوک توسط اشیاء AIS، رمزگذاری آنها و سازماندهی انتقال از طریق کانال های شبکه هستند. این امر امکان به دست آوردن اطلاعات از طریق مشاهده را خنثی می کند ویژگی های خارجیجریان هایی که از طریق کانال های ارتباطی در گردش هستند.

) مکانیسم های کنترل مسیریابی، انتخاب مسیرها را برای حرکت اطلاعات در طول آن تضمین می کند شبکه ارتباطیبه گونه ای که از انتقال اطلاعات حساس از طریق کانال های ناامن و از نظر فیزیکی غیرقابل اعتماد جلوگیری شود.

) مکانیسم های داوری تأیید ویژگی های داده های منتقل شده بین نهادها توسط شخص ثالث را فراهم می کند. برای انجام این کار، اطلاعات ارسال یا دریافت شده توسط اشیا از داور عبور می کند که به او اجازه می دهد تا متعاقباً ویژگی های ذکر شده را تأیید کند.

معایب اصلی سیستم امنیتی تأسیسات اقتصادی عبارتند از:

-درک محدود و غیرسیستماتیک مشکل ایمنی تأسیسات؛

-غفلت از پیشگیری از تهدیدات، کار بر اساس اصل "اگر تهدیدی ظاهر شد، ما شروع به از بین بردن آن می کنیم".

-بی کفایتی در اقتصاد امنیت، ناتوانی در مقایسه هزینه ها و نتایج؛

-"تکنوکراتیسم" متخصصان مدیریت و امنیت، تفسیر همه وظایف به زبان منطقه ای آشنا برای آنها.

به عنوان نتیجه گیری از فصل اول کار، موارد زیر را مشخص می کنیم. تضمین امنیت سیستم های اطلاعاتی به اقدامات خاصی اشاره دارد که به وسیله آن یک سیستم اطلاعاتی از تداخل تصادفی یا عمدی در حالت های عملکرد خود محافظت می شود. برای تضمین امنیت، دو رویکرد اصلی وجود دارد: 1) تکه تکه شدن، که در چارچوب آن با برخی تهدیدات تحت شرایط خاصی مقابله می شود. و 2) سیستمیک، که در آن یک محیط امن برای پردازش، ذخیره و انتقال اطلاعات ایجاد می شود که ترکیبی از انواع مختلفروش ها و ابزارهای مقابله با تهدیدها ابزارها و مکانیسم های مختلفی برای حفاظت از اطلاعات استفاده می شود. ابزارها عبارتند از: رمزگذاری، ضبط الکترونیکی دیجیتال، کنترل دسترسی، مرحله بندی ترافیک و غیره.

سیستم امنیتی آنلاین بانکی

2. ویژگی های تضمین امنیت داده های شخصی در سیستم های بانکداری آنلاین

2.1. شرایط عمومی برای اطمینان از امنیت داده های شخصی در سیستم های بانکداری آنلاین

حفاظت اطلاعات شخصی- این وضعیت امنیت اطلاعات و زیرساخت های پشتیبان آن (رایانه ها، خطوط ارتباطی، سیستم های منبع تغذیه و غیره) از اثرات تصادفی یا عمدی است که می تواند به صاحبان یا کاربران این اطلاعات آسیب برساند.

امنیت اطلاعات اعتبارنامه ها نیز به این معناست: قابلیت اطمینان تضمین شده رایانه؛ ایمنی اعتبارنامه های ارزشمند؛ محافظت از اطلاعات شخصی در برابر تغییرات آن توسط افراد غیرمجاز؛ حفظ اعتبار اسنادی در ارتباطات الکترونیکی.

اهداف امنیت اطلاعات در حسابداری منابع اطلاعاتی حاوی اطلاعات طبقه بندی شده به عنوان اسرار تجاری و اطلاعات محرمانه است. و همچنین ابزارها و سیستم های فناوری اطلاعات.

مالک منابع اطلاعاتسیستم‌های اطلاعاتی، فناوری‌ها و وسایل پشتیبانی از آنها موضوعی است که مالکیت و استفاده از این اشیاء را انجام می‌دهد و در حدودی که قانون تعیین می‌کند، اختیارات دفع را اعمال می‌کند.

کاربر اطلاعات به موضوعی گفته می شود که برای به دست آوردن اطلاعات مورد نیاز خود به یک سیستم اطلاعاتی یا واسطه مراجعه می کند و از آن استفاده می کند.

منابع اطلاعاتی اسناد منفرد و آرایه های جداگانه اسناد، اسناد و آرایه های اسناد در سیستم های اطلاعاتی هستند.

تهدید امنیت اطلاعات شامل یک اقدام بالقوه است که از طریق تأثیر آن بر اجزای آن انجام می شود سیستم شخصیممکن است به صاحبان منابع اطلاعاتی یا کاربران سیستم منجر شود.

رژیم حقوقی منابع اطلاعاتی توسط قوانینی تعیین می شود:

روش برای مستندسازی اطلاعات؛

مالکیت اسناد فردی و پرونده های فردی

اسناد، اسناد و آرایه های اسناد در سیستم های اطلاعاتی؛ دسته بندی اطلاعات با توجه به سطح دسترسی به آن؛ رویه حفاظت قانونی از اطلاعات

اصل اصلی نقض شده هنگام اجرای تهدید اطلاعات در حسابداری، اصل مستندسازی اطلاعات است. یک سند حسابداری دریافت شده از یک سیستم اطلاعات حسابداری خودکار پس از امضای آن توسط یک مقام رسمی به روشی که توسط قانون فدراسیون روسیه تعیین شده است، نیروی قانونی پیدا می کند.

کل مجموعه تهدیدات بالقوه در حسابداری را با توجه به ماهیت وقوع آنها می توان به دو دسته طبیعی (عینی) و مصنوعی تقسیم کرد.

تهدیدهای طبیعی ناشی از دلایل عینی است که معمولاً خارج از کنترل حسابدار است و منجر به تخریب کامل یا جزئی واحد حسابداری به همراه اجزای آن می شود. این گونه پدیده های طبیعی عبارتند از: زلزله، صاعقه، آتش سوزی و غیره.

تهدیدات انسان ساز با فعالیت های انسانی مرتبط است. آنها را می توان به غیر عمد (غیر عمدی) تقسیم کرد که ناشی از توانایی کارکنان در انجام هرگونه اشتباه به دلیل بی توجهی یا خستگی، بیماری و غیره است. به عنوان مثال، یک حسابدار هنگام وارد کردن اطلاعات به رایانه، ممکن است کلید اشتباه را فشار دهد، اشتباهات غیر عمدی در برنامه ایجاد کند، ویروس معرفی کند یا به طور تصادفی رمز عبور را فاش کند.

تهدیدهای عمدی (عمدی) با آرزوهای خودخواهانه افراد مرتبط است - مهاجمانی که به عمد اسناد جعلی ایجاد می کنند.

تهدیدات امنیتی را از نظر تمرکز می توان به گروه های زیر تقسیم کرد:

تهدیدات نفوذ و خواندن داده ها از پایگاه های اطلاعاتی اعتبار و برنامه های کامپیوتریپردازش آنها؛

تهدید به ایمنی مدارک، که منجر به تخریب یا اصلاح آنها می شود، از جمله جعل اسناد پرداخت (درخواست های پرداخت، سفارش ها و غیره).

تهدیدات در دسترس بودن داده ها که زمانی رخ می دهد که کاربر نتواند به اعتبارنامه ها دسترسی داشته باشد.

تهدید امتناع از انجام عملیات، زمانی که یک کاربر پیامی را به دیگری ارسال می کند و سپس داده های ارسال شده را تأیید نمی کند.

فرآیندهای اطلاعاتی فرآیندهای جمع آوری، پردازش، انباشت، ذخیره، جستجو و توزیع اطلاعات هستند.

سیستم اطلاعاتی مجموعه‌ای از اسناد است که به‌صورت سازمانی مرتب شده‌اند (آرایه‌هایی از اسناد و فناوری‌های اطلاعاتی، از جمله استفاده از فناوری رایانه و ارتباطات که فرآیندهای اطلاعاتی را پیاده‌سازی می‌کنند).

مستندسازی اطلاعات به روشی انجام می شود که توسط ارگان های دولتی مسئول سازماندهی کار اداری، استانداردسازی اسناد و آرایه های آنها و امنیت فدراسیون روسیه تعیین شده است.

بسته به منبع تهدید می توان آنها را به داخلی و خارجی تقسیم کرد.

منشأ تهدیدهای داخلی، فعالیت های پرسنل سازمان است. تهدیدهای خارجی از خارج از سوی کارمندان سازمان های دیگر، هکرها و افراد دیگر می آید.

تهدیدهای خارجی را می توان به موارد زیر تقسیم کرد:

محلی، که شامل ورود متجاوز به قلمرو سازمان و دسترسی به یک کامپیوتر جداگانه یا شبکه محلی است.

تهدیدات از راه دور برای سیستم های متصل به آن معمول است شبکه های جهانی(اینترنت، سیستم پرداخت بانکی بین المللی سوئیفت و ...).

چنین خطراتی اغلب در سیستم پرداخت الکترونیکی هنگام پرداخت بین تامین کنندگان و خریداران و استفاده از شبکه های اینترنتی در پرداخت ها بروز می کند. منابع چنین حملات اطلاعاتی را می توان در هزاران کیلومتر دورتر قرار داد. علاوه بر این، نه تنها رایانه ها، بلکه اطلاعات حسابداری نیز تحت تأثیر قرار می گیرند.

خطاهای عمدی و غیرعمدی در حسابداری که منجر به افزایش ریسک حسابداری می شود عبارتند از: اشتباهات در ثبت اطلاعات حسابداری. کدهای نادرست؛ معاملات حسابداری غیرمجاز؛ نقض محدودیت های کنترل؛ از دست رفته حساب ها; خطا در پردازش یا خروجی داده ها؛ خطا در تشکیل یا تصحیح دایرکتوری ها؛ حساب های ناقص؛ تخصیص نادرست سوابق به دوره ها؛ جعل داده ها؛ نقض الزامات نظارتی؛ نقض اصول سیاست شخصی; اختلاف بین کیفیت خدمات و نیازهای کاربران

اطلاعاتی که یک اسرار تجاری را تشکیل می‌دهند و به اطلاعات شخصی و گزارش‌دهی (داده‌های شرکا، مشتریان، بانک‌ها، اطلاعات تحلیلی درباره فعالیت‌های بازار) مربوط می‌شوند، بسیار خطرناک هستند. برای محافظت از این اطلاعات و اطلاعات مشابه، لازم است با کارکنان حسابداری، خدمات مالی و سایر بخش های اقتصادی توافق نامه هایی تنظیم شود که فهرستی از اطلاعاتی را که مشمول افشای عمومی نیستند، نشان دهد.

حفاظت از اطلاعات در سیستم های حسابداری خودکار بر اصول اساسی زیر استوار است.

اطمینان از جداسازی فیزیکی مناطق در نظر گرفته شده برای پردازش اطلاعات طبقه بندی شده و طبقه بندی نشده.

تضمین حفاظت رمزنگاری اطلاعات اطمینان از احراز هویت مشترکین و تاسیسات مشترکین. حصول اطمینان از تمایز دسترسی افراد و فرآیندهای آنها به اطلاعات. حصول اطمینان از صحت و صحت پیام های اسنادی هنگام انتقال آنها از طریق کانال های ارتباطی.

حصول اطمینان از حفاظت از تجهیزات و وسایل فنی سیستم، اماکنی که در آن قرار دارند، از نشت اطلاعات محرمانه از طریق کانال های فنی.

حصول اطمینان از حفاظت از فناوری رمزگذاری، تجهیزات، فنی و نرم افزاراز نشت اطلاعات به دلیل نشانک های سخت افزاری و نرم افزاری.

اطمینان از کنترل یکپارچگی نرم افزار و بخش اطلاعاتی سیستم خودکار.

استفاده از وسایل داخلی به عنوان مکانیزم حفاظتی

منابع اطلاعات دولتی فدراسیون روسیه باز و در دسترس عموم است. استثنا اطلاعات مستندی است که طبق قانون به عنوان دسترسی محدود طبقه بندی شده است. اطلاعات مستند با دسترسی محدود طبق شرایط آن رژیم حقوقیبه اطلاعات طبقه بندی شده به عنوان سری دولتی و محرمانه تقسیم می شود. فهرست اطلاعات محرمانه، به ویژه اطلاعات مربوط به فعالیت های تجاری، با فرمان رئیس جمهور فدراسیون روسیه در تاریخ 6 مارس 1997 شماره 188 (پیوست شماره) تحولات ایجاد شده است.

حصول اطمینان از اقدامات حفاظتی سازمانی و رژیمی. توصیه می شود از اقدامات اضافی برای اطمینان از امنیت ارتباطات در سیستم استفاده کنید.

سازماندهی حفاظت از اطلاعات در مورد شدت، مدت و ترافیک تبادل اطلاعات.

استفاده از کانال ها و روش هایی برای انتقال و پردازش اطلاعاتی که رهگیری را دشوار می کند.

محافظت از اطلاعات در برابر دسترسی غیرمجاز با هدف تشکیل سه ویژگی اصلی اطلاعات محافظت شده است:

محرمانه بودن (اطلاعات طبقه بندی شده باید فقط برای کسانی که برای آنها در نظر گرفته شده است قابل دسترسی باشد).

صداقت (اطلاعاتی که بر اساس آنها تصمیم گیری می شود تصمیمات مهم، باید قابل اعتماد، دقیق و کاملاً از تحریفات غیرعمدی و مخرب احتمالی محافظت شود).

آمادگی (اطلاعات و خدمات اطلاعاتی مرتبط باید در دسترس باشد و آماده خدمت به ذینفعان در هر زمان که نیاز باشد).

روشهای تضمین حفاظت از اطلاعات شخصی عبارتند از: موانع؛ کنترل دسترسی، استتار، مقررات، اجبار، القاء.

یک مانع باید روشی برای مسدود کردن فیزیکی مسیر مهاجم به اطلاعات شخصی محافظت شده در نظر گرفته شود. این روش توسط سیستم دسترسی شرکت از جمله وجود امنیت در ورودی آن، مسدود کردن مسیر افراد غیرمجاز به بخش حسابداری، صندوق نقد و غیره اجرا می شود.

کنترل دسترسی روشی برای حفاظت از اطلاعات شخصی و گزارش دهی است که از طریق زیر اجرا می شود:

احراز هویت - تعیین اصالت یک شی یا موضوع توسط شناسه ارائه شده توسط آنها (که با مقایسه شناسه وارد شده با شناسه ذخیره شده در حافظه رایانه انجام می شود).

بررسی های مرجع - بررسی انطباق منابع درخواستی و عملیات انجام شده بر اساس منابع تخصیص یافته و رویه های مجاز. ثبت درخواست برای منابع حفاظت شده؛

اطلاع رسانی و پاسخ به اقدامات غیرمجاز. (رمزنگاری روشی برای محافظت از طریق تبدیل اطلاعات (رمزگذاری) است).

در مجموعه BEST-4، دسترسی به اطلاعات در سطح زیرسیستم های فردی محدود شده و با تنظیم رمزهای عبور دسترسی جداگانه تضمین می شود. در طول راه اندازی اولیه یا در هر زمان در حین کار با برنامه، مدیر سیستم می تواند یک یا چند کلمه عبور را تنظیم یا تغییر دهد. هر بار که وارد زیر سیستم می شوید رمز عبور درخواست می شود.

علاوه بر این، برخی از ماژول ها سیستم خود را برای محدود کردن دسترسی به اطلاعات دارند. این توانایی محافظت از هر آیتم منو با رمزهای عبور ویژه را فراهم می کند. رمزهای عبور همچنین می توانند از دسترسی به زیرمجموعه های جداگانه اسناد اولیه محافظت کنند: به عنوان مثال، در محل کار خودکار "حسابداری موجودی در انبار" و "حسابداری کالاها و محصولات" امکان تنظیم رمزهای عبور دسترسی به هر انبار به طور جداگانه، در محل کار خودکار وجود دارد. "حسابداری معاملات نقدی" - دسترسی به رمزهای عبور برای هر صندوق نقدی، در محل کار خودکار "حسابداری برای تسویه حساب با بانک" - به رمزهای عبور هر حساب بانکی دسترسی داشته باشید.

به ویژه قابل توجه این واقعیت است که برای محدود کردن مؤثر دسترسی به اطلاعات، اول از همه، لازم است که با رمزهای عبور از حالت های تعیین رمز عبور برای دسترسی به بلوک های خاص محافظت شود.

1C.Enterprise، نسخه 7.7 حفاظت اطلاعات خاص خود را دارد - حقوق دسترسی. به منظور ادغام و جداسازی دسترسی کاربر به اطلاعات هنگام کار با سیستم 1C.Enterprise در شبکه کامپیوترهای شخصی، پیکربندی سیستم به شما اجازه می دهد تا حقوقی را برای هر کاربر تنظیم کنید تا با اطلاعات پردازش شده توسط سیستم کار کند. حقوق را می توان در محدوده نسبتاً گسترده ای تنظیم کرد - از توانایی مشاهده انواع خاصی از اسناد تا مجموعه کاملحق ورود، مشاهده، تصحیح و حذف هر نوع داده.

تخصیص حقوق دسترسی به یک کاربر در 2 مرحله انجام می شود. در مرحله اول، مجموعه های استانداردی از حقوق کار با اطلاعات ایجاد می شود که معمولاً در وسعت قابلیت های دسترسی ارائه شده متفاوت است. در مرحله دوم، یکی از این مجموعه های استاندارد حقوق به کاربر اختصاص داده می شود.

تمام کار روی ایجاد مجموعه استاندارد حقوق در برگه "حقوق" پنجره "پیکربندی" انجام می شود. این پنجره با انتخاب آیتم "پیکربندی باز" از منوی "پیکربندی" منوی اصلی برنامه فراخوانی می شود.

2.2 مجموعه ای از اقدامات برای تضمین امنیت داده های شخصی در سیستم های بانکداری آنلاین

توجیه مجموعه ای از اقدامات برای اطمینان از امنیت داده های شخصی در ISPD با در نظر گرفتن نتایج ارزیابی خطر تهدیدات و تعیین کلاس ISPD بر اساس "اقدامات اساسی برای سازماندهی و سازماندهی" انجام می شود. پشتیبانی فنیامنیت داده های شخصی پردازش شده در سیستم های اطلاعات داده های شخصی."

در این مورد، اقدامات باید برای:

شناسایی و بستن کانال های فنی نشت داده های شخصی در سیستم اطلاعاتی؛

حفاظت از داده های شخصی در برابر دسترسی غیرمجاز و اقدامات غیرقانونی؛

نصب، پیکربندی و استفاده از تجهیزات حفاظتی.

اقدامات برای شناسایی و بستن کانال های فنی نشت داده های شخصی در سیستم اطلاعاتی بر اساس تجزیه و تحلیل و ارزیابی تهدیدات برای امنیت داده های شخصی تدوین شده است.

اقدامات برای محافظت از داده های شخصی در طول پردازش آنها در ISPD از دسترسی غیرمجاز و اقدامات غیرقانونی عبارتند از:

کنترل دسترسی؛

ثبت و حسابداری؛

تضمین یکپارچگی؛

کنترل عدم وجود قابلیت های اعلام نشده؛

حفاظت از آنتی ویروس؛

اطمینان از تعامل ایمن کار اینترنتی ISPD؛

تجزیه و تحلیل امنیتی؛

تشخیص نفوذ

پیشنهاد می شود زیرسیستم کنترل دسترسی، ثبت و حسابداری بر اساس ابزارهای نرم افزاری برای مسدودسازی اقدامات غیرمجاز، سیگنالینگ و ثبت نام پیاده سازی شود. اینها نرم افزارها و سخت افزارها و نرم افزارهای خاصی هستند که در هسته هیچ سیستم عاملی برای محافظت از خود سیستم عامل ها، پایگاه داده های الکترونیکی داده های شخصی و برنامه های کاربردی گنجانده نشده اند. آنها عملکردهای حفاظتی را به طور مستقل یا در ترکیب با سایر ابزارهای حفاظتی انجام می دهند و با هدف حذف یا پیچیده کردن اجرای اقدامات یک کاربر یا متخلف برای ISPD خطرناک هستند. این شامل ابزارهای ویژهو سیستم های نرم افزاریحفاظت، که عملکردهای تشخیص، ثبت، تخریب، سیگنالینگ و شبیه سازی را اجرا می کند.

ابزارهای تشخیصی آزمایش را انجام می دهند سیستم فایلو پایگاه های داده PD، جمع آوری مداوم اطلاعات در مورد عملکرد عناصر زیر سیستم امنیت اطلاعات.

ابزارهای تخریب برای از بین بردن داده های باقیمانده طراحی شده اند و ممکن است در صورت تهدید دسترسی غیرمجاز که توسط سیستم مسدود نمی شود، امکان تخریب داده های اضطراری را فراهم کنند.

ابزارهای سیگنالینگ برای هشدار دادن به اپراتورها هنگام دسترسی به PD محافظت شده و هشدار دادن به مدیر در هنگام تشخیص واقعیت دسترسی غیرمجاز به PD و سایر حقایق نقض حالت عملکرد عادی ISPD طراحی شده اند.

ابزارهای شبیه‌سازی کار با متخلفان را هنگامی که تلاشی برای دستکاری داده‌های شخصی یا نرم‌افزار محافظت‌شده شناسایی می‌شود، شبیه‌سازی می‌کنند. تقلید به شما امکان می‌دهد زمان تعیین مکان و ماهیت داده‌های غیرمجاز را افزایش دهید، که به ویژه در شبکه‌های توزیع‌شده جغرافیایی مهم است و اطلاعات نادرست به متخلف در مورد مکان داده‌های شخصی محافظت‌شده اطلاع‌رسانی کنید.

زیرسیستم یکپارچگی در درجه اول توسط سیستم عامل ها و سیستم های مدیریت پایگاه داده پیاده سازی می شود. ابزارهایی برای افزایش قابلیت اطمینان و اطمینان از یکپارچگی داده های ارسالی و قابلیت اطمینان تراکنش ها، که در سیستم عامل ها و سیستم های مدیریت پایگاه داده تعبیه شده است، بر اساس محاسبه است. چک جمع ها، اطلاع از عدم ارسال بسته پیام، ارسال مجدد بسته پذیرفته نشده.

زیرسیستم نظارت بر عدم وجود قابلیت های اعلام نشده در بیشتر موارد بر اساس سیستم های مدیریت پایگاه داده، ابزارهای امنیت اطلاعات و ابزارهای امنیت اطلاعات ضد ویروس اجرا می شود.

برای اطمینان از امنیت PD و محیط نرم افزاری و سخت افزاری ISPD که این اطلاعات را پردازش می کند، توصیه می شود از ابزارهای حفاظت ضد ویروس ویژه ای استفاده کنید که انجام می دهند:

شناسایی و (یا) مسدود کردن اثرات مخرب ویروسی بر روی نرم‌افزارهای کاربردی و سیستمی که داده‌های شخصی و همچنین داده‌های شخصی را پردازش می‌کنند.

شناسایی و حذف ویروس های ناشناخته؛

اطمینان از نظارت بر خود (جلوگیری از عفونت) این محصول آنتی ویروس در هنگام راه اندازی.

هنگام انتخاب ابزارهای محافظت از آنتی ویروس، توصیه می شود عوامل زیر را در نظر بگیرید:

سازگاری این ابزارها با نرم افزار استاندارد ISPD.

درجه کاهش عملکرد ISPD برای هدف اصلی آن؛

در دسترس بودن ابزاری برای مدیریت متمرکز عملکرد ابزارهای حفاظت ضد ویروس از محل کار مدیر امنیت اطلاعات در ISPD.

توانایی اطلاع رسانی سریع به مدیر امنیت اطلاعات در ISPD در مورد تمام رویدادها و حقایق تجلی نرم افزار و تأثیرات ریاضی (PMI)؛

در دسترس بودن اسناد دقیق در مورد عملکرد ابزار محافظت از ضد ویروس؛

توانایی آزمایش دوره ای یا خودآزمایی ابزار محافظت ضد ویروس؛

امکان افزایش ترکیب تجهیزات حفاظتی در برابر جنگ جهانی دوم با تجهیزات جدید وجوه اضافیبدون محدودیت قابل توجه در عملکرد ISPD و "تعارض" با سایر انواع وسایل امنیتی.

شرح روش نصب، پیکربندی، پیکربندی و مدیریت ابزارهای حفاظت ضد ویروس، و همچنین روش اقدام در صورت شناسایی حمله ویروس یا سایر موارد نقض الزامات حفاظت در برابر تأثیرات برنامه-ریاضی باید گنجانده شود. در دفترچه راهنمای مدیر امنیت اطلاعات در ISPD.

برای محدود کردن دسترسی به منابع ISDN در طول تعامل اینترنت، از فایروال استفاده می شود که توسط نرم افزار و فایروال های سخت افزاری-نرم افزاری (FW) پیاده سازی می شود. یک فایروال بین شبکه محافظت شده به نام شبکه داخلی و شبکه خارجی نصب می شود. فایروال بخشی از شبکه محافظت شده است. برای آن، از طریق تنظیمات، قوانینی به طور جداگانه تنظیم شده است که دسترسی از شبکه داخلی به شبکه خارجی و بالعکس را محدود می کند.

برای اطمینان از کار اینترنتی ایمن در کلاس 3 و 4 ISPD، توصیه می شود حداقل از سطح امنیت پنجم از ME استفاده کنید.

برای اطمینان از کار اینترنتی ایمن در کلاس 2 ISPD، توصیه می شود از ME حداقل از سطح چهارم امنیتی استفاده کنید.

برای اطمینان از کار اینترنتی ایمن در کلاس 1 ISPD، توصیه می شود حداقل از سطح سوم امنیت از ME استفاده کنید.

زیر سیستم تحلیل امنیت بر اساس استفاده از ابزارهای تست (تحلیل امنیتی) و کنترل امنیت اطلاعات (حسابرسی) پیاده سازی شده است.

ابزارهای تجزیه و تحلیل امنیتی برای نظارت بر تنظیمات امنیتی سیستم عامل ها در ایستگاه های کاری و سرورها استفاده می شود و امکان ارزیابی احتمال حمله مهاجمان به تجهیزات شبکه و نظارت بر امنیت نرم افزار را فراهم می کند. برای انجام این کار، آنها توپولوژی شبکه را بررسی می کنند و به دنبال محافظت نشده یا غیرمجاز می گردند اتصالات شبکه، تنظیمات فایروال را بررسی کنید. چنین تجزیه و تحلیلی بر اساس توضیحات دقیق از آسیب پذیری ها در تنظیمات امنیتی (به عنوان مثال، سوئیچ ها، روترها، فایروال ها) یا آسیب پذیری در سیستم عامل ها یا نرم افزارهای کاربردی انجام می شود. نتیجه ابزار تحلیل امنیتی گزارشی است که اطلاعات مربوط به آسیب پذیری های شناسایی شده را خلاصه می کند.

ابزارهای تشخیص آسیب‌پذیری می‌توانند در سطح شبکه (در این مورد «مبتنی بر شبکه» نامیده می‌شوند)، سطح سیستم عامل («مبتنی بر میزبان») و سطح برنامه («مبتنی بر برنامه») کار کنند. با استفاده از نرم‌افزار اسکن، می‌توانید به سرعت نقشه‌ای از تمام گره‌های ISDN موجود ایجاد کنید، سرویس‌ها و پروتکل‌های مورد استفاده در هر یک از آنها را شناسایی کنید، تنظیمات اولیه آن‌ها را تعیین کنید و در مورد احتمال اجرای NSD مفروضاتی ایجاد کنید.

بر اساس نتایج اسکن، سیستم ها توصیه ها و اقداماتی را برای رفع نواقص شناسایی شده ارائه می کنند.

به منظور شناسایی تهدیدات NSD از طریق کار اینترنتی، از سیستم‌های تشخیص نفوذ استفاده می‌شود. چنین سیستم هایی با در نظر گرفتن ویژگی های اجرای حملات، مراحل توسعه آنها ساخته می شوند و بر اساس تعدادی از روش های تشخیص حمله هستند.

سه گروه از روش های تشخیص حمله وجود دارد:

روش های امضاء؛

روش های تشخیص ناهنجاری؛

روش های ترکیبی (با استفاده از الگوریتم های تعریف شده در روش های امضا و روش های تشخیص ناهنجاری).

برای تشخیص نفوذ به ISPD های کلاس 3 و 4، توصیه می شود از سیستم های تشخیص حملات شبکه ای استفاده کنید که از روش های تجزیه و تحلیل امضا استفاده می کنند.

برای تشخیص نفوذ به ISPD های کلاس 1 و کلاس 2، استفاده از سیستم های تشخیص حملات شبکه ای که از روش های تشخیص ناهنجاری در کنار روش های تجزیه و تحلیل امضا استفاده می کنند، توصیه می شود.

برای محافظت از داده های شخصی از نشت از طریق کانال های فنی، اقدامات سازمانی و فنی با هدف از بین بردن نشت اطلاعات صوتی (گفتار)، اطلاعات بصری و همچنین نشت اطلاعات به دلیل تشعشعات الکترومغناطیسی جانبی و تداخل استفاده می شود.

به عنوان نتیجه گیری از فصل دوم کار، نتایج زیر را می گیریم. حفاظت از اطلاعات شخصی وضعیت امنیت اطلاعات و زیرساخت های پشتیبانی کننده آن در برابر تأثیرات تصادفی یا عمدی طبیعی یا مصنوعی است که مملو از آسیب به صاحبان یا استفاده کنندگان این اطلاعات است. اهداف امنیت اطلاعات در حسابداری به شرح زیر تعریف می شود: منابع اطلاعاتی حاوی اطلاعات طبقه بندی شده به عنوان اسرار تجاری و ابزارها و اطلاعات سیستم ها. روشهای اصلی مورد استفاده در چارچوب حفاظت اطلاعات عبارتند از: شناسایی و حفاظت مستقیم.

نتیجه

مشکل امنیت اطلاعات اشیاء اقتصادی چند وجهی است و نیاز به مطالعه بیشتر دارد.

در دنیای مدرن، اطلاعات در حال تبدیل شدن به یک منبع ملی استراتژیک، یکی از دارایی های اصلی یک دولت توسعه یافته اقتصادی است. بهبود سریع اطلاعات در روسیه، نفوذ آن به تمام حوزه های منافع حیاتی فرد، جامعه و دولت، علاوه بر مزایای بدون شک، منجر به ظهور تعدادی از مشکلات مهم نیز شده است. یکی از آنها نیاز به حفاظت از اطلاعات بود. با توجه به اینکه در حال حاضر پتانسیل اقتصادی به طور فزاینده ای توسط سطح توسعه زیرساخت های اطلاعاتی تعیین می شود، آسیب پذیری بالقوه اقتصاد در رابطه با تأثیرات اطلاعاتی به طور متناسب در حال رشد است.

اجرای تهدیدات امنیت اطلاعات شامل نقض محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات است. از دیدگاه رویکرد سیستماتیکبرای حفاظت از اطلاعات، لازم است از کل زرادخانه ابزارهای حفاظتی موجود در تمام عناصر ساختاری یک واحد اقتصادی و در تمام مراحل چرخه فناوری پردازش اطلاعات استفاده شود. روش ها و وسایل حفاظتی باید به طور قابل اعتمادی پوشش دهند راه های ممکندسترسی غیرمجاز به اسرار محافظت شده اثربخشی امنیت اطلاعات به این معنی است که هزینه های اجرای آن نباید بیشتر از زیان های احتمالی ناشی از پیاده سازی باشد تهدیدات اطلاعاتی. برنامه ریزی امنیت اطلاعات توسط هر بخش انجام می شود که برنامه های امنیتی اطلاعات دقیق را توسعه می دهد. نیاز به وضوح در اعمال اختیارات و حقوق کاربران برای دسترسی به انواع خاصی از اطلاعات، در حصول اطمینان از کنترل اقدامات امنیتی و واکنش فوری به شکست آنها وجود دارد.

کتابشناسی - فهرست کتب

1.فناوری اطلاعات خودکار در بانکداری / ویرایش. پروفسور GA. تیتورنکو. - M.: Finstatinform، 2007

2.فناوری اطلاعات خودکار در اقتصاد / ویرایش. پروفسور GA. تیتورنکو. - M.: یونیتی، 2010

.سازمان Ageev A. S. و روش های مدرنحفاظت از اطلاعات - م.: کنسرن "بانک. مرکز تجاری"، 2009

.آجیف، وی. افسانه ها در مورد امنیت نرم افزار: درس هایی از بلایای معروف. - سیستم های باز، 199. شماره 6

.آلکسیف، V.I. امنیت اطلاعاتشهرداری ها - Voronezh: انتشارات VSTU، 2008.

.آلکسیف، V.M. معیارهای بین المللی ارزیابی امنیت فناوری های اطلاعات و آنها استفاده عملی: کتاب درسی. - پنزا: انتشارات پنز. حالت دانشگاه، 2002

.آلکسیف، V.M. ارائه نظارتی حفاظت از اطلاعات در برابر دسترسی غیرمجاز. - پنزا: انتشارات پنز. حالت دانشگاه، 2007

.آلکسیف، V.M. تضمین امنیت اطلاعات در طول توسعه نرم افزار. - پنزا: انتشارات پنز. حالت دانشگاه، 2008

.آلشین، L.I. حفاظت از اطلاعات و امنیت اطلاعات: دوره سخنرانی L. I. Aleshin; مسکو حالت دانشگاه فرهنگ. - م.: مسکو. حالت دانشگاه فرهنگ، 1389

.اخرامنکا، ن.ف. و دیگران.جنایت و مجازات در سیستم پرداختبا اسناد الکترونیکی// مدیریت امنیت اطلاعات، 1998

.بانک ها و عملیات بانکی. کتاب درسی / ویرایش. E.F. ژوکوا - م.: بانک ها و صرافی ها، یونیتی، 2008

.بارسوکوف، V.S. امنیت: فناوری ها، ابزارها، خدمات. - M.: Kudits - Image، 2007

.باتورین، یو.ام. مشکلات حقوق کامپیوتر - م.: حقوقی. روشن، 1991

.باتورین، یو.ام. جرایم رایانه ای و امنیت رایانه ای. M.: Yur.lit.، 2009

.بزروکوف، ن.ن. مقدمه ای بر ویروس شناسی کامپیوتری اصول کلی عملکرد، طبقه بندی و کاتالوگ رایج ترین ویروس ها در M5-005. ک.، 2005

.بایکوف، V.A. تجارت الکترونیکو ایمنی / V. A. Bykov. - م.: رادیو و ارتباطات، 2000

.وارفولومیف، A.A. امنیت اطلاعات. مبانی ریاضی رمز شناسی قسمت 1. - M.: MEPhI، 1995

.وخوف، V.B. جرایم رایانه ای: روش های ارتکاب و کشف. - م.: قانون و قانون، 1375

.ولوبوف، اس.و. مقدمه ای بر امنیت اطلاعات - Obninsk: Obn. موسسه انرژی اتمی، 2001

.ولوبوف، اس.و. امنیت اطلاعات سیستم های خودکار. - Obninsk: Obn. موسسه انرژی اتمی، 2001

.کنفرانس علمی و عملی همه روسی "امنیت اطلاعات در سیستم آموزش عالی"، 28-29 نوامبر. 2000، NSTU، نووسیبیرسک، روسیه: IBVSh 2000. - Novosibirsk، 2001

23.گالاتنکو، V.A. امنیت اطلاعات: یک رویکرد عملی V. A. Galatenko. اد. V. B. Betelina; راس آکادمی علوم، تحقیقات موسسه سیستم ها پژوهش - م.: علم، 1998

.Galatenko, V.A.. مبانی امنیت اطلاعات: دوره ای از سخنرانی ها. - م.: دانشگاه اطلاعات اینترنتی. فن آوری، 2003

.گنادیوا، E.G. مبانی نظریعلوم کامپیوتر و امنیت اطلاعات - م.: رادیو و ارتباطات، 2000

.گیکا، سباستین نارشیس. مخفی کردن اطلاعات در فایل های گرافیکی با فرمت VMR Dis. ... می تونم فن آوری علوم: 19.05.13 - سن پترزبورگ، 2001

.گیکا، س.ن. مخفی کردن اطلاعات در فایل های گرافیکی با فرمت BMP: چکیده نویسنده. دیس ... می تونم فن آوری علوم: 19/05/13 سن پترزبورگ. حالت نقطه بین مکانیک و اپتیک - سن پترزبورگ، 2001

.گلوبف، V.V. مدیریت امنیت. - سن پترزبورگ: پیتر، 2004

.گورباتوف، V.S. امنیت اطلاعات. مبانی حمایت قانونی - M.: MEPhI (TU)، 1995

.گورلووا، I.I.، ویرایش. آزادی اطلاعات و امنیت اطلاعات: مواد بین المللی علمی Conf.، کراسنودار، 30-31 اکتبر. 2001 - کراسنودار، 2001

.گرینسبرگ، A.S. و غیره حفاظت از منابع اطلاعاتی تحت کنترل دولت. - M.: اتحاد، 2003

.امنیت اطلاعات روسیه در زمینه جهانی جامعه اطلاعاتی"INFOFORUM-5": شنبه. مواد 5 همه روسی. کنفرانس، مسکو، 4-5 فوریه. 2003 - M.: LLC Ed. مجله تجارت و امنیت روسیه، 2003

.امنیت اطلاعات: شنبه روش. مواد وزارت آموزش و پرورش فدراسیون روسیه. فدراسیون [و دیگران]. - M.: TSNIIATOMINFORM، 2003

34.فناوری اطلاعات// اقتصاد و زندگی. شماره 25، 2001

35.فناوری اطلاعات در بازاریابی: کتاب درسی برای دانشگاه ها - M.: 2003

.فناوری اطلاعات در اقتصاد و مدیریت: کتاب درسی / کوزیرف A.A. - M.: انتشارات Mikhailov V.A.، 2005

.لوپاتین، V.N. امنیت اطلاعات روسیه دیس. ... دکتری حقوق. علوم: 12.00.01

.لوکاشین، V.I. امنیت اطلاعات. - م.: مسکو. حالت دانشگاه اقتصاد، آمار و انفورماتیک

.لوچین، I.N.، Zheldakov A.A.، Kuznetsov N.A. هک کردن حفاظت از رمز عبور// اطلاع رسانی سیستم های اجرای قانون. م.، 1996

.مک کلور، استوارت. هک کردن در وب حملات و دفاع استوارت مک کلار، سائومیل شاه، سریرج شاه. - M.: ویلیامز، 2003

.مالیوک، A.A. مبانی نظری برای رسمی کردن ارزیابی پیش‌بینی‌کننده سطح امنیت اطلاعات در سیستم‌های پردازش داده - M.: MEPhI، 1998SPb.، 2000

.کارایی اقتصادی سیستم های امنیت اطلاعات Chebotar P.P. - آکادمی اقتصاد مولداوی، 2003

.یاکولف، وی. امنیت اطلاعات و حفاظت اطلاعات در شبکه های شرکتیحمل و نقل ریلی - م.، 2002

.یاروچکین، V.I. امنیت اطلاعات. - م.: میر، 1382

.یاروچکین، V.I. امنیت اطلاعات. - م.: بنیاد "میر"، 1382: آکادمی. پروژه

.یاسنف، V.N. سیستم های اطلاعاتی خودکار در اقتصاد و تضمین امنیت آنها: کتاب درسی. - N. Novgorod، 2002

کارهای مشابه به - حفاظت از داده های شخصی در سیستم های بانکداری آنلاین