Անձնական տվյալների պաշտպանություն բանկերում. Արդյո՞ք բանկերը կդադարեն գործատուներից տեղեկություններ խնդրել աշխատակիցների մասին: Ինչպես ապահովել անձնական տվյալների պաշտպանությունը ընկերությունում Անձնական տվյալների պաշտպանությունը բանկում
Այն հատկապես պահանջարկ է դարձել օտարերկրյա ընկերությունների ռուսական ստորաբաժանումների համար՝ կապված 18-րդ հոդվածի 5-րդ մասի «Անձնական տվյալների մասին» 152-FZ-ին ավելացման հետ. «... օպերատորը պարտավոր է ապահովել գրանցումը, համակարգումը, կուտակումը, պահպանումը: , պարզաբանում (թարմացում, փոփոխություն), անձնական տվյալներքաղաքացիներ Ռուսաստանի Դաշնությունօգտագործելով տվյալների բազաները, որոնք տեղակայված են Ռուսաստանի Դաշնության տարածքում» . Օրենքում կան մի շարք բացառություններ, բայց պետք է խոստովանեք, որ կարգավորողի կողմից ստուգման դեպքում ցանկանում եք ունենալ ավելի հուսալի հաղթաթուղթներ, քան «բայց դա մեզ չի վերաբերում»։
Խախտողների համար պատիժները շատ խիստ են. Առցանց գնումներ, սոցիալական ցանցերը, տեղեկատվական կայքեր, այլ բիզնեսներ՝ կապված ՀամացանցՎերահսկիչ մարմիններից պահանջների դեպքում դրանք կարող են իրականում փակվել: Թերևս, առաջին ստուգման ժամանակ կարգավորիչը ժամանակ կտա թերությունները վերացնելու համար, բայց ժամկետը սովորաբար սահմանափակ է։ Եթե խնդիրը շատ արագ չլուծվի (ինչը դժվար է անել առանց նախնական նախապատրաստման), ապա կորուստներն այլևս չեն կարող փոխհատուցվել։ Կայքերի արգելափակումը ոչ միայն հանգեցնում է վաճառքի դադարի, այլև շուկայի մասնաբաժնի կորստի:
Օֆլայն ընկերությունների անձնական տվյալների մասին օրենքը խախտողների «սև ցուցակում» հայտնվելը պակաս դրամատիկ է։ Բայց դա հեղինակության հետ կապված ռիսկեր է պարունակում, ինչը էական գործոն է արտասահմանյան ընկերությունների համար։ Բացի այդ, այժմ գրեթե չկա այնպիսի գործունեություն, որն ընդհանրապես չի առնչվում անձնական տվյալների պաշտպանությանը։ Բանկերը, առևտուրը, նույնիսկ արտադրական արդյունաբերությունը, բոլորը պահպանում են հաճախորդների բազան, ինչը նշանակում է, որ դրանք ենթակա են համապատասխան օրենքների:
Այստեղ կարևոր է հասկանալ, որ ընկերությունների ներսում նույնպես չի կարելի հարցը առանձին դիտարկել։ Անձնական տվյալների պաշտպանությունը չի կարող սահմանափակվել սերվերների վրա անվտանգության հավաստագրված գործիքներ տեղադրելով և չհրկիզվող պահարաններում թղթային քարտերը փակելով: Անձնական տվյալները ընկերություն մուտքի բազմաթիվ կետեր ունեն՝ վաճառքի բաժիններ, HR, հաճախորդների սպասարկում, երբեմն նաև ուսումնական կենտրոններ, գնումների հանձնաժողովներ և այլ բաժիններ: Անձնական տվյալների պաշտպանության կառավարումը բարդ գործընթաց է, որը ազդում է ՏՏ, փաստաթղթերի հոսք, կանոնակարգեր, իրավական գրանցում։
Եկեք նայենք, թե ինչ է անհրաժեշտ նման գործընթաց վարելու և պահպանելու համար:
Ինչ տվյալներ են համարվում անձնական
Խստորեն ասած, ցանկացած տեղեկատվություն, որն ուղղակիորեն կամ անուղղակիորեն առնչվում է կոնկրետին անհատի նկատմամբՍա նրա անձնական տվյալներն են։ Ծանուցում մենք խոսում ենքմարդկանց մասին, ոչ թե իրավաբանական անձանց: Պարզվում է, որ այս (ինչպես նաև հարակից) տվյալների պաշտպանությունը նախաձեռնելու համար բավական է նշել բնակության լրիվ անվանումը և հասցեն։ Այնուամենայնիվ, ստանալով էլինչ-որ մեկի անձնական տվյալների հետ ստորագրության ձևով և հեռախոսահամարնրանց պաշտպանելու պատճառ չկա: Հիմնական տերմին՝ «Անձնական տվյալների հավաքագրման հայեցակարգ»: Համատեքստը պարզաբանելու համար ուզում եմ առանձնացնել «Անձնական տվյալների մասին» օրենքի մի քանի հոդվածներ, մասնավորապես.
Հոդված 5. Անձնական տվյալների մշակման սկզբունքները. Պետք է լինեն հստակ նպատակներ, որոնք պարզ կդարձնեն, թե ինչու է այս տեղեկատվությունը հավաքվում: Հակառակ դեպքում, նույնիսկ մնացած բոլոր նորմերին և կանոններին լիովին համապատասխանելու դեպքում, հնարավոր են պատժամիջոցներ:
Հոդված 10. Անձնական տվյալների հատուկ կատեգորիաներ. Օրինակ՝ կադրերի բաժինը կարող է սահմանել գործուղումների, այդ թվում՝ աշխատողների հղիության սահմանափակումներ։ Իհարկե, այդպիսին լրացուցիչ տեղեկություննույնպես պաշտպանված են։ Սա մեծապես ընդլայնում է PD-ի ըմբռնումը, ինչպես նաև ընկերության բաժինների և տեղեկատվական պահոցների ցանկը, որոնցում պետք է ուշադրություն դարձնել պաշտպանությանը:
Հոդված 12. Անձնական տվյալների միջսահմանային փոխանցում. Եթե Ռուսաստանի Դաշնության քաղաքացիների տվյալների հետ տեղեկատվական համակարգը գտնվում է մի երկրի տարածքում, որը չի վավերացրել Անձնական տվյալների պաշտպանության մասին կոնվենցիան (օրինակ, Իսրայելում), ապա պետք է հետևել Ռուսաստանի օրենսդրության դրույթներին:
Հոդված 22. Ծանուցում անձնական տվյալների մշակման մասին. Կարգավորողի ավելորդ ուշադրությունը չգրավելու նախապայման: Եթե դուք անձնական տվյալների հետ կապված բիզնես գործունեություն եք ծավալում, ապա ինքներդ զեկուցեք դրա մասին՝ չսպասելով ստուգումների:
Որտեղ կարող են լինել անձնական տվյալները
Տեխնիկապես, PD-ն կարող է տեղակայվել ցանկացած վայրում՝ տպագիր մեդիայից (թղթային ֆայլերի պահարաններ) մինչև մեքենայական կրիչներ ( կոշտ սկավառակներ, ֆլեշ կրիչներ, սկավառակներ և այլն): Այսինքն, ուշադրության կենտրոնում ցանկացած տվյալների պահպանումն է, որը պատկանում է ISPD-ի սահմանմանը ( Տեղեկատվական համակարգերանձնական տվյալներ).
Առանձին մեծ հարց է տեղանքի աշխարհագրությունը։ Մի կողմից, ռուսների (Ռուսաստանի Դաշնության քաղաքացի հանդիսացող ֆիզիկական անձանց) անձնական տվյալները պետք է պահվեն Ռուսաստանի Դաշնության տարածքում: Մյուս կողմից, այս պահին դա ավելի շուտ իրավիճակի զարգացման վեկտոր է, քան կատարված փաստ։ Շատ միջազգային և արտահանող ընկերություններ, տարբեր հոլդինգներ, համատեղ ձեռնարկություններ պատմականորեն ունեցել են բաշխված ենթակառուցվածք, և դա չի փոխվի մեկ գիշերում: Ի տարբերություն անձնական տվյալների պահպանման և պաշտպանության մեթոդների, որոնք պետք է ճշգրտվեն գրեթե հիմա, անմիջապես։
Ձայնագրման, կազմակերպման, կուտակման, պահպանման, պարզաբանման (թարմացման, փոփոխման), PD-ի արդյունահանման մեջ ներգրավված ստորաբաժանումների նվազագույն ցանկը.
- Անձնակազմի սպասարկում.
- Վաճառքի բաժին.
- Իրավաբանական բաժին.
Քանի որ կատարյալ կարգը հազվադեպ է տիրում, իրականում ամենաանկանխատեսելի միավորները հաճախ կարող են ավելացվել այս «սպասված» ցանկին։ Օրինակ, պահեստը կարող է ունենալ անհատականացված տեղեկատվություն մատակարարների մասին, կամ անվտանգության ծառայությունը կարող է պահպանել տարածք մուտք գործող յուրաքանչյուրի սեփական մանրամասն գրառումը: Այսպիսով, ի դեպ, աշխատողների համար PD-ի կազմը կարող է համալրվել հաճախորդների, գործընկերների, կապալառուների, ինչպես նաև պատահական և նույնիսկ այլ մարդկանց այցելուների վերաբերյալ, որոնց PD-ն «հանցագործություն» է դառնում, երբ լուսանկարվում է անցագրի համար, սկանավորում է ID-ն: քարտ և որոշ այլ դեպքերում: ACS-ը (մուտքի վերահսկման և կառավարման համակարգերը) հեշտությամբ կարող են խնդիրների աղբյուր դառնալ անձնական տվյալների պաշտպանության համատեքստում: Հետեւաբար, «որտե՞ղ» հարցի պատասխանը. Օրենքի պահպանման տեսանկյունից դա հնչում է այսպես՝ հաշվետու տարածքում ամենուր. Ավելի ճշգրիտ պատասխան կարելի է տալ միայն համապատասխան աուդիտ անցկացնելով։ Սա առաջին փուլն է նախագիծըանձնական տվյալների պաշտպանության համար։ Ամբողջական ցուցակըդրա հիմնական փուլերը.
1) ընկերությունում առկա իրավիճակի աուդիտ.
2) Տեխնիկական լուծման նախագծում.
3) անձնական տվյալների պաշտպանության գործընթացի նախապատրաստում.
4) անհատական տվյալների պաշտպանության տեխնիկական լուծման և գործընթացի ստուգում Ռուսաստանի Դաշնության օրենսդրությանը և ընկերության կանոնակարգերին համապատասխանելու համար.
5) տեխնիկական լուծման իրականացում.
6) անձնական տվյալների պաշտպանության գործընթացի մեկնարկը.
1. Ընկերությունում առկա իրավիճակի աուդիտ
Նախևառաջ ստուգեք անձնակազմի սպասարկումը և այլ բաժինները, որոնք օգտագործում են թղթային կրիչներ անձնական տվյալներով.
- Կա՞ն անձնական տվյալների մշակման համաձայնության ձևեր: Արդյո՞ք դրանք լրացված և ստորագրված են:
- Պահպանվո՞ւմ է արդյոք «Անձնական տվյալների մշակման առանձնահատկությունների մասին առանց ավտոմատացման գործիքների կիրառման» 2008 թվականի սեպտեմբերի 15-ի թիվ 687 կանոնակարգը։
Որոշեք ISPD-ի աշխարհագրական դիրքը.
- Ո՞ր երկրներում են նրանք գտնվում:
- Ինչի՞ հիման վրա։
- Կա՞ն պայմանագրեր դրանց օգտագործման համար:
- Ի՞նչ տեխնոլոգիական պաշտպանություն է օգտագործվում PD-ի արտահոսքը կանխելու համար:
- Ի՞նչ կազմակերպչական միջոցառումներ են ձեռնարկվում PD-ի պաշտպանության համար:
Իդեալում, ռուսների PD-ով տեղեկատվական համակարգը պետք է համապատասխանի «Անձնական տվյալների մասին» 152-FZ օրենքի բոլոր պահանջներին, նույնիսկ եթե այն գտնվում է արտերկրում:
Ի վերջո, ուշադրություն դարձրեք փաստաթղթերի տպավորիչ ցանկին, որոնք պահանջվում են ստուգման դեպքում (սա դեռ ամենը չէ, միայն հիմնական ցուցակը).
- PD մշակման ծանուցում.
- Փաստաթուղթ, որը նույնականացնում է PD-ի մշակումը կազմակերպելու համար պատասխանատու անձին:
- Աշխատակիցների ցուցակը, որոնք լիազորված են մշակել PD.
- Փաստաթուղթ, որը որոշում է PD պահեստավորման վայրը:
- Տեղեկատվություն անձնական տվյալների հատուկ և կենսաչափական կատեգորիաների մշակման մասին:
- PD-ի միջսահմանային փոխանցման վկայական.
- PD-ով փաստաթղթերի ստանդարտ ձևեր:
- Անձնական տվյալների մշակման համաձայնության ստանդարտ ձև:
- PD-ն երրորդ անձանց փոխանցելու կարգը.
- PD սուբյեկտների հարցումների հաշվառման կարգը:
- Անձնական տվյալների տեղեկատվական համակարգերի ցանկ (ISPD):
- ISPD-ում տվյալների կրկնօրինակումը կարգավորող փաստաթղթեր:
- Օգտագործված տեղեկատվական անվտանգության գործիքների ցանկ:
- PD- ի ոչնչացման կարգը.
- Մուտքի մատրիցա:
- սպառնալիքի մոդել.
- Մեքենաների լրատվամիջոցների գրանցամատյան PD.
- Փաստաթուղթ, որը սահմանում է անվտանգության մակարդակները յուրաքանչյուր ISPD-ի համար՝ համաձայն PP-1119-ի 2012 թվականի նոյեմբերի 1-ի «Անձնական տվյալների պաշտպանության պահանջները հաստատելու մասին անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ժամանակ»:
2. Տեխնիկական լուծման նախագծում
Կազմակերպչական և տեխնիկական միջոցների նկարագրությունը, որոնք պետք է ձեռնարկվեն PD-ի պաշտպանության համար տրված է 4-րդ գլխում: «Անձնական տվյալների մասին» 152-FZ օրենքի «Օպերատորի պարտավորությունները»: Տեխնիկական լուծումը պետք է հիմնված լինի 2014 թվականի հուլիսի 21-ի 242-FZ օրենքի 2-րդ հոդվածի դրույթների վրա:
Բայց ինչպե՞ս համապատասխանել օրենքին և մշակել Ռուսաստանի Դաշնության քաղաքացիների PD-ն Ռուսաստանի տարածքում, այն դեպքում, երբ ISPD-ն դեռ գտնվում է արտերկրում: Այստեղ կան մի քանի տարբերակներ.
- Տեղեկատվական համակարգի և տվյալների բազայի ֆիզիկական փոխանցում Ռուսաստանի Դաշնության տարածք: Եթե տեխնիկապես հնարավոր լինի, դա կլինի ամենահեշտը:
- Մենք թողնում ենք ISPD-ն արտասահմանում, բայց Ռուսաստանում մենք ստեղծում ենք դրա պատճենը և հաստատում ենք Ռուսաստանի Դաշնության քաղաքացիների PD-ի միակողմանի կրկնօրինակումը ռուսերենից օտարերկրյա: Միևնույն ժամանակ, օտար համակարգում անհրաժեշտ է բացառել Ռուսաստանի Դաշնության քաղաքացիների անձնական տվյալների փոփոխման հնարավորությունը, բոլոր խմբագրումները միայն ռուսական ISPD-ի միջոցով:
- Կան մի քանի ISPD-ներ, և նրանք բոլորը գտնվում են արտերկրում: Փոխանցումը կարող է լինել թանկ, կամ նույնիսկ տեխնիկապես անիրագործելի (օրինակ, անհնար է առանձնացնել տվյալների բազայի մի մասը Ռուսաստանի Դաշնության քաղաքացիների անձնական տվյալներով և տեղափոխել Ռուսաստան): Այս դեպքում լուծումը կարող է լինել Ռուսաստանում ցանկացած հասանելի հարթակի վրա նոր ISPD-ի ստեղծումը սերվերի վրա, որտեղից կիրականացվի միակողմանի վերարտադրություն յուրաքանչյուր արտասահմանյան ISPD-ին: Նշում եմ, որ հարթակի ընտրությունը մնում է ընկերությանը։
Եթե PDIS-ն ամբողջությամբ և բացառապես չի փոխանցվել Ռուսաստան, մի մոռացեք նշել անդրսահմանային տվյալների փոխանցման վկայագրում, թե ում և կոնկրետ որ PD է ուղարկվում: Անձնական տվյալների փոխանցման նպատակը պետք է նշվի մշակման ծանուցման մեջ: Կրկին այս նպատակը պետք է լինի լեգիտիմ և հստակ հիմնավորված։
3. Անձնական տվյալների պաշտպանության գործընթացի նախապատրաստում
Անձնական տվյալների պաշտպանության գործընթացը պետք է սահմանի առնվազն հետևյալ կետերը.
- Ընկերությունում անձնական տվյալների մշակման համար պատասխանատու անձանց ցուցակ.
- ISPD-ին հասանելիություն տրամադրելու կարգը. Իդեալում, սա մուտքի մատրիցան է՝ յուրաքանչյուր պաշտոնի կամ կոնկրետ աշխատակցի համար հասանելիության մակարդակով (կարդալ/կարդա-գրել/փոփոխել): Կամ յուրաքանչյուր պաշտոնի համար հասանելի PD-ների ցանկ: Ամեն ինչ կախված է IP-ի իրականացումից և ընկերության պահանջներից:
- Անձնական տվյալների հասանելիության աուդիտ և մուտքի մակարդակների խախտմամբ մուտքի փորձերի վերլուծություն:
- Անձնական տվյալների անհասանելիության պատճառների վերլուծություն.
- PD սուբյեկտների՝ իրենց PD-ի վերաբերյալ հարցումներին պատասխանելու կարգը:
- Ընկերությունից դուրս փոխանցված անձնական տվյալների ցանկի վերանայում.
- Անձնական տվյալների ստացողների վերանայում, ներառյալ արտասահմանում:
- PD-ի համար սպառնալիքի մոդելի պարբերական վերանայում, ինչպես նաև անձնական տվյալների պաշտպանության մակարդակի փոփոխություն՝ կապված սպառնալիքի մոդելի փոփոխության հետ:
- Ընկերության փաստաթղթերի թարմացում (վերը նշված ցանկը և անհրաժեշտության դեպքում այն կարող է լրացվել):
Այստեղ դուք կարող եք մանրամասնել յուրաքանչյուր կետ, բայց ես ուզում եմ հատուկ ուշադրություն դարձնել անվտանգության մակարդակին: Այն որոշվում է հետևյալ փաստաթղթերի հիման վրա (կարդացեք հաջորդականությամբ).
1. «Ընթացիկ սպառնալիքների որոշման մեթոդիկա անվտանգությունանձնական տվյալները անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում» (FSTEC ՌԴ 14 փետրվարի, 2008 թ.):
2. Ռուսաստանի Դաշնության Կառավարության 2012 թվականի նոյեմբերի 1-ի «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանության պահանջները հաստատելու մասին» N 1119 որոշումը:
3. FSTEC 2013 թվականի փետրվարի 18-ի «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու կազմակերպատեխնիկական միջոցառումների կազմը և բովանդակությունը հաստատելու մասին» N 21 հրամանը։
Նաև մի մոռացեք հաշվի առնել ծախսերի այնպիսի կատեգորիաների անհրաժեշտությունը, ինչպիսիք են.
- Կազմակերպություն նախագծի թիմև նախագծերի կառավարում։
- Ծրագրավորողներ ISPD-ի յուրաքանչյուր հարթակի համար:
- Սերվերի հզորությունները (սեփական կամ վարձակալված տվյալների կենտրոնում):
Նախագծի երկրորդ և երրորդ փուլերի ավարտին դուք պետք է ունենաք.
- Արժեքի հաշվարկ.
- որակի պահանջներ.
- Ծրագրի ժամանակացույցը և ժամանակացույցը:
- Ծրագրի տեխնիկական և կազմակերպչական ռիսկերը.
4. Անձնական տվյալների պաշտպանության տեխնիկական լուծման և գործընթացի ստուգում Ռուսաստանի Դաշնության օրենսդրությանը և ընկերության կանոնակարգերին համապատասխանելու համար
Ձևակերպման առումով կարճ, բայց կարևոր քայլ, որի շրջանակներում դուք պետք է համոզվեք, որ բոլոր պլանավորված գործողությունները չեն հակասում Ռուսաստանի Դաշնության օրենսդրությանը և ընկերության կանոններին (օրինակ, անվտանգության քաղաքականությանը): Եթե դա չարվի, ապա նախագծի հիմքում ռումբ կդրվի, որը հետագայում կարող է «պայթել»՝ ոչնչացնելով ձեռք բերված արդյունքների օգուտները։
5. Տեխնիկական լուծման իրականացում
Այստեղ ամեն ինչ քիչ թե շատ ակնհայտ է։ Առանձնահատկությունները կախված են սկզբնական իրավիճակից և որոշումներից։ Բայց ընդհանուր առմամբ նկարը պետք է նման լինի.
- Բաշխված սերվերի հզորությունները:
- Ցանցի ինժեներները տրամադրել են բավարար թողունակությունըալիքներ ստացողի և հաղորդիչ PD-ի միջև:
- Մշակողները կրկնօրինակել են ISPD տվյալների բազաների միջև:
- Ադմինիստրատորները կանխել են արտասահմանում գտնվող ISPD-ի փոփոխությունները:
PD-ի պաշտպանության համար պատասխանատու անձը կամ «գործընթացի սեփականատերը» կարող է լինել նույն անձը կամ տարբեր լինել: Հենց այն փաստը, որ «գործընթացի սեփականատերը» պետք է պատրաստի բոլոր փաստաթղթերը և կազմակերպի PD-ի պաշտպանության ողջ գործընթացը: Դրա համար բոլոր շահագրգիռ կողմերը պետք է ծանուցվեն, աշխատակիցներին հրահանգներ տրվեն, ՏՏ ծառայությունը պետք է դյուրացնի տեխնիկական տվյալների պաշտպանության միջոցառումների իրականացումը։
6. Անձնական տվյալների պաշտպանության գործընթացի մեկնարկը
Սա կարևոր քայլ է, և ինչ-որ իմաստով ամբողջ նախագծի նպատակն է վերահսկողություն դնել հոսքի վրա: Տեխնիկական լուծումներից և կարգավորող փաստաթղթերից բացի, գործընթացի սեփականատիրոջ դերն այստեղ կարևոր է: Նա պետք է հետևի ոչ միայն օրենսդրության, այլև ՏՏ ենթակառուցվածքի փոփոխություններին։ Սա նշանակում է, որ անհրաժեշտ են համապատասխան հմտություններ և կարողություններ:
Բացի այդ, ինչը կարևոր է իրական աշխատանքային պայմաններում, PD պաշտպանության գործընթացի սեփականատերը կարիք ունի ընկերության ղեկավարության բոլոր անհրաժեշտ լիազորությունների և վարչական աջակցության: Հակառակ դեպքում դա կլինի հավերժական «մուրացկան», որին ոչ ոք ուշադրություն չի դարձնում, և որոշ ժամանակ անց նախագիծը կարող է վերսկսվել՝ նորից սկսելով աուդիտից։
Նրբություններ
Մի քանի կետեր, որոնք հեշտ է անտեսել.
- Եթե դուք աշխատում եք տվյալների կենտրոնի հետ, ապա ձեզ անհրաժեշտ է պայմանագիր սերվերի հզորության ծառայությունների մատուցման համար, ըստ որի ձեր ընկերությունը օրինական կերպով պահպանում է տվյալները և վերահսկում դրանք:
- Ձեզ անհրաժեշտ են լիցենզիաներ ծրագրային ապահովման համար, որն օգտագործվում է PD հավաքելու, պահելու և մշակելու համար կամ վարձակալության պայմանագրերը դրա համար:
- Եթե ISPD-ը գտնվում է արտերկրում, ապա անհրաժեշտ է համաձայնություն այն ընկերության հետ, որը տիրապետում է այնտեղ համակարգին՝ երաշխավորելու Ռուսաստանի Դաշնության օրենսդրության համապատասխանությունը ռուսների անձնական տվյալների հետ կապված:
- Եթե անձնական տվյալները փոխանցվում են ձեր ընկերության կապալառուին (օրինակ՝ ՏՏ աութսորսինգի գործընկերոջը), ապա աութսորսորից PD արտահոսքի դեպքում դուք պատասխանատվություն կկրեք պահանջների համար: Իր հերթին, ձեր ընկերությունը կարող է պահանջներ ներկայացնել աութսորսորին: Թերևս այս գործոնը կարող է ազդել աշխատանքը աութսորսինգին փոխանցելու փաստի վրա:
Եվ ևս մեկ անգամ ամենակարևորն այն է, որ անձնական տվյալների պաշտպանությունը չի կարելի վերցնել և ապահովել։ Սա գործընթաց է։ Շարունակական կրկնվող գործընթաց, որը մեծապես կախված կլինի օրենսդրության հետագա փոփոխություններից, ինչպես նաև այս կանոնների գործնական կիրառման ձևաչափից և խստությունից:
Նմանատիպ փաստաթղթեր
Անձնական տվյալների պաշտպանության օրենսդրական հիմքերը. Տեղեկատվական անվտանգության սպառնալիքների դասակարգում. Անձնական տվյալների բազա: Ձեռնարկության LAN-ի սարքը և սպառնալիքները: ԱՀ պաշտպանության հիմնական ծրագրային և ապարատային միջոցներ: Հիմնական անվտանգության քաղաքականություն.
թեզ, ավելացվել է 06/10/2011 թ
Անձնական տվյալների անվտանգության համակարգի ստեղծման նախադրյալներ. Տեղեկատվական անվտանգության սպառնալիքներ. ISPD-ին չարտոնված մուտքի աղբյուրներ: Անձնական տվյալների տեղեկատվական համակարգերի սարքը: Տեղեկատվության պաշտպանության միջոցներ. Անվտանգության քաղաքականություն.
կուրսային աշխատանք, ավելացվել է 10.07.2016թ
Բաշխված տեղեկատվական համակարգի կառուցվածքի և դրանում մշակված անձնական տվյալների վերլուծություն: Ընթացիկ սպառնալիքներից անձնական տվյալների անվտանգությունն ապահովելու հիմնական միջոցների և միջոցների ընտրություն: Նախագծի ստեղծման և պահպանման ծախսերի որոշում:
թեզ, ավելացվել է 07/01/2011 թ
Ձեռնարկությունում մուտքի վերահսկման և կառավարման համակարգ: Մշակված տեղեկատվության վերլուծություն և ISPD-ի դասակարգում: ACS ԲԲԸ «MMZ» անձնական տվյալների տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությանը սպառնացող վտանգների մոդելի մշակում:
թեզ, ավելացվել է 04/11/2012 թ
Համակարգչային սենյակում տեղակայված անձնական տվյալների տեղեկատվական համակարգի համալրման հիմնական տեխնիկական լուծումների նկարագրությունը. Հակավիրուսային պաշտպանության ենթահամակարգ. Տեղեկատվական անվտանգության գործիքների ներդրմանը նախապատրաստվելու միջոցառումներ:
կուրսային աշխատանք, ավելացվել է 30.09.2013թ
Փաստաթղթավորված տեղեկատվության գաղտնիությունը և անվտանգությունը: Կազմակերպության գործունեության մեջ օգտագործվող անձնական տվյալների տեսակները. Դրանց պաշտպանության ապահովման ոլորտում օրենսդրության մշակում. Ռուսաստանի Դաշնության տեղեկատվական անվտանգության ապահովման մեթոդներ.
ներկայացում, ավելացվել է 15.11.2016թ
Տեղեկատվական անվտանգության ռիսկերի վերլուծություն: Գոյություն ունեցող և պլանավորված պաշտպանության միջոցների գնահատում. Տեղեկատվական անվտանգության և ձեռնարկության տեղեկատվության պաշտպանության ապահովման կազմակերպչական միջոցառումների շարք: Ծրագրի իրականացման վերահսկման օրինակ և դրա նկարագրությունը:
թեզ, ավելացվել է 19.12.2012թ
Ռուսաստանում տեղեկատվական անվտանգության ոլորտում կարգավորող փաստաթղթեր. Տեղեկատվական համակարգերի սպառնալիքների վերլուծություն: Կլինիկայի անհատական տվյալների պաշտպանության համակարգի կազմակերպման բնութագրերը. Էլեկտրոնային բանալիների միջոցով վավերացման համակարգի ներդրում:
թեզ, ավելացվել է 31.10.2016թ
Ընդհանուր տեղեկություններ ձեռնարկության գործունեության մասին. Ձեռնարկությունում տեղեկատվական անվտանգության օբյեկտները. Տեղեկատվության պաշտպանության միջոցներ և միջոցներ. Տվյալների պատճենում շարժական կրիչի վրա: Ներքին պահուստային սերվերի տեղադրում: IS համակարգի կատարելագործման արդյունավետությունը.
թեստ, ավելացվել է 08/29/2013
Տեղեկատվության հետ կապված հիմնական սպառնալիքները. Տվյալների պաշտպանությունն ապահովելու հայեցակարգեր, մեթոդներ և ուղիներ: Անվտանգության համակարգի պահանջները. Թույլտվության մեխանիզմը տեղեկատվական բազանորոշելու օգտագործողի տեսակը. Ադմինիստրատորի աշխատանքը անվտանգության համակարգի հետ։
վերահսկողություն անհրաժեշտ կանոնների կատարման նկատմամբ: Օգտագործված գրականության ցանկ.
1. «Բանկերի և բանկային գործունեության մասին» դաշնային օրենք.
2. www.Grandars.ru [Էլեկտրոնային ռեսուրս] Մուտքի ռեժիմ՝ http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Մուտքի ամսաթիվ՝ 05.05.2016թ.)
3. In-bank.ru [Էլեկտրոնային ռեսուրս] Մուտքի ռեժիմ՝ http://journal.ib-bank.ru/post/411 (Մուտքի ամսաթիվ՝ 05/05/2016)
Խլեստովա Դարիա Ռոբերտովնա
ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՊԱՇՏՊԱՆՈՒԹՅԱՆ ԱՌԱՆՁՆԱՀԱՏԿՈՒԹՅՈՒՆՆԵՐԸ ԲԱՆԿԱՅԻՆ ՈԼՈՐՏՈՒՄ.
անոտացիա
Այս հոդվածում քննարկվում են հաճախորդի անձնական տվյալների պաշտպանության առանձնահատկությունները բանկային ոլորտում: Թվարկված են մի շարք իրավական ակտեր, որոնց հիման վրա պետք է կառուցվի բանկում անձնական տվյալների մշակման և պաշտպանության համակարգը։ Կարևորվել է բանկային հաստատություններում տվյալների անվտանգության կազմակերպման միջոցառումների ցանկը։
Անձնական տվյալներ, անվտանգություն բանկերում, տեղեկատվական անվտանգություն,
անձնական տեղեկատվության պաշտպանություն
Անձնական տվյալների պաշտպանությունը հատկապես արդիական է դարձել տեղեկատվական տեխնոլոգիաների դարաշրջանում։ Ավելի ու ավելի շատ են դեպքերը, երբ հարձակվողները ցանկացած գաղտնի տեղեկատվության հասանելիություն են ստանում կազմակերպությունների տեղեկատվական համակարգերի վրա գրոհելով։ Անկասկած հարձակումները չեն շրջանցվում և բանկային. Քանի որ բանկային համակարգերը պարունակում են հաճախորդների մեծ թվով անձնական տվյալներ, դրանց անվտանգությունը պետք է լինի պետության և հենց ֆինանսական հաստատությունների սեփականատերերի ուշադրության ներքո:
Սկզբից արժե պարզել, թե անձի ինչպիսի անձնական տվյալներ կարող են հասանելի դառնալ բանկին, եթե նա դառնա նրա հաճախորդը: Այսպիսով, պարտադիր է՝ ազգանուն, անուն և հայրանուն; Ծննդյան ամսաթիվը և վայրը; քաղաքացիություն; գրանցման և փաստացի բնակության վայրը. անձնագրի բոլոր տվյալները (սերիան, համարը, երբ և ում կողմից է տրվել փաստաթուղթը). բջջային համարը և տան հեռախոս; աշխատանքի վայր, պաշտոն. Շատ դեպքերում հաստատությունները պահանջում են անձից, և Լրացուցիչ տեղեկություն, բայց առանց դրա էլ տպավորիչ է ստացվում այն տվյալների ցանկը, որ մարդը վստահում է բանկին։ Իհարկե, հաճախորդը հույս ունի, որ իր անձնական տվյալները հուսալիորեն պաշտպանված կլինեն մշակման և պահպանման ընթացքում:
Որպեսզի ֆինանսական հաստատությունները կարողանան որակապես կազմակերպել անձնական տվյալների մշակման և պաշտպանության համակարգ, անհրաժեշտ է սահմանել իրավական ակտերի ցանկ, որոնց վրա բանկը պետք է հենվի հաճախորդների անձնական տվյալների հետ աշխատելիս. Ռուսաստանի Դաշնության Սահմանադրություն: երկրի ամենակարեւոր փաստաթուղթն է. Ռուսաստանի Դաշնության աշխատանքային օրենսգիրք; Քաղաքացիական օրենսգիրք և Ռուսաստանի Դաշնության Քրեական օրենսգիրք; Դաշնային օրենքը թիվ 152 «Անձնական տվյալների մասին»; Դաշնային օրենքը թիվ 149 «Մի մասին
տեղեկատվություն, տեղեկատվական տեխնոլոգիաներ և տեղեկատվության պաշտպանություն»; Դաշնային օրենքը թիվ 395-1 «Բանկերի և բանկային գործունեության մասին»: Նաև բանկերում անձնական տվյալների մշակման և պահպանման համակարգ ստեղծելիս ստեղծվում են մի շարք տեղական փաստաթղթեր, որոնք ապահովում են տվյալների հետ աշխատելու լրացուցիչ վերահսկողություն:
Հաճախորդից անձնական տվյալներ ստանալիս բանկային կազմակերպությունը պարտավորվում է իրականացնել բոլոր կազմակերպչական և տեխնիկական միջոցները՝ իրեն վստահված տեղեկատվությունը չարտոնված մուտքից (պատահական կամ դիտավորյալ), արգելափակումից, փոփոխումից, ոչնչացումից և այլ անօրինական գործողություններից պաշտպանելու համար: Արժե առանձնացնել բանկերում անձնական տվյալների մշակման և պաշտպանության որակական կազմակերպման մի շարք միջոցառումներ. բանկի տեղեկատվական համակարգում տվյալների մշակման և անվտանգության ապահովման պատասխանատուների նշանակումը. վերահսկողական միջոցառումների իրականացում և աշխատակիցների ծանոթացում համապատասխան կարգավորող դաշտին և ներքին փաստաթղթերին, որոնց վրա հիմնված է բանկի տվյալների անվտանգության համակարգը. Բանկում անձնական տվյալների մշակման ժամանակ սպառնալիքների բացահայտում և դրանց հակազդման միջոցներ. տվյալների պաշտպանության ապահովման համար կիրառվող կազմակերպչական և տեխնիկական միջոցների արդյունավետության գնահատում մինչև պաշտպանության համակարգի գործարկումը. անձնական տվյալների բոլոր մեքենաների կրիչների հաշվառում. աշխատողների վերամշակման և պաշտպանության համակարգ մուտք գործելու կանոնների սահմանում. պաշտպանված տվյալներին չարտոնված մուտքի հայտնաբերման դեպքում՝ միջոցներ ձեռնարկել սպառնալիքը վերացնելու և կորցրած տվյալները վերականգնելու համար։ Իսկ հաճախորդների անձնական տվյալների պահպանման և պաշտպանության գործող համակարգ ունեցող բանկերի համար պարտադիր միջոց է անվտանգության համակարգի մշտական մոնիտորինգն ու կատարելագործումը:
Այսպիսով, հարկ է նշել, որ բանկերում անձնական տվյալների մշակումը, պահպանումը և պաշտպանությունը պետք է իրականացվի Ռուսաստանի Դաշնության կարգավորող դաշտով սահմանված պայմանների հիման վրա: Յուրաքանչյուր ֆինանսական հաստատություն պարտավոր է՝ պահպանել օրինականության սկզբունքը իր հաճախորդների անձնական տվյալների պաշտպանությունը կազմակերպելիս. իրականացնել կազմակերպչական և տեխնիկական տվյալների պաշտպանության միջոցառումների ամբողջ շարք. Տեղեկատվական անվտանգությանն առնչվող տեղական փաստաթղթեր ստեղծելիս հենվել այս ոլորտում ռուսական և միջազգային լավագույն փորձի վրա. հետևել կարգավորող մարմինների (FSTEC, Roskomnadzor, FSB) բոլոր պահանջներին՝ ապահովելու հաճախորդի անձնական տվյալների պաշտպանությունը:
Օգտագործված գրականության ցանկ.
1. Խլեստովա Դ.Ռ., Պոպով Կ.Գ. «Անձնական տվյալների պաշտպանության իրավական ասպեկտների հարցով».
2. «Բանկերի և բանկային գործունեության մասին» դաշնային օրենք.
3. Ռուսաստանի բանկ [Էլեկտրոնային ռեսուրս] Մուտքի ռեժիմ՝ http://www.cbr.ru/ (Մուտքի ամսաթիվ՝ 05/06/2016)
© Խլեստովա Դ.Ռ., Պոպով Կ.Գ., 2016 թ
Խլեստովա Դարիա Ռոբերտովնա
Ուֆա, ՌԴ Տնտեսագիտության և վարքագծային ինստիտուտի 2-րդ կուրսի ուսանող Էլ. [էլփոստը պաշտպանված է]Պոպով Կիրիլ Գենադիևիչ Տնտեսագիտության թեկնածու, Բաշկիրի պետական համալսարանի տեղեկատվական անվտանգության ամբիոնի դոցենտ, Ուֆա, ՌԴ
ԲԻԶՆԵՍ ՀԵՏԱԽՈՒԶՈՒԹՅՈՒՆԸ՝ ՈՐՊԵՍ ՏԵՂԵԿԱՏՎՈՒԹՅՈՒՆ ՍՏԱԲԱՆԵԼՈՒ ԱՄԵՆԱՕՐԻՆԱԿԱՆ ՈՒՂԻ
անոտացիա
Հոդվածը վերաբերում է բիզնես ինտելեկտի մեթոդներին: Նաև հիմնավորվում է, թե ինչու է բիզնես ինտելեկտը օրինական գործունեություն բիզնեսում։ Կարևորեց հիմնական սկզբունքները, որոնք պետք է պահպանվեն,
Անձնական տվյալների անվտանգությունը բանկում
Ի՞նչ են անձնական տվյալները:
Համաձայն դաշնային օրենքի սահմանման՝ անձնական տվյալներ ցանկացած տեղեկատվություն է, որը վերաբերում է տվյալ տեղեկատվության (անձնական տվյալների առարկայի) հիման վրա բացահայտված կամ որոշված անձին, ներառյալ նրա ազգանունը, անունը, հայրանունը, տարին, ամիսը, ամսաթիվը և այլն: ծննդավայր, հասցե, ընտանիք, սոցիալական, գույքային դրություն, կրթություն, մասնագիտություն, եկամուտ, այլ տեղեկություններ:
Որտեղ են գտնվում անձնական տվյալները:
Անձնական տվյալները (PD) բանկում տեղակայված են հետևյալ համակարգերում.
Ավտոմատացված բանկային համակարգ (ABS);
Հաճախորդ-Բանկ համակարգեր;
Ակնթարթային դրամական փոխանցումների համակարգեր;
հաշվապահական համակարգեր;
Անձնակազմի հաշվառման համակարգեր;
Կորպորատիվ տեղեկատվական համակարգ;
Ներքին վեբ պորտալ.
PD-ն կարող է առկա լինել թղթային փաստաթղթերում (պայմանագրեր, ձևաթղթեր, պատվերներ, հրահանգներ, հարցաթերթիկներ, համաձայնագրեր և այլն):
Ի՞նչ փաստաթղթեր են սահմանում անձնական տվյալների պաշտպանության պահանջները:
դաշնային օրենքներ
2006 թվականի հուլիսի 27-ի «Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության մասին» թիվ 149-FZ դաշնային օրենքը.
Կառավարության որոշումներ
Ռուսաստանի Դաշնության Կառավարության 2007 թվականի նոյեմբերի 17-ի N 781 որոշումը «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգը հաստատելու մասին».
Ռուսաստանի Դաշնության Կառավարության 2007 թվականի դեկտեմբերի 29-ի N 957 որոշումը «Գաղտնագրման (կրիպտոգրաֆիկ) միջոցների հետ կապված գործունեության որոշակի տեսակների լիցենզավորման կանոնակարգերը հաստատելու մասին».
Ռուսաստանի Դաշնության Կառավարության 2008 թվականի սեպտեմբերի 15-ի «Առանց ավտոմատացման գործիքների կիրառման անձնական տվյալների մշակման առանձնահատկությունների մասին կանոնակարգը հաստատելու մասին» N 687 որոշումը:
Ռուսաստանի FSTEC
Ռուսաստանի FSTEC-ի, Ռուսաստանի FSB-ի և Ռուսաստանի տեղեկատվության և կապի նախարարության 2008 թվականի փետրվարի 13-ի թիվ 55/86/20 «Անձնական տվյալների տեղեկատվական համակարգերի դասակարգման կարգը հաստատելու մասին» համատեղ հրամանը.
Ռուսաստանի FSTEC-ի ուղեցույց» բազային մոդելանձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությանը սպառնացող վտանգներ».
Ռուսաստանի FSTEC-ի ուղեցույց փաստաթուղթ «Անձնական տվյալների անվտանգության իրական սպառնալիքների որոշման մեթոդիկա անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ժամանակ».
Ռուսաստանի FSTEC-ի 2010 թվականի փետրվարի 5-ի թիվ 58 «Տեղեկատվական անձնական տվյալների պաշտպանության մեթոդների և մեթոդների մասին կանոնակարգը հաստատելու մասին» հրամանը:
Ռուսաստանի FSB
FAPSI-ի 2001 թվականի հունիսի 13-ի թիվ 152 հրամանը «Պետական գաղտնիք չպարունակող տեղեկատվություն սահմանափակ հասանելիությամբ տեղեկատվության գաղտնագրային պաշտպանությամբ կապի ուղիներով պահպանման, մշակման և փոխանցման կազմակերպման և ապահովման վերաբերյալ հրահանգները հաստատելու մասին».
Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայության 2005 թվականի փետրվարի 9-ի թիվ 66 «Գաղտնագրման (կրիպտոգրաֆիկ) տեղեկատվության պաշտպանության գործիքների մշակման, արտադրության, վաճառքի և շահագործման կանոնակարգը հաստատելու մասին (PKZ-2005 կանոնակարգ)» հրամանը.
Ռուսաստանի FSB-ի 2008 թվականի փետրվարի 21-ի թիվ 149 / 54-144 ուղեցույց փաստաթուղթ: Ուղեցույցներգաղտնագրային միջոցների օգնությամբ անձնական տվյալների անվտանգությունն ապահովելու մասին՝ ավտոմատացման գործիքների օգտագործմամբ անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում».
Ռուսաստանի ԱԴԾ-ի 2008 թվականի փետրվարի 21-ի թիվ 149/6/6-622 ուղեցույց «Գաղտնագրման (կրիպտոգրաֆիկ) միջոցների կազմակերպման և շահագործման տիպային պահանջներ, որոնք նախատեսված են պետական գաղտնիք չպարունակող տեղեկությունների պաշտպանության համար, եթե. դրանք օգտագործվում են անձնական տվյալների անվտանգությունն ապահովելու համար անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում».
Ռուսաստանի Բանկի ստանդարտ
STO BR IBBS-1.0-2010 «Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության ապահովում. Ընդհանուր դրույթներ»;
STO BR IBBS-1.1-2007 «Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության ապահովում. տեղեկատվական անվտանգության աուդիտ»;
STO BR IBBS-1.2-2010 «Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության ապահովում. Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության STO BR IBBS-1.0-20xx պահանջներին համապատասխանության գնահատման մեթոդիկա»;
RS BR IBBS-2.0-2007 «Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության ապահովում. Տեղեկատվական անվտանգության ոլորտում փաստաթղթերի ուղեցույցներ՝ STO BR IBBS-1.0-ի պահանջներին համապատասխան»;
RS BR IBBS-2.1-2007 «Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության ապահովում. Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության STO BR IBBS-1.0 պահանջներին համապատասխանության ինքնագնահատման ուղեցույց.
RS BR IBBS-2.3-2010 «Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության ապահովում. Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների անձնական տվյալների տեղեկատվական համակարգերում անձնական տվյալների անվտանգության ապահովման պահանջներ».
RS BR IBBS-2.4-2010 «Ռուսաստանի Դաշնության բանկային համակարգի կազմակերպությունների տեղեկատվական անվտանգության ապահովում. Անձնական տվյալների անվտանգության սպառնալիքների արդյունաբերության մասնավոր մոդելը դրանց մշակման ընթացքում Ռուսաստանի Դաշնության բանկային համակարգի բանկերի կազմակերպությունների PD տեղեկատվական համակարգերում»:
ՌԴ BS կազմակերպություններում անձնական տվյալների մշակման ժամանակ իրավական պահանջներին համապատասխանության մեթոդական առաջարկներ, որոնք մշակվել են Ռուսաստանի բանկի, ARB-ի և Ռուսաստանի տարածաշրջանային բանկերի ասոցիացիայի (Ռոսիա ասոցիացիա) կողմից համատեղ:
Ինչպե՞ս պետք է պաշտպանվեն անձնական տվյալները:
Համաձայն PD-ի պաշտպանության մեթոդական փաստաթղթերի պահանջների՝ ISPD-ի բոլոր տեսակների համար ընդհանուր են հետևյալ ենթահամակարգերը.
Մուտքի վերահսկման ենթահամակարգ;
Գրանցման և հաշվառման ենթահամակարգ;
ամբողջականության ենթահամակարգ;
Ինտերնետ անվտանգության ենթահամակարգ.
Եթե ISPD-ը միացված է ինտերնետին, ապա պետք է լրացուցիչ օգտագործվեն հետևյալ ենթահամակարգերը.
հակավիրուսային անվտանգության ենթահամակարգ;
Ներխուժման հայտնաբերման ենթահամակարգ;
Անվտանգության վերլուծության ենթահամակարգ.
Անհրաժեշտ է նաև օգտագործել էլեկտրոնային կողպեքներ և/կամ էլեկտրոնային բանալիներօգտատերերին ապահով կերպով նույնականացնելու և նույնականացնելու համար:
Եթե ISPD-ն լրացուցիչ բաշխվում է չարտոնված մուտքը կանխելու համար՝ պաշտպանված տեղեկատվությունը հանրային տեղեկատվությունից առանձնացնելու միջոցով, անհրաժեշտ է օգտագործել գաղտնագրություն՝ անապահով կապի ուղիներով PD փոխանցելիս, ինչպես նաև թվային ստորագրություն՝ տվյալների իսկությունը հաստատելու համար:
Նման բաժանումը ենթահամակարգերի և դրանց հիման վրա անձնական տվյալների պաշտպանության համար ապրանքների ցանկի ձևավորումը ընդհանուր առմամբ ընդունված է և օգտագործվում է շատ դեպքերում:
Ինչի՞ց է անհրաժեշտ պաշտպանել անձնական տվյալները:
Եթե խնդիրն է ապահովել միայն PD-ի գաղտնիությունը, անհրաժեշտ է միջոցներ ձեռնարկել և (կամ) օգտագործել տեխնիկական միջոցներ, որոնք ուղղված են չարտոնված մուտքը կանխելուն, ապա այդպիսի PDIS-ը դառնում է բնորոշ:
Եթե լրացուցիչ պահանջներ են դրվում տեղեկատվական անվտանգության այլ հատկությունների ապահովման համար, ինչպիսիք են ամբողջականության ապահովումը, հասանելիությունը, ինչպես նաև դրանց ածանցյալները (չհրաժարվելը, հաշվետվողականությունը, համարժեքությունը, հուսալիությունը և այլն), ապա այդպիսի ISPD-ն դառնում է հատուկ: Շատ դեպքերում ցանկացած ISPD կլինի հատուկ, այսինքն, բացի PD դասերից, պաշտպանության մեխանիզմները որոշելու համար անհրաժեշտ է առաջնորդվել դրա համար ստեղծված սպառնալիքի մոդելով:
Ինչպե՞ս նվազեցնել PD-ի դասը:
PD-ի պաշտպանության միջոցները նվազեցնելու և պարզեցնելու համար բանկերը օգտագործում են տարբեր հնարքներ. Ստորև ներկայացնում եմ պաշտպանիչ սարքավորումների արժեքը նվազեցնելու առավել բնորոշ եղանակները: Սակայն ինքնին Բանկի տեղեկատվական համակարգերի նման «վերաձեւավորումը» բավականին բարդ ու ժամանակատար խնդիր է։
Կայքերի քանակի կրճատում
Ինչպես ցույց է տրված վերևում, եթե ISPD-ն բաշխված է, ապա դրա պաշտպանության վրա ավելացված պահանջներ են դրվում, դրանք նվազեցնելու համար դուք պետք է փորձեք հեռանալ բաշխված ISPD-ից:
Բաշխված ISPD-ի դեպքում PD-ները գտնվում են տարբեր վայրերում, PD-ները փոխանցվում են Բանկի կողմից չվերահսկվող կապի ուղիներով, և ընդհանուր դեպքում դա նշանակում է, որ PD-ները մտնում կամ դուրս են գալիս վերահսկվող տարածքից: Այնուհետեւ, առաջին հերթին, անհրաժեշտ է տեղայնացնել PD-ն՝ նվազեցնելով այն կայքերի թիվը, որտեղ դրանք կտեղակայվեն։ Որոշ դեպքերում դա իրական է, բայց եթե հաշվի առնենք ABS-ը, ապա, ամենայն հավանականությամբ, նման հնարավորություն չի լինի:
Սերվերների քանակի կրճատում
Եթե ISPD-ն տեղական է, այսինքն՝ այն գործում է Բանկի տեղական ցանցում, ապա պաշտպանության ծախսերը նվազեցնելու ամենապարզ միջոցը կլինի կրճատել սերվերային սարքավորումների քանակը, որոնց վրա առկա է և/կամ մշակվում է PD:
Աշխատանքային կայանների և անձնակազմի քանակի կրճատում
Ցանկացած տիպի ISPD-ով (AWS-ի տեսքով, տեղական, բաշխված) PD-ի վերջնական մշակումը, որպես կանոն, իրականացվում է Բանկի անձնակազմի կողմից: Եթե դուք չեք օգտվում տերմինալի հասանելիությունից, որը կքննարկվի ստորև, իմաստ ունի նվազեցնել Բանկի անձնակազմի թիվը, որոնք ներգրավված են անձնական տվյալների մշակման կամ դրանց հասանելիության մեջ:
IC-ի փոխանակում ITU-ի հետ
PD-ի քանակը նվազեցնելու և, հետևաբար, պաշտպանիչ սարքավորումների արժեքը նվազեցնելու համար, լավ ձեւովտեղեկատվական ցանցերի բաժանումն է այն հատվածների, որոնցում մշակվում է PD: Դրա համար անհրաժեշտ է տեղադրել և օգտագործել firewalls, որոնց նավահանգիստներին պետք է միացնել PD-ով հատվածները։ Հաճախ ամեն ինչ սերվերային սարքավորումներգտնվում է ապառազմականացված գոտում, այսինքն՝ հանրային և բանկային ցանցերից firewalls-ով առանձնացված հատվածներում։ Այս մեթոդը պահանջում է նաեւ տեղեկատվական ցանցերի զգալի «վերաձեւավորում»։ Գոյություն ունի մեթոդ, որը հիմնված է այսպես կոչված «գծային կոդավորման», այսինքն՝ հաճախորդ-հաճախորդ, հաճախորդ-սերվեր, սերվեր-սերվեր ալիքի կոդավորումը։ Նման կոդավորումը ցանցային տրաֆիկկարող է իրականացվել ինչպես հատուկ պաշտպանության գործիքների, այնպես էլ ստանդարտ IPSec տեխնոլոգիայի օգտագործմամբ, սակայն այն վավերացված չէ Ռուսաստանի FSB-ի կողմից, ինչը նրա էական թերությունն է:
ISPD-ները ամբողջ ցանցում առանձնացնելու մեկ այլ միջոց կարող է լինել վիրտուալ ցանցերի տեխնոլոգիան՝ VLAN-ները, բայց իրականում VLAN-ը պարզապես նույնացուցիչ է ցանցի փաթեթի դաշտերից մեկում, որը թույլ է տալիս այս տեխնոլոգիան խոսել որպես «ՏՏ»: Հետևաբար, VLAN-ներ օգտագործող ցանցերի առանձնացումը չի ազատում տեղեկատվական անվտանգության տեխնոլոգիաների օգտագործումից:
Տվյալների բազաների բաժանումը մասերի
Ենթադրենք, որ կա տվյալների բազա, որը բաղկացած է հազարավոր գրառումներից. և ավանդի չափը:
Եկեք ստեղծենք երկու այլ տվյալների բազա: Եկեք մուտքագրենք լրացուցիչ եզակի նույնացուցիչ: Աղյուսակը կբաժանենք երկու մասի, առաջինում կտեղադրենք լրիվ անուն և նույնացուցիչ դաշտերը, մյուսում՝ նույնացուցիչը և ներդրման չափը։
Այսպիսով, եթե յուրաքանչյուր աշխատակից կարող է կարգավորել այս նոր տվյալների բազաներից միայն մեկը, ապա PD-ի պաշտպանությունը զգալիորեն պարզեցված է, եթե ոչ՝ ոչնչի: Ակնհայտ է, որ նման տվյալների բազայի արժեքը զգալիորեն ցածր է սկզբնականից: Երկու տվյալների բազաները կտեղակայվեն ամենաապահով սերվերի վրա: Իրականում, այնուամենայնիվ, տվյալների բազայում շատ ավելի շատ դաշտեր կան այս սկզբունքըկարող է աշխատել գրեթե ամեն դեպքում, քանի որ PD անվտանգության տեսանկյունից նշանակալի դաշտերի թիվը այնքան էլ մեծ չէ, այլ բավականին սահմանափակ է: Ծայրահեղ դեպքում դուք կարող եք հիմնական համընկնումները պահել ԱՀ-ում, որը չի մտնում տեղական ցանցի մեջ, կամ նույնիսկ չօգտագործել ավտոմատացված մշակում:
PD-ի ապանձնավորում
152-FZ-ի սահմանման համաձայն՝ ՊԴ-ի ապանձնավորումը գործողություն է, որի արդյունքում անհնար է որոշել, թե արդյոք PD-ն պատկանում է կոնկրետ PD սուբյեկտին: Այս սահմանումից բխում է մի շարք մեթոդներ, որոնցով կարելի է ձեռք բերել PD, որոնցով անհնար է որոշել PD-ի սեփականությունը: Օրինակ, եթե որոշակի դաշտերի ճշգրիտ տվյալները կարևոր չեն մշակման նպատակով, դուք կարող եք կամ չցուցադրել դրանք, կամ ցուցադրել միայն այն տիրույթները, որոնցում դրանք ընկնում են: Օրինակ՝ 20-30, 30-40 տարեկան և այլն: Հասցեն կարող է «կլորացվել» շրջանի, թաղամասի կամ քաղաքի՝ Ցարիցինո, Յուժնի, Մոսկվա: Կախված անհրաժեշտությունից՝ PD-ի ապաանձնավորման գործընթացը կարող է լինել շրջելի կամ անշրջելի: Անդառնալի ներառում է «կլորացման» վերը նշված մեթոդները, իսկ շրջելի, օրինակ՝ կոդավորումը։ Իմ տեսանկյունից կոդավորումը (կոդավորումը) կարող է լինել տվյալների անանունացման միջոց և պետք է օգտագործվի այդ նպատակների համար:
«Թին կլիենտներ» և տերմինալի հասանելիություն
«Թին կլիենտ» տեխնոլոգիաների և սերվերների վրա համապատասխան տերմինալների հասանելիության տեխնոլոգիաների օգտագործումը կարող է զգալիորեն նվազեցնել անձնական տվյալների պաշտպանության պահանջները։ Բանն այն է, որ Բանկի աշխատակիցների ԱՀ-ում «բարակ» հաճախորդներ» և տերմինալային հասանելիություն օգտագործելիս անհրաժեշտ չէ տեղադրել մասնագիտացված ծրագրեր, ինչպիսիք են տվյալների բազաների հաճախորդի մասերը, ABS-ի հաճախորդների մասերը և այլն: Ավելին, Բանկի աշխատակիցների ԱՀ-ների վրա հատուկ պաշտպանիչ գործիքներ տեղադրելու կարիք չկա: Այս տեխնոլոգիաները թույլ են տալիս ցուցադրել ձեր աշխատավայրի սերվերներում պահվող տվյալների բազաներից և կառավարել անձնական տվյալների մշակումը: Այս տեխնոլոգիաները ապրիորի անվտանգ են, քանի որ. օգտագործելով տերմինալի քաղաքականությունը, հեշտ է սահմանափակել վերջնական հաճախորդների (Բանկի անձնակազմի) կարողությունը պատճենելու և, հետևաբար, տարածելու PD: Սերվերների և «նիհար հաճախորդով» ԱՀ-ի միջև կապի ալիքը կարող է հեշտությամբ գաղտնագրվել, այսինքն պարզ ուղիներկարող է ապահովվել փոխանցված տվյալների գաղտնիությունը։
Տվյալների հնարավոր արտահոսքի արագությունը կսահմանափակվի միայն տեսողական ալիքով, որը որոշվում է տեսախցիկի կամ տեսախցիկի արագությամբ, սակայն հատուկ կազմակերպչական միջոցառումների ներդրմամբ նման պատճենումը շատ դժվար է դառնում։
Ինչպե՞ս կարող են պաշտպանվել անձնական տվյալները:
Լայն իմաստով պաշտպանությունը չարտոնված մուտքից հասկացվում է որպես կազմակերպչական և տեխնիկական միջոցառումների մի շարք: Այս գործողությունները հիմնված են տարբեր մակարդակներում չարտոնված մուտքը կանխելու մեխանիզմների ըմբռնման վրա.
Նույնականացում և նույնականացում (նաև երկու գործոնով կամ ուժեղ): Սա կարող է լինել (օպերացիոն համակարգ, ենթակառուցվածքային ծրագրակազմ, կիրառական ծրագրակազմ, սարքաշար, օրինակ, դոնգլներ);
Գրանցում և հաշվառում: Սա կարող է լինել իրադարձությունների գրանցում (գրանցում, գրանցում) վերը նշված բոլոր համակարգերում, ծրագրերում և գործիքներում).
Ամբողջականության ապահովում. Սա կարող է լինել վերահսկվող ֆայլերի ստուգման գումարների հաշվարկը, ապահովելով ծրագրային բաղադրիչների ամբողջականությունը, փակ օգտագործման ծրագրային միջավայր, ինչպես նաև վստահելի OS-ի բեռնման ապահովում);
Firewall, ինչպես gateway, այնպես էլ տեղական;
Հակավիրուսային անվտանգություն (կիրառվում է պաշտպանության մինչև երեք մակարդակ, այսպես կոչված, շերտավոր կամ բազմավաճառքի մոտեցում);
Կրիպտոգրաֆիա (գործառականորեն կիրառվում է OSI մոդելի տարբեր մակարդակներում (ցանց, տրանսպորտ և վերևում) և ապահովում է տարբեր պաշտպանիչ գործառույթներ:
Կան մի քանի բարդ արտադրանք, որոնք մշակել են NSD ֆունկցիոնալությունը: Նրանք բոլորն էլ տարբերվում են կիրառական տեսակների, ապարատային աջակցության, ծրագրային ապահովման և իրականացման տոպոլոգիայի մեջ:
Հանրային ցանցին (Ինտերնետ, Ռոստելեկոմ և այլն) բաշխելիս կամ միացնելիս օգտագործվում են ISPD անվտանգության վերլուծության արտադրանք (MaxPatrol Positive Technologies-ից, որն ուղղակի մրցակիցներ չունի Ռուսաստանի Դաշնությունում), ինչպես նաև ներխուժման հայտնաբերում և կանխարգելում (IDS /): IPS) - ինչպես դարպասի մակարդակում, այնպես էլ վերջի հանգույցի մակարդակում:
Ինչպե՞ս կարող են փոխանցվել անձնական տվյալները:
Եթե ISPD-ը բաշխված է, դա նշանակում է, որ անհրաժեշտ է PD փոխանցել անապահով կապի ուղիներով: Ի դեպ, «օդը» վերաբերում է նաև անպաշտպան ալիքին։ Հաղորդակցման ուղիներում PD-ն պաշտպանելու համար կարող են օգտագործվել տարբեր մեթոդներ.
Կապի ալիքի կոդավորումը: Այն կարող է տրամադրվել ցանկացած ձևով, օրինակ՝ VPN դարպասների միջև, VPN սերվերների միջև, VPN աշխատանքային կայանների միջև (InfoTecs ViPNet Custom, Informzaschita APKSh Continent և այլն);
MPLS փաթեթների փոխարկում: Փաթեթները փոխանցվում են տարբեր ուղիներով՝ ցանցային սարքավորումների կողմից նշանակված պիտակների համաձայն: Օրինակ, Ռոստելեկոմի MPLS ցանցն ունի փաթեթային կոմուտացիոն ցանցի համապատասխանության վկայագիր Ռուսաստանի FSTEC-ի տեղեկատվական անվտանգության պահանջներին, ինչը դրա հիման վրա մատուցվող ծառայությունների բարձր անվտանգության երաշխիք է.
Փաստաթղթերի գաղտնագրում. Տարբեր ծրագրեր կարող են օգտագործվել տվյալների ֆայլերի, ինչպես նաև կոնտեյներային ֆայլերի գաղտնագրման համար (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt և այլն);
Արխիվների գաղտնագրում. Կարող են օգտագործվել տարբեր արխիվատորներ, որոնք թույլ են տալիս արխիվացնել և գաղտնագրել ֆայլերը՝ օգտագործելով ուժեղ ալգորիթմներ, ինչպիսիք են AES-ը: (WinRAR, WinZIP, 7-ZIP և այլն):
Պե՞տք է արդյոք օգտագործել հավաստագրված պաշտպանիչ սարքավորումներ:
Մինչ օրս կա միայն մեկը FSTEC պահանջըՌուսաստանը անձնական տվյալների պաշտպանության միջոցների հավաստագրման առումով. Պահանջը վերաբերում է չհայտարարված հնարավորությունների 4-րդ մակարդակի ապահովմանը, հետևաբար, վերջին հարցի վերաբերյալ ես կտամ ընդամենը երեք թեզ.
Պաշտպանական սարքավորումների հավաստագրման համակարգը կամավոր է.
Բավական է բավարարել օրենքի պահանջները.
Անձնական տվյալների տեղեկատվական համակարգը ամբողջությամբ վավերացնելը պարտադիր չէ:
Շաուրո Յուջին
ՆԵՐԱԾՈՒԹՅՈՒՆ
Համապատասխանություն. AT ժամանակակից աշխարհտեղեկատվությունը դառնում է ռազմավարական ռեսուրս, տնտեսապես զարգացած պետության հիմնական հարստություններից մեկը։ Ռուսաստանում ինֆորմատիզացիայի արագ բարելավումը, նրա ներթափանցումը անհատի, հասարակության և պետության կենսական շահերի բոլոր ոլորտներում, անկասկած առավելություններից բացի, առաջացրին մի շարք էական խնդիրներ: Դրանցից մեկը տեղեկատվության պաշտպանության անհրաժեշտությունն էր։ Հաշվի առնելով, որ ներկայումս տնտեսական ներուժն ավելի ու ավելի է որոշվում տեղեկատվական կառուցվածքի զարգացվածության մակարդակով, համամասնորեն աճում է տնտեսության պոտենցիալ խոցելիությունը տեղեկատվական ազդեցությունների նկատմամբ։
Տարածում համակարգչային համակարգեր, դրանք կապի ցանցերում միավորելը մեծացնում է դրանց մեջ էլեկտրոնային ներթափանցման հնարավորությունը։ Համակարգչային հանցավորության հիմնախնդիրն աշխարհի բոլոր երկրներում, անկախ նրանց աշխարհագրական դիրքից, ստիպում է հասարակության ավելի ու ավելի մեծ ուշադրություն և ջանքեր գրավել հանցագործության այս տեսակի դեմ պայքարը կազմակերպելու համար։ Հատկապես մեծ տարածում են գտել ավտոմատացված բանկային համակարգերում և էլեկտրոնային առևտրում հանցագործությունները։ Արտասահմանյան տվյալների համաձայն՝ համակարգչային հանցագործությունների արդյունքում բանկերում վնասները տարեկան կազմում են միլիարդավոր դոլարներ։ Թեև Ռուսաստանում նորագույն տեղեկատվական տեխնոլոգիաների կիրառման մակարդակն այնքան էլ նշանակալի չէ, համակարգչային հանցագործությունները օրեցօր ավելի ու ավելի են իրենց զգացնել տալիս, և պետությունն ու հասարակությունը դրանցից պաշտպանելը իրավասու իշխանությունների համար գերխնդիր է դարձել։
Ոչ ոք չի կասկածում անձնական տվյալների պաշտպանության խնդրի արդիականության մեջ։ Առաջին հերթին դա պայմանավորված է անձնական տվյալների տեղեկատվական համակարգերը (PDIS) համապատասխանեցնելու ժամանակաշրջանով դաշնային օրենքհուլիսի 27-ի թիվ 152-FZ «Անձնական տվյալների մասին» 2006թ. Այս վերջնաժամկետն անխուսափելիորեն մոտենում է, և միևնույն ժամանակ, կարգավորող ուղեցույցների պահանջները բավարարելու ակնհայտ դժվարությունը բազմաթիվ հակասություններ և երկիմաստ մեկնաբանություններ է առաջացնում: Միաժամանակ, որոշ ուղղորդող փաստաթղթերի գաղտնիությունը, դրանց անորոշ իրավական կարգավիճակը, ինչպես նաև մի շարք այլ հարցեր չեն նպաստում խնդրի լուծմանը։ Այս ամենը ստեղծում է մի իրավիճակ, երբ կարգավորող դաշտը վերջնականապես սահմանված չէ, և անհրաժեշտ է պահպանել օրենքի պահանջները հիմա։
2009 թվականի մայիսին կայացավ առաջին հանդիպումը աշխատանքային խումբ ARB-ում անձնական տվյալների հարցի վերաբերյալ. Միջոցառմանը բաց քննարկման ընթացքում բավականին հստակ բացահայտվեցին բանկային հանրությանը հուզող խնդրահարույց ոլորտները։ Դրանք հիմնականում վերաբերում էին անձնական տվյալների տեխնիկական պաշտպանությանը և ֆինանսական հաստատությունների և FSTEC-ի միջև ապագա փոխգործակցությանը: Ռուսաստանի Բանկի ներկայացուցիչներն իրենց ելույթում հայտարարեցին «Անձնական տվյալների մասին» օրենքի կիրարկման կազմակերպման առումով զարգացումների մասին։ Հիմնովին նոր և կարևոր են Ռուսաստանի Բանկի փորձերը՝ կարգավորիչների հետ փոխզիջում գտնելու ձևակերպման առումով. տեխնիկական պահանջներբանկային հանրության համար։ Հատկապես կցանկանայի նշել Ռուսաստանի Դաշնության Կենտրոնական բանկի գործունեությունը Ռուսաստանի FSTEC-ի հետ աշխատելու հարցում: Հաշվի առնելով FSTEC ուղեցույցների պահանջները բավարարելու բոլոր հսկայական դժվարությունները, Ռուսաստանի բանկը որոշեց պատրաստել իր սեփական փաստաթղթերը (փաստաթղթերի նախագծեր), որոնք ներկայումս համապատասխանում են FSTEC-ին: Կարելի է ենթադրել, որ անձնական տվյալների վերաբերյալ ֆինանսական հաստատությունների համար արդյունաբերության նոր ստանդարտի մեծ հավանականություն կա:
Դասընթացի աշխատանքի նպատակն է ուսումնասիրել առցանց բանկային համակարգերում անձնական տվյալների պաշտպանության ուղիները:
Նպատակին հասնելու համար լուծվեցին հետևյալ խնդիրները.
մոտեցումների, անվտանգության հիմնարար սկզբունքների ուսումնասիրություն;
անվտանգության ապահովման մեթոդների և միջոցների որոշում.
առցանց բանկային համակարգերում անձնական տվյալների անվտանգության ապահովման առանձնահատկությունների բացահայտում.
առցանց բանկային համակարգերում անձնական տվյալների անվտանգությունն ապահովելու միջոցառումների մշակում։
Հետազոտական աշխատանքի օբյեկտը տեղեկատվական բանկային համակարգերն են:
Ուսումնասիրության առարկան առցանց բանկային համակարգերում անձնական տեղեկատվության անվտանգությունն է:
Ուսումնասիրության տեսական և մեթոդական հիմքը եղել է տեսական դրույթները, գիտնականների աշխատանքը, տեղեկատվության տրամադրման ոլորտի մասնագետների հետազոտությունը։
Դասընթացի աշխատանքի մեթոդական հիմքը անվտանգության խնդիրների ուսումնասիրման համակարգված մոտեցումն էր:
Օգտագործված տրամաբանական, համեմատական իրավական, համակարգային վերլուծություն: Բացի այդ, օգտագործված կառուցվածքային վերլուծության մեթոդը հնարավորություն է տալիս անհրաժեշտ մանրակրկիտ ուսումնասիրել ուսումնասիրվող երևույթի առանձին բաղադրիչները և վերլուծել այդ տարրերի փոխհարաբերությունները միմյանց, ինչպես նաև ընդհանուր ամբողջության հետ:
1. Անձնական տվյալների պաշտպանության տեսական ասպեկտները առցանց բանկային համակարգերում
1.1 Մոտեցումներ, անվտանգության սկզբունքներ
Տեղեկատվական համակարգերի անվտանգության ներքո հասկացեք այն միջոցները, որոնք պաշտպանում են տեղեկատվական համակարգը պատահական կամ կանխամտածված միջամտությունից նրա գործունեության ռեժիմներին:
Համակարգչային անվտանգության երկու հիմնական մոտեցում կա.
Դրանցից առաջինը մասնատված է, դրա շրջանակներում ուշադրություն է դարձվում որոշակի պայմաններում խստորեն սահմանված սպառնալիքներին հակազդելու վրա (օրինակ՝ մասնագիտացված հակավիրուսային գործիքներ, առանձին կոդավորման գործիքներ և այլն): Մոտեցումն ունի երկու առավելություններն էլ՝ ենթադրելով բարձր մակարդակընտրողականությունը խստորեն սահմանված խնդրի առումով, ինչպես նաև թերություններ, որոնք առաջարկում են պաշտպանության մասնատում, այսինքն. լավ սահմանված տարրեր.
Տեղեկատվական անվտանգության կառավարման գործընթացը ներառում է Նկ. մեկ.
Երկրորդ մոտեցումը համակարգային է, դրա յուրահատկությունն այն է, որ դրա շրջանակներում տեղեկատվության պաշտպանությունը վերաբերվում է ավելի մեծ մասշտաբով. ստեղծվում է տեղեկատվության մշակման, պահպանման և փոխանցման անվտանգ միջավայր, որը համակցում է սպառնալիքներին դիմակայելու տարասեռ մեթոդներն ու միջոցները՝ ծրագրային և ապարատային, իրավական, կազմակերպչական և տնտեսական. Նշված անվտանգ միջավայրի միջոցով կարելի է երաշխավորել ավտոմատացված տեղեկատվական համակարգի անվտանգության որոշակի մակարդակ:
Տեղեկատվական անվտանգության համակարգված մոտեցումը հիմնված է հետևյալ մեթոդաբանական սկզբունքների վրա.
վերջնական նպատակ - վերջնական (գլոբալ) նպատակի բացարձակ առաջնահերթություն.
միասնություն - համակարգի ընդհանուր դիտարկումը որպես ամբողջություն «և որպես մասերի (տարրերի) մի շարք.
միացում - համակարգի ցանկացած մասի դիտարկում շրջակա միջավայրի հետ կապերի հետ միասին.
մոդուլային շինարարություն - համակարգում մոդուլների տեղաբաշխում և դրա դիտարկումը որպես մոդուլների մի շարք.
հիերարխիաներ - մասերի (տարրերի) հիերարխիայի և դրանց դասակարգման ներդրում.
ֆունկցիոնալություն - կառուցվածքի և գործառույթի համատեղ դիտարկում՝ գործառույթի գերակայությամբ կառուցվածքի նկատմամբ.
զարգացում - հաշվի առնելով համակարգի փոփոխականությունը, զարգացնելու, ընդլայնելու, մասերը փոխարինելու, տեղեկատվություն կուտակելու ունակությունը.
ապակենտրոնացում - կենտրոնացման և ապակենտրոնացման որոշումների և կառավարման համակցություններ.
անորոշություն - համակարգում անորոշությունների և պատահականության հաշվառում:
Ժամանակակից հետազոտողները առանձնացնում են հետևյալ մեթոդաբանական.
տեղեկատվական (այդ թվում՝ համակարգչային) անվտանգության կազմակերպչական և իրականացման սկզբունքները.
Օրինականության սկզբունքը. Այն բաղկացած է տեղեկատվական անվտանգության ոլորտում գործող օրենսդրությանը հետևելուց։
Անորոշության սկզբունքը Այն առաջանում է սուբյեկտի վարքագծի անորոշության պատճառով, այսինքն. ով, երբ, որտեղ և ինչպես կարող է խախտել պաշտպանության օբյեկտի անվտանգությունը.
Իդեալական պաշտպանության համակարգի ստեղծման անհնարինության սկզբունքը. Դա բխում է այդ ֆոնդերի անորոշության և սահմանափակ ռեսուրսների սկզբունքից։
Նվազագույն ռիսկի և նվազագույն վնասի սկզբունքները, որոնք բխում են իդեալական պաշտպանության համակարգի ստեղծման անհնարինությունից։ Դրան համապատասխան՝ անհրաժեշտ է հաշվի առնել ցանկացած պահի պաշտպանության օբյեկտի գոյության հատուկ պայմանները։
Անվտանգ ժամանակի սկզբունքը Այն ներառում է բացարձակ ժամանակի հաշվառում, այսինքն. որի ընթացքում անհրաժեշտ է պահպանել պաշտպանության օբյեկտները. և հարաբերական ժամանակ, այսինքն. ժամանակաշրջան՝ չարամիտ գործողությունների հայտնաբերման պահից մինչև հարձակվողի կողմից նպատակին հասնելը.
«Բոլորին բոլորից պաշտպանելու» սկզբունքը։ Այն ներառում է պաշտպանության միջոցների կազմակերպում պաշտպանության օբյեկտներին սպառնացող բոլոր ձևերի դեմ, ինչը անորոշության սկզբունքի հետևանք է։
Անձնական պատասխանատվության սկզբունքները. Ստանձնում է ձեռնարկության, հիմնարկի և կազմակերպության յուրաքանչյուր աշխատակցի անձնական պատասխանատվությունը անվտանգության ռեժիմին համապատասխանելու համար՝ իրենց լիազորությունների, գործառնական պարտականությունների և ընթացիկ ցուցումների շրջանակներում:
Լիազորությունների սահմանափակման սկզբունքը ենթադրում է սուբյեկտի լիազորությունների սահմանափակում՝ ծանոթանալու այն տեղեկատվությանը, որին հասանելիություն չի պահանջվում նրա ֆունկցիոնալ պարտականությունների բնականոն կատարման համար, ինչպես նաև այն օբյեկտների և գոտիների մուտքի արգելքի սահմանում։ մնալը չի պահանջվում իր գործունեության բնույթով.
Փոխգործակցության և համագործակցության սկզբունքը. Ներքին դրսևորման մեջ ենթադրում է մշակում վստահելի հարաբերություններանվտանգության (ներառյալ տեղեկատվական անվտանգության) համար պատասխանատու աշխատողների և անձնակազմի միջև: Արտաքին դրսևորմամբ՝ համագործակցության հաստատում բոլոր շահագրգիռ կազմակերպությունների և անձանց (օրինակ՝ իրավապահ մարմինների) հետ։
Բարդության և անհատականության սկզբունքը Այն ենթադրում է պաշտպանության օբյեկտի անվտանգությունն ապահովելու անհնարինությունը որևէ մեկ միջոցով, բայց միայն բարդ, փոխկապակցված և միմյանց կրկնօրինակող միջոցառումների համալիրով, որոնք իրականացվում են առանձին հղումներով կոնկրետ պայմաններին:
Անվտանգության հաջորդական գծերի սկզբունքը: Այն ենթադրում է հնարավորինս վաղ ծանուցում պաշտպանության որոշակի օբյեկտի անվտանգության ոտնձգության կամ այլ անբարենպաստ միջադեպի մասին, որպեսզի մեծացնի հավանականությունը, որ պաշտպանական սարքավորումների վաղ ահազանգը անվտանգության համար պատասխանատու աշխատողներին կապահովի տագնապի պատճառը ժամանակին պարզելու և արդյունավետ հակաքայլեր կազմակերպելու հնարավորություն։
Պաշտպանական գծերի հավասար ուժի և հավասար ուժի սկզբունքներ. Հավասար ուժը ենթադրում է անպաշտպան տարածքների բացակայություն պաշտպանության սահմաններում։ Համարժեքությունը ենթադրում է պաշտպանական գծերի պաշտպանության համեմատաբար հավասար մակարդակ՝ պաշտպանության օբյեկտին սպառնացող վտանգի աստիճանին համապատասխան։
Ձեռնարկությունում տեղեկատվական անվտանգության ապահովման մեթոդները հետևյալն են.
Խոչընդոտ - հարձակվողի ուղին դեպի պաշտպանված տեղեկատվություն (դեպի սարքավորումներ, պահեստային կրիչներ և այլն) ֆիզիկապես արգելափակելու մեթոդ:
Մուտքի վերահսկումը տեղեկատվության պաշտպանության մեթոդ է ձեռնարկության ավտոմատացված տեղեկատվական համակարգի բոլոր ռեսուրսների օգտագործումը կարգավորելու միջոցով: Մուտքի վերահսկումը ներառում է անվտանգության հետևյալ հատկանիշները.
Տեղեկատվական համակարգի օգտագործողների, անձնակազմի և ռեսուրսների նույնականացում (յուրաքանչյուր օբյեկտի անհատական նույնացուցիչի նշանակում).
օբյեկտի կամ սուբյեկտի նույնականացում (նույնականացում) նրանց ներկայացված նույնացուցիչի կողմից.
լիազորությունների ստուգում (շաբաթվա օրվա, օրվա ժամի, պահանջվող ռեսուրսների և ընթացակարգերի համապատասխանության ստուգում սահմանված կանոնակարգին).
պաշտպանված ռեսուրսների զանգերի գրանցում.
արձագանք (տագնապ, անջատում, աշխատանքի հետաձգում, չթույլատրված գործողությունների փորձի դեպքում հարցումից հրաժարվելը):
Քողարկումը ձեռնարկության ավտոմատացված տեղեկատվական համակարգում տեղեկատվության պաշտպանության մեթոդ է՝ դրա ծածկագրային փակման միջոցով:
Կարգավորումը տեղեկատվության պաշտպանության մեթոդ է, որը ստեղծում է այնպիսի պայմաններ տեղեկատվության ավտոմատացված մշակման, պահպանման և փոխանցման համար, որոնց դեպքում դրան չթույլատրված մուտքի հնարավորությունը նվազագույնի կհասցվի:
Հարկադրանքը տեղեկատվության պաշտպանության մեթոդ է, որում օգտատերերը և համակարգի անձնակազմը ստիպված են ենթարկվել նյութական, վարչական և քրեական պատասխանատվության սպառնալիքի ներքո պաշտպանված տեղեկատվության մշակման, փոխանցման և օգտագործման կանոններին:
Խրախուսումը տեղեկատվական անվտանգության մեթոդ է, որը խրախուսում է օգտատերերին և համակարգի անձնակազմին չխախտել սահմանված կանոններսահմանված բարոյական և էթիկական չափանիշներին համապատասխանելու միջոցով:
Տեղեկատվական անվտանգության ապահովման վերը նշված մեթոդներն իրականացվում են հետևյալ հիմնական միջոցների միջոցով՝ ֆիզիկական, ապարատային, ծրագրային ապահովում, ապարատային-ծրագրային ապահովում, կրիպտոգրաֆիկ, կազմակերպչական, օրենսդրական և բարոյական և էթիկական:
Ֆիզիկական պաշտպանության միջոցները նախատեսված են օբյեկտների տարածքի արտաքին պաշտպանության, ձեռնարկության ավտոմատացված տեղեկատվական համակարգի բաղադրիչների պաշտպանության համար և իրականացվում են ինքնավար սարքերի և համակարգերի տեսքով:
Սարքավորումների պաշտպանության միջոցները էլեկտրոնային, էլեկտրամեխանիկական և այլ սարքեր են, որոնք ուղղակիորեն ներկառուցված են ավտոմատացված տեղեկատվական համակարգի բլոկների մեջ կամ նախագծված են որպես անկախ սարքեր և փոխկապակցված են այդ բլոկների հետ: Դրանք նախատեսված են օբյեկտների և համակարգերի կառուցվածքային տարրերի ներքին պաշտպանության համար: Համակարգչային գիտությունտերմինալներ, պրոցեսորներ, ծայրամասային սարքավորումներ, կապի գծեր և այլն:
Ծրագրային ապահովման պաշտպանության գործիքները նախատեսված են տրամաբանական և խելացի պաշտպանական գործառույթներ կատարելու համար և ներառված են կամ մեջ ծրագրային ապահովումավտոմատացված տեղեկատվական համակարգ կամ որպես կառավարման սարքավորումների միջոցների, համալիրների և համակարգերի մաս:
Տեղեկատվության պաշտպանության ծրագրակազմը պաշտպանության ամենատարածված տեսակն է, որն ունի հետևյալ դրական հատկությունները՝ բազմակողմանիություն, ճկունություն, իրականացման հեշտություն, փոփոխության և զարգացման հնարավորություն: Այս հանգամանքը նրանց միաժամանակ դարձնում է ձեռնարկության տեղեկատվական համակարգի պաշտպանության առավել խոցելի տարրեր։
Սարքավորում-ծրագրային պաշտպանության միջոցները միջոցներ են, որոնցում ծրագրային ապահովումը (որոնվածը) և ապարատային մասերը լիովին փոխկապակցված են և անբաժան:
Կրիպտոգրաֆիկ միջոցներ՝ տեղեկատվության փոխակերպմամբ պաշտպանության միջոց (գաղտնագրում):
Կազմակերպչական միջոցներ՝ անձնակազմի վարքագիծը կարգավորող կազմակերպչական, տեխնիկական և կազմակերպչական և իրավական միջոցներ:
Օրենսդրական միջոցներ՝ երկրի իրավական ակտեր, որոնք կարգավորում են սահմանափակ հասանելիության տեղեկատվության օգտագործման, մշակման և փոխանցման կանոնները և որոնք պատասխանատվություն են սահմանում սույն կանոնների խախտման համար։
Բարոյական և էթիկական միջոցներ՝ հասարակության մեջ նորմեր, ավանդույթներ, օրինակ՝ ԱՄՆ-ում Համակարգչից օգտվողների ասոցիացիայի անդամների մասնագիտական վարքագծի կանոններ:
1.2 Անվտանգության մեթոդներ և միջոցներ
Անվտանգության միջոցառումների իրականացման համար օգտագործվում են գաղտնագրման տարբեր մեխանիզմներ, ինչի՞ համար են օգտագործվում այդ մեթոդները: Սկզբում տվյալներ ուղարկելիս (տեքստ, խոսք կամ նկարչություն) դրանք պաշտպանված չեն, կամ, ինչպես մասնագետներն են անվանում, բաց են։ Բաց տվյալները հեշտությամբ կարող են գաղտնալսվել այլ օգտվողների կողմից (դիտավորյալ, թե ոչ): Եթե նպատակ կա կանխել որոշակի տեղեկատվության հասանելիությունը երրորդ անձանց, ապա այդպիսի տվյալները կոդավորված են: Օգտագործողը, ում համար նախատեսված է նշված տեղեկատվությունը, այնուհետև վերծանում է այն՝ օգտագործելով կրիպտոգրամի հակադարձ փոխակերպումը, ստանալով տվյալները իրեն անհրաժեշտ ձևով:
Կոդավորումը սիմետրիկ է (գաղտնագրման համար օգտագործվում է մեկ գաղտնի բանալի) և ասիմետրիկ (մեկ հանրային բանալին օգտագործվում է գաղտնագրման համար, իսկ մյուսը օգտագործվում է վերծանման համար, դրանք փոխկապակցված չեն, այսինքն, եթե դրանցից մեկը հայտնի է, մյուսը հնարավոր չէ որոշել։ )
Անվտանգության մեխանիզմները ներառում են.
) Մեխանիզմներ թվային էլեկտրոնային ստորագրությունհիմնված են ասիմետրիկ գաղտնագրման ալգորիթմների վրա և ներառում են երկու ընթացակարգ՝ ուղարկողի կողմից ստորագրության ձևավորում և ստացողի կողմից դրա նույնականացում: Ուղարկողի կողմից ստորագրության ստեղծումը գաղտնագրում է տվյալների բլոկը կամ լրացնում այն գաղտնագրային ստուգիչ գումարով, և երկու դեպքում էլ օգտագործվում է ուղարկողի գաղտնի բանալին: Նույնականացման համար օգտագործվում է հանրային բանալին:
) Մուտքի վերահսկման մեխանիզմները ստուգում են ծրագրերի և օգտատերերի իրավասությունը ցանցի ռեսուրսներ մուտք գործելու համար: Երբ ռեսուրսը հասանելի է միացման միջոցով, կառավարումն իրականացվում է ինչպես մեկնարկային, այնպես էլ միջանկյալ կետերում, ինչպես նաև վերջնակետում:
) Տվյալների ամբողջականության մեխանիզմները կիրառվում են առանձին բլոկի և տվյալների հոսքի վրա: Ուղարկողը լրացնում է փոխանցված բլոկը գաղտնագրային գումարով, իսկ ստացողը այն համեմատում է ստացված բլոկին համապատասխան գաղտնագրային արժեքի հետ։ Անհամապատասխանությունը ցույց է տալիս բլոկի տեղեկատվության աղավաղումը:
) Երթևեկության բեմադրման մեխանիզմներ. Դրանք հիմնված են AIS օբյեկտների կողմից բլոկների ստեղծման, դրանց կոդավորման և ցանցային ալիքներով փոխանցման կազմակերպման վրա: Սա չեզոքացնում է դիտարկման միջոցով տեղեկատվություն ստանալու հնարավորությունը արտաքին բնութագրերըկապի ուղիներով շրջանառվող հոսքեր.
) Երթուղային կառավարման մեխանիզմները ապահովում են երթուղիների ընտրություն երկայնքով տեղեկատվության շարժման համար կապի ցանցայնպես, որ բացառվի գաղտնի տեղեկատվության փոխանցումը անապահով, ֆիզիկապես անվստահելի ուղիներով։
) Արբիտրաժային մեխանիզմները ապահովում են երրորդ կողմի կողմից սուբյեկտների միջև փոխանցված տվյալների բնութագրերի հաստատում: Դրա համար օբյեկտների կողմից ուղարկված կամ ստացված տեղեկատվությունը անցնում է արբիտրի միջով, ինչը թույլ է տալիս նրան հետագայում հաստատել նշված բնութագրերը:
Տնտեսական օբյեկտների անվտանգության համակարգի հիմնական թերություններն են.
-օբյեկտների անվտանգության խնդրի նեղ, ոչ համակարգային ըմբռնում; -սպառնալիքների կանխարգելման անտեսում, աշխատանք «Սպառնալիք է առաջացել. մենք սկսում ենք այն վերացնել» սկզբունքով. -Անվտանգության տնտեսագիտության մեջ ոչ կոմպետենտություն, ծախսերն ու արդյունքները համեմատելու անկարողությունը. -Ղեկավարության և անվտանգության ծառայության մասնագետների «տեխնոկրատիան», բոլոր առաջադրանքների մեկնաբանումը իրենց ծանոթ տարածքի լեզվով։ Որպես աշխատանքի առաջին գլխի վերջաբան՝ սահմանում ենք հետևյալը. Տեղեկատվական համակարգերի անվտանգության ապահովումը կոչվում է որոշակի միջոցներ, որոնցով նրանք պաշտպանում են տեղեկատվական համակարգը պատահական կամ կանխամտածված միջամտությունից դրա գործունեության ռեժիմներին: Անվտանգության ապահովման համար նախատեսված է երկու հիմնական մոտեցում. և 2) համակարգային, որը ստեղծում է անվտանգ միջավայր մշակման, պահպանման և փոխանցման համար, որը միավորում է տարբեր տեսակիսպառնալիքներին հակազդելու մեթոդներն ու միջոցները Տեղեկատվության պաշտպանության համար օգտագործվում են տարբեր միջոցներ և մեխանիզմներ։ Միջոցները ներառում են՝ կոդավորում, թվային էլեկտրոնային ձայնագրում, մուտքի վերահսկում, երթևեկության կարգավորում և այլն: բանկային առցանց անվտանգության համակարգ 2. Առցանց բանկային համակարգերում անձնական տվյալների անվտանգության ապահովման առանձնահատկությունները 2.1. Առցանց բանկային համակարգերում անձնական տվյալների անվտանգության ապահովման ընդհանուր պայմաններ Պաշտպանություն անձնական տվյալներ- սա տեղեկատվության և դրա օժանդակ ենթակառուցվածքների (համակարգիչներ, կապի գծեր, էլեկտրամատակարարման համակարգեր և այլն) պաշտպանվածության վիճակն է պատահական կամ դիտավորյալ ազդեցություններից, որոնք հղի են այս տեղեկատվության սեփականատերերին կամ օգտագործողներին վնաս հասցնելով: Նաև հավատարմագրերի տեղեկատվական անվտանգությունը հասկացվում է որպես. Հաշվապահական հաշվառման մեջ տեղեկատվական անվտանգության օբյեկտները տեղեկատվական ռեսուրսներն են, որոնք պարունակում են տեղեկություններ, որոնք դասակարգված են որպես առևտրային գաղտնիք և գաղտնի տեղեկատվություն. ինչպես նաև տեղեկատվականացման միջոցներն ու համակարգերը։ Սեփականատեր տեղեկատվական ռեսուրսներՏեղեկատվական համակարգերը, տեխնոլոգիաները և դրանց աջակցության միջոցները սուբյեկտ է, որը տիրապետում և օգտագործում է նշված օբյեկտները և իրականացնում տնօրինման լիազորություններ՝ օրենքով սահմանված սահմաններում։ Տեղեկատվական օգտագործողն այն սուբյեկտն է, որը դիմում է տեղեկատվական համակարգին կամ միջնորդին իրեն անհրաժեշտ տեղեկատվությունը ստանալու և այն օգտագործելու համար: Տեղեկատվական ռեսուրսները առանձին փաստաթղթեր են և փաստաթղթերի առանձին զանգվածներ, փաստաթղթեր և փաստաթղթերի զանգվածներ տեղեկատվական համակարգերում: Տեղեկատվական անվտանգության սպառնալիքը բաղկացած է պոտենցիալ հնարավոր գործողությունից, որը բաղադրիչների վրա ազդեցության միջոցով անհատական համակարգկարող է հանգեցնել տեղեկատվական ռեսուրսների տերերին կամ համակարգի օգտագործողներին վնաս հասցնելու: Տեղեկատվական ռեսուրսների իրավական ռեժիմը որոշվում է կանոններով, որոնք սահմանում են. տեղեկատվության փաստաթղթավորման կարգը; անհատական փաստաթղթերի և առանձին զանգվածների սեփականություն փաստաթղթեր, փաստաթղթեր և փաստաթղթերի զանգվածներ տեղեկատվական համակարգերում. տեղեկատվության կատեգորիա՝ ըստ դրան հասանելիության մակարդակի. տեղեկատվության օրինական պաշտպանության կարգը. Հաշվապահական հաշվառման մեջ տեղեկատվական սպառնալիքի իրականացման ընթացքում խախտված հիմնական սկզբունքը տեղեկատվության փաստաթղթավորման սկզբունքն է։ Ավտոմատացված հաշվապահական տեղեկատվական համակարգից ստացված հաշվապահական փաստաթուղթը իրավական ուժ է ստանում պաշտոնատար անձի կողմից Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված կարգով ստորագրվելուց հետո: Հաշվապահական հաշվառման մեջ պոտենցիալ սպառնալիքների ամբողջ շարքը, ըստ դրանց առաջացման բնույթի, կարելի է բաժանել երկու դասի` բնական (օբյեկտիվ) և արհեստական: Բնական սպառնալիքները առաջանում են օբյեկտիվ պատճառներով, որպես կանոն, հաշվապահից կախված չլինեն, ինչը հանգեցնում է հաշվապահական հաշվառման բաժնի ամբողջական կամ մասնակի ոչնչացմանը նրա բաղադրիչների հետ միասին: Նման բնական երևույթներից են՝ երկրաշարժերը, կայծակները, հրդեհները և այլն։ Տեխնածին սպառնալիքները կապված են մարդու գործունեության հետ: Դրանք կարելի է բաժանել ոչ միտումնավոր (չկանխամտածված)ների, որոնք պայմանավորված են աշխատակիցների՝ անուշադրության կամ հոգնածության, հիվանդության և այլնի պատճառով սխալներ թույլ տալու ունակությամբ: Օրինակ, համակարգիչ մուտքագրելիս հաշվապահը կարող է սխալ ստեղն սեղմել, ծրագրում չմտածված սխալներ թույլ տալ, վիրուս ներմուծել կամ պատահաբար բացահայտել գաղտնաբառերը: Կանխամտածված (կանխամտածված) սպառնալիքները կապված են մարդկանց եսասիրական նկրտումների հետ՝ ներխուժողների, ովքեր միտումնավոր ստեղծում են ոչ հավաստի փաստաթղթեր: Անվտանգության սպառնալիքներն իրենց ուղղվածության տեսանկյունից կարելի է բաժանել հետևյալ խմբերի. հավատարմագրերի տվյալների բազաներից ներթափանցելու և կարդալու սպառնալիքներ և համակարգչային ծրագրերդրանց վերամշակում; հավատարմագրերի անվտանգության սպառնալիքները, որոնք հանգեցնում են դրանց ոչնչացմանը կամ փոփոխմանը, ներառյալ վճարային փաստաթղթերի կեղծումը (վճարման հարցումներ, հրահանգներ և այլն). տվյալների հասանելիության սպառնալիքներ, որոնք առաջանում են, երբ օգտատերը չի կարող մուտք գործել հավատարմագրեր. Գործողություններ կատարելուց հրաժարվելու սպառնալիքը, երբ օգտվողներից մեկը հաղորդագրություն է ուղարկում մյուսին, այնուհետև չի հաստատում փոխանցված տվյալները: Տեղեկատվական գործընթացներ - տեղեկատվության հավաքման, մշակման, կուտակման, պահպանման, որոնման և տարածման գործընթացներ: Տեղեկատվական համակարգ - փաստաթղթերի կազմակերպական պատվիրված մի շարք (փաստաթղթերի և տեղեկատվական տեխնոլոգիաների զանգված, ներառյալ համակարգչային տեխնոլոգիաների և հաղորդակցությունների օգտագործումը, որոնք իրականացնում են տեղեկատվական գործընթացներ): Տեղեկատվության փաստաթղթավորումն իրականացվում է գրասենյակային աշխատանքների կազմակերպման, փաստաթղթերի և դրանց զանգվածների ստանդարտացման և Ռուսաստանի Դաշնության անվտանգության համար պատասխանատու պետական մարմինների կողմից սահմանված կարգով: Կախված սպառնալիքների աղբյուրից՝ դրանք կարելի է բաժանել ներքին և արտաքին։ Ներքին սպառնալիքների աղբյուրը կազմակերպության անձնակազմի գործունեությունն է։ Արտաքին սպառնալիքները գալիս են դրսից՝ այլ կազմակերպությունների աշխատակիցներից, հաքերներից և այլոց կողմից։ Արտաքին սպառնալիքները կարելի է բաժանել. տեղական, որոնք ներառում են ներխուժողի մուտքը կազմակերպության տարածք և մուտք դեպի առանձին համակարգիչ կամ տեղական ցանց. հեռավոր սպառնալիքները բնորոշ են համակարգերին միացված գլոբալ ցանցեր(Ինտերնետ, SWIFT միջազգային բանկային համակարգ և այլն): Նման վտանգներ առավել հաճախ առաջանում են գնորդների հետ մատակարարների բնակավայրերում էլեկտրոնային վճարումների համակարգում, բնակավայրերում ինտերնետ ցանցերի օգտագործումը։ Նման տեղեկատվական հարձակումների աղբյուրները կարող են գտնվել հազարավոր կիլոմետրեր հեռավորության վրա։ Ավելին, տուժում են ոչ միայն համակարգիչները, այլև հաշվապահական տեղեկատվությունը։ Հաշվապահական հաշվառման մեջ դիտավորյալ և ոչ միտումնավոր սխալները, որոնք հանգեցնում են հաշվապահական հաշվառման ռիսկի ավելացման, հետևյալն են. սխալ կոդեր, չարտոնված հաշվապահական գործարքներ. վերահսկողության սահմանաչափերի խախտում; բաց թողած Հաշիվներ; տվյալների մշակման կամ ելքի սխալներ. դիրեկտորիաների ձևավորման կամ ուղղման սխալներ. թերի հաշիվներ; գրառումների սխալ տեղաբաշխում ըստ ժամանակաշրջանների. տվյալների կեղծում; կարգավորող ակտերի պահանջների խախտում. սկզբունքների խախտում անձնական քաղաքականություն; ծառայությունների որակի անհամապատասխանությունը օգտագործողների կարիքներին: Առանձնահատուկ վտանգ է ներկայացնում առևտրային գաղտնիք կազմող և անձնական և հաշվետվական տեղեկատվության հետ կապված տեղեկատվությունը (գործընկերների, հաճախորդների, բանկերի վերաբերյալ տվյալներ, շուկայական գործունեության վերաբերյալ վերլուծական տեղեկատվություն): Որպեսզի այս և նմանատիպ տեղեկատվությունը պաշտպանված լինի, անհրաժեշտ է համաձայնագրեր կնքել հաշվապահական հաշվառման, ֆինանսական ծառայությունների և տնտեսական այլ ստորաբաժանումների աշխատակիցների հետ՝ նշելով հանրային հրապարակման ենթակա տեղեկատվության ցանկը: Ավտոմատ հաշվառման համակարգերում տեղեկատվության պաշտպանությունը հիմնված է հետևյալ հիմնական սկզբունքների վրա. Դասակարգված և ոչ դասակարգված տեղեկատվության մշակման համար նախատեսված տարածքների ֆիզիկական տարանջատման ապահովում. Տեղեկատվության ծածկագրային պաշտպանության ապահովում. Բաժանորդների և բաժանորդների կարգավորումների նույնականացման ապահովում: Սուբյեկտների և նրանց գործընթացների տեղեկատվության հասանելիության տարբերակման ապահովում. Փաստաթղթային հաղորդագրությունների իսկության և ամբողջականության ապահովում՝ կապի ուղիներով դրանց փոխանցման ժամանակ։ Համակարգի սարքավորումների և տեխնիկական միջոցների, տարածքների, որտեղ դրանք գտնվում են, պաշտպանվածության ապահովումը գաղտնի տեղեկատվության արտահոսքից. տեխնիկական ալիքներ. Գաղտնագրման տեխնոլոգիայի, սարքավորումների, տեխնիկական և ծրագրային գործիքներապարատային և ծրագրային էջանիշերի պատճառով տեղեկատվության արտահոսքից: Ավտոմատացված համակարգի ծրագրային ապահովման և տեղեկատվական մասի ամբողջականության վերահսկման ապահովում: Որպես պաշտպանիչ մեխանիզմ օգտագործել միայն կենցաղային Ռուսաստանի Դաշնության պետական տեղեկատվական ռեսուրսները բաց են և հանրությանը հասանելի: Բացառություն է կազմում փաստաթղթավորված տեղեկատվությունը, որը դասակարգվում է օրենքով որպես սահմանափակ մուտք: Փաստաթղթային տեղեկատվություն՝ սահմանափակ հասանելիությամբ՝ համաձայն դրա պայմանների իրավական ռեժիմբաժանված է որպես պետական գաղտնիք դասակարգված և գաղտնի տեղեկությունների: Գաղտնի տեղեկատվության, մասնավորապես առևտրային գործունեության հետ կապված տեղեկատվության ցանկը սահմանվել է Ռուսաստանի Դաշնության Նախագահի 1997 թվականի մարտի 6-ի թիվ 188 (Հավելված թիվ) մշակումների հրամանագրով: Կազմակերպչական և ռեժիմային պաշտպանության միջոցառումների ապահովում. Համակարգում հաղորդակցության անվտանգությունն ապահովելու համար նպատակահարմար է օգտագործել լրացուցիչ միջոցներ։ Տեղեկատվության փոխանակման ինտենսիվության, տևողության և տրաֆիկի մասին տեղեկատվության պաշտպանության կազմակերպում: Տեղեկատվության փոխանցման և մշակման ուղիների և մեթոդների օգտագործումը, որոնք դժվարացնում են դրա գաղտնալսումը: Տեղեկատվության պաշտպանությունը չարտոնված մուտքից ուղղված է պաշտպանված տեղեկատվության երեք հիմնական հատկությունների ձևավորմանը. գաղտնիություն (գաղտնի տեղեկատվությունը պետք է հասանելի լինի միայն այն անձին, ում այն նախատեսված է). ամբողջականություն (տեղեկատվություն, որի հիման վրա կարևոր որոշումներպետք է լինի հուսալի, ճշգրիտ և լիովին պաշտպանված հնարավոր չմտածված և չարամիտ խեղաթյուրումներից). պատրաստակամություն (տեղեկատվական և հարակից տեղեկատվական ծառայությունները պետք է հասանելի լինեն, պատրաստ լինեն սպասարկել շահագրգիռ կողմերին, երբ անհրաժեշտություն առաջանա): Անձնական տեղեկատվության պաշտպանության ապահովման մեթոդներն են՝ խոչընդոտները. մուտքի վերահսկում, քողարկում, կարգավորում, հարկադրանք, դրդում: Խոչընդոտ պետք է դիտարկել որպես հարձակվողի ուղին դեպի պաշտպանված անձնական տեղեկատվություն ֆիզիկապես արգելափակելու մեթոդ: Այս մեթոդն իրականացվում է ձեռնարկության մուտքի համակարգով, ներառյալ դրա մուտքի մոտ անվտանգության առկայությունը, չլիազորված անձանց ճանապարհը դեպի հաշվապահություն, դրամարկղ և այլն: Մուտքի վերահսկումը անձնական և հաշվետվական տեղեկատվության պաշտպանության մեթոդ է, որն իրականացվում է. նույնականացում - օբյեկտի կամ առարկայի իսկության հաստատում նրանց ներկայացված նույնացուցիչի կողմից (իրականացվում է մուտքագրված նույնացուցիչը համակարգչի հիշողության մեջ պահվող նույնացուցիչի համեմատությամբ); թույլտվության ստուգումներ - պահանջվող ռեսուրսների և կատարված գործողությունների համապատասխանության ստուգում հատկացված ռեսուրսներին և թույլատրելի ընթացակարգերին. պաշտպանված ռեսուրսների զանգերի գրանցում. իրազեկում և արձագանքում չարտոնված գործողությունների փորձերին. (Գաղտնագրությունը տեղեկատվության փոխակերպման (գաղտնագրման) միջոցով պաշտպանության մեթոդ է): BEST-4 համալիրում տեղեկատվության հասանելիության տարբերակումն իրականացվում է առանձին ենթահամակարգերի մակարդակով և ապահովվում է առանձին մուտքի գաղտնաբառերի սահմանմամբ։ Նախնական տեղադրման ընթացքում կամ ծրագրի հետ աշխատելիս ցանկացած պահի, համակարգի ադմինիստրատորը կարող է սահմանել կամ փոխել մեկ կամ մի քանի գաղտնաբառ: Գաղտնաբառը պահանջվում է ամեն անգամ, երբ մուտք եք գործում ենթահամակարգ: Բացի այդ, որոշ մոդուլներ ունեն տեղեկատվության հասանելիության վերահսկման իրենց համակարգը: Այն ապահովում է ցանկի յուրաքանչյուր տարր հատուկ գաղտնաբառերով պաշտպանելու հնարավորություն: Գաղտնաբառերը կարող են նաև պաշտպանել առաջնային փաստաթղթերի առանձին ենթաբազմությունների մուտքը. օրինակ, AWP-ում «Պահեստում պաշարների հաշվառում» և «Ապրանքների և ապրանքների հաշվառում» հնարավորություն կա յուրաքանչյուր պահեստի համար առանձին մուտքի գաղտնաբառեր սահմանելու՝ AWP-ում: «Կանխիկ գործառնությունների հաշվառում»՝ յուրաքանչյուր դրամարկղ մուտք գործելու գաղտնաբառեր, «Բանկի հետ հաշվարկների հաշվառում» AWS-ում՝ յուրաքանչյուր բանկային հաշվի մուտքի գաղտնաբառեր: Հատկանշական է հատկապես այն փաստը, որ տեղեկատվության հասանելիությունն արդյունավետ սահմանափակելու համար նախ անհրաժեշտ է պաշտպանել գաղտնաբառերի որոշման եղանակները՝ գաղտնաբառերով որոշակի բլոկներ մուտք գործելու համար: 1C.Enterprise-ում, 7.7 տարբերակում, կա իր սեփական տեղեկատվության պաշտպանությունը՝ մուտքի իրավունքը: Ցանցում 1C.Enterprise համակարգի հետ աշխատելիս օգտագործողի տեղեկատվության հասանելիությունը ինտեգրելու և առանձնացնելու համար: անհատական համակարգիչներ, համակարգի կոնֆիգուրատորը թույլ է տալիս յուրաքանչյուր օգտատիրոջ իրավունքներ սահմանել համակարգի կողմից մշակված տեղեկատվության հետ աշխատելու համար: Իրավունքները կարող են սահմանվել բավականին լայն շրջանակում՝ սկսած միայն որոշակի տեսակի փաստաթղթեր դիտելու հնարավորությունից մինչև ցանկացած տեսակի տվյալներ մուտքագրելու, դիտելու, ուղղելու և ջնջելու իրավունքների ամբողջական փաթեթ: Օգտագործողին մուտքի իրավունքի տրամադրումը կատարվում է 2 փուլով. Առաջին փուլում ստեղծվում են տեղեկատվության հետ աշխատելու իրավունքների ստանդարտ փաթեթներ, որոնք, որպես կանոն, տարբերվում են տրամադրվող մուտքի հնարավորությունների լայնությամբ: Երկրորդ փուլում օգտագործողին վերագրվում է իրավունքների այս ստանդարտ հավաքածուներից մեկը: Իրավունքների ստանդարտ հավաքածուներ ստեղծելու բոլոր աշխատանքները կատարվում են «Կազմաձևում» պատուհանի «Իրավունքներ» ներդիրում: Այս պատուհանը կանչվում է էկրանին՝ ծրագրի հիմնական ցանկի «Կազմաձևում» ընտրացանկից ընտրելով «բաց կազմաձևում» կետը: 2.2 Առցանց բանկային համակարգերում անձնական տվյալների անվտանգությունն ապահովելու միջոցառումների համալիր ISPD-ում PD-ի անվտանգությունն ապահովելու մի շարք միջոցառումների հիմնավորումն իրականացվում է՝ հաշվի առնելով սպառնալիքների վտանգի գնահատման արդյունքները և որոշելով ISPD-ի դասը՝ հիմնվելով «Կազմակերպման և կազմակերպման հիմնական միջոցառումների վրա». տեխնիկական աջակցությունանձնական տվյալների տեղեկատվական համակարգերում մշակված անձնական տվյալների անվտանգությունը»: Միևնույն ժամանակ, պետք է միջոցներ սահմանվեն հետևյալի համար. ISPD-ում PD արտահոսքի տեխնիկական ուղիների նույնականացում և փակում. PD-ի պաշտպանությունը չարտոնված մուտքից և անօրինական գործողություններից. պաշտպանիչ գործիքների տեղադրում, կոնֆիգուրացիա և օգտագործում: ISPD-ում PD-ի արտահոսքի տեխնիկական ուղիները բացահայտելու և փակելու միջոցառումները ձևակերպվում են PD անվտանգության սպառնալիքների վերլուծության և գնահատման հիման վրա: ISPD-ում դրանց մշակման ընթացքում անձնական տվյալները չթույլատրված մուտքից և անօրինական գործողություններից պաշտպանելու միջոցառումները ներառում են. մուտքի վերահսկում; գրանցում և հաշվառում; ամբողջականության ապահովում; չհայտարարված հնարավորությունների բացակայության վերահսկում. հակավիրուսային պաշտպանություն; ISPD-ների անվտանգ փոխկապակցման ապահովում; անվտանգության վերլուծություն; ներխուժման հայտնաբերում. Մուտքի վերահսկման, գրանցման և հաշվառման ենթահամակարգը խորհուրդ է տրվում ներդնել չարտոնված գործողությունների արգելափակման, ազդանշանային և գրանցման ծրագրային գործիքների հիման վրա: Սրանք հատուկ ծրագրային և ապարատային և ծրագրային գործիքներ են հենց օպերացիոն համակարգերը պաշտպանելու համար, էլեկտրոնային PD տվյալների բազաները և կիրառական ծրագրերը, որոնք ներառված չեն որևէ օպերացիոն համակարգի հիմքում: Նրանք կատարում են պաշտպանական գործառույթներ ինքնուրույն կամ պաշտպանության այլ միջոցների հետ համատեղ և ուղղված են օգտագործողի կամ ներխուժողի կողմից ISPD-ի համար վտանգավոր գործողությունների վերացմանը կամ դժվարացմանը: Դրանք ներառում են հատուկ կոմունալ ծառայություններև ծրագրային համալիրներպաշտպանություն, որում իրականացվում են ախտորոշման, գրանցման, ոչնչացման, ազդանշանային և իմիտացիայի գործառույթները։ Ախտորոշիչ գործիքներն իրականացնում են թեստավորում ֆայլային համակարգև PD տվյալների բազաներ, տեղեկատվական անվտանգության ենթահամակարգի տարրերի գործունեության մասին տեղեկատվության մշտական հավաքագրում: Ոչնչացման գործիքները նախագծված են մնացորդային տվյալները ոչնչացնելու համար և կարող են ապահովել տվյալների վթարային ոչնչացում կեղծման սպառնալիքի դեպքում, որը չի կարող արգելափակվել համակարգի կողմից: Ազդանշանային միջոցները նախատեսված են օպերատորներին ահազանգելու, երբ նրանք մուտք են գործում պաշտպանված PD, և ադմինիստրատորին զգուշացնելու, երբ հայտնաբերվում է PD-ին չարտոնված մուտքի փաստ և ISPD-ի բնականոն աշխատանքի ռեժիմի խախտման այլ փաստեր: Մոդելավորման գործիքները նմանեցնում են խախտողների հետ աշխատանքը, երբ փորձ է արվում մուտք գործել պաշտպանված PD կամ ծրագրակազմ: Իմիտացիան թույլ է տալիս մեծացնել UA-ի գտնվելու վայրը և բնույթը որոշելու ժամանակը, ինչը հատկապես կարևոր է աշխարհագրորեն բաշխված ցանցերում, և իրավախախտին ապատեղեկացնել պաշտպանված PD-ի գտնվելու վայրի մասին: Ամբողջականության ենթահամակարգն իրականացվում է հիմնականում օպերացիոն համակարգերի և տվյալների բազայի կառավարման համակարգերի կողմից: Գործառնական համակարգերում և տվյալների բազայի կառավարման համակարգերում ներկառուցված փոխանցվող տվյալների ամբողջականության և գործարքների հուսալիության բարձրացման և ապահովման միջոցները հիմնված են հաշվարկի վրա. չեկային գումարներ, հաղորդագրության փաթեթի փոխանցման ձախողման մասին ծանուցում, չընդունված փաթեթի վերահաղորդում։ Չհայտարարված հնարավորությունների բացակայության մոնիտորինգի ենթահամակարգը շատ դեպքերում իրականացվում է տվյալների բազայի կառավարման համակարգերի, տեղեկատվության պաշտպանության գործիքների և հակավիրուսային տեղեկատվության պաշտպանության գործիքների հիման վրա: PD-ի և ISPD ապարատային և ծրագրային միջավայրի անվտանգությունն ապահովելու համար, որը մշակում է այս տեղեկատվությունը, խորհուրդ է տրվում օգտագործել հակավիրուսային պաշտպանության հատուկ գործիքներ, որոնք կատարում են. վիրուսի կործանարար ազդեցությունների հայտնաբերում և (կամ) արգելափակում ամբողջ համակարգի և կիրառական ծրագրերի վրա, որոնք իրականացնում են PD-ի մշակումը, ինչպես նաև PD-ի վրա. անհայտ վիրուսների հայտնաբերում և հեռացում; ապահովելով այս հակավիրուսային գործիքի ինքնակառավարումը (վարակի կանխարգելումը), երբ այն գործարկվի: Հակավիրուսային պաշտպանություն ընտրելիս խորհուրդ է տրվում հաշվի առնել հետևյալ գործոնները. այս գործիքների համատեղելիությունը ստանդարտ ISPD ծրագրաշարի հետ; ISPD-ի գործունեության կատարման նվազման աստիճանը իր հիմնական նպատակի համար. ISPD-ում տեղեկատվական անվտանգության ադմինիստրատորի աշխատավայրից հակավիրուսային պաշտպանության գործելու համար կենտրոնացված կառավարման գործիքների առկայություն. ISPD-ում տեղեկատվական անվտանգության ադմինիստրատորին անհապաղ ծանուցելու ունակություն ծրագրային-մաթեմատիկական էֆեկտների (PMI) դրսևորման բոլոր իրադարձությունների և փաստերի մասին. հակավիրուսային պաշտպանության գործունեության վերաբերյալ մանրամասն փաստաթղթերի առկայություն. հակավիրուսային պաշտպանության պարբերական թեստավորում կամ ինքնափորձարկում կատարելու ունակություն. PMA պաշտպանիչ սարքավորումների կազմը նորով ավելացնելու հնարավորությունը լրացուցիչ միջոցներառանց ISPD-ի կատարման էական սահմանափակումների և պաշտպանության այլ տեսակի գործիքների հետ «հակամարտության»: Հակավիրուսային պաշտպանության գործիքների տեղադրման, կազմաձևման, կազմաձևման և կառավարման ընթացակարգի նկարագրությունը, ինչպես նաև վիրուսի հարձակման կամ ծրագրային և մաթեմատիկական ազդեցություններից պաշտպանության պահանջների այլ խախտումների դեպքում գործողությունների ընթացակարգը պետք է ներառվի. տեղեկատվական անվտանգության ադմինիստրատորի ուղեցույցը ISPD-ում: Ինտերնետում աշխատելու ընթացքում ISPD ռեսուրսների հասանելիությունը տարբերակելու համար օգտագործվում է firewalling, որն իրականացվում է ծրագրային ապահովման և ապարատային-ծրագրային firewalls-ի (ME) միջոցով: Պաշտպանված ցանցի, որը կոչվում է ներքին ցանց, և արտաքին ցանցի միջև տեղադրվում է firewall: Firewall-ը պաշտպանված ցանցի մի մասն է: Դրա համար կարգավորումների միջոցով առանձին կանոններ են սահմանվում, որոնք սահմանափակում են մուտքը ներքին ցանցից դեպի արտաքին և հակառակը։ 3-րդ և 4-րդ դասերի ISPD-ներում անվտանգ միջցանցային փոխգործակցություն ապահովելու համար խորհուրդ է տրվում օգտագործել անվտանգության առնվազն հինգերորդ մակարդակի ME: ISPD դասի 2-ում անվտանգ միջցանցային փոխգործակցություն ապահովելու համար խորհուրդ է տրվում օգտագործել ME-ն անվտանգության չորրորդ մակարդակից ոչ ցածր: ISPD 1-ին դասում միջցանցային անվտանգ փոխգործակցություն ապահովելու համար խորհուրդ է տրվում օգտագործել ME-ն անվտանգության երրորդ մակարդակից ոչ ցածր: Անվտանգության վերլուծության ենթահամակարգն իրականացվում է թեստավորման գործիքների (անվտանգության վերլուծություն) և տեղեկատվական անվտանգության վերահսկման (աուդիտ) օգտագործման հիման վրա: Անվտանգության վերլուծության գործիքները օգտագործվում են աշխատատեղերի և սերվերների վրա օպերացիոն համակարգերի պաշտպանության կարգավորումները վերահսկելու և ցանցային սարքավորումների վրա ներխուժողների կողմից հարձակումների հավանականությունը գնահատելու, ծրագրային ապահովման անվտանգությունը վերահսկելու համար: Դա անելու համար նրանք ուսումնասիրում են ցանցի տոպոլոգիան, փնտրում են անապահով կամ չարտոնված ցանցային միացումներ, ստուգեք firewall-ի կարգավորումները: Նման վերլուծությունը հիմնված է անվտանգության պարամետրերում (օրինակ՝ անջատիչներ, երթուղիչներ, firewalls) կամ օպերացիոն համակարգերում կամ կիրառական ծրագրերի խոցելիության մանրամասն նկարագրությունների վրա: Անվտանգության վերլուծության գործիքի արդյունքը զեկույց է, որն ամփոփում է հայտնաբերված խոցելիության մասին տեղեկատվությունը: Խոցելիության հայտնաբերման գործիքները կարող են գործել ցանցի մակարդակում (որ դեպքում դրանք կոչվում են «ցանցային վրա հիմնված»), օպերացիոն համակարգի մակարդակով («հոսթի վրա հիմնված») և հավելվածի մակարդակով («հավելվածի վրա հիմնված»): Օգտագործելով սկանավորման ծրագրակազմը, դուք կարող եք արագ քարտեզագրել բոլոր հասանելի ISDN հանգույցները, բացահայտել դրանցից յուրաքանչյուրում օգտագործվող ծառայություններն ու արձանագրությունները, որոշել դրանց հիմնական կարգավորումները և ենթադրություններ անել UA-ի հավանականության վերաբերյալ: Սկանավորման արդյունքների հիման վրա համակարգերը մշակում են առաջարկություններ և միջոցառումներ՝ հայտնաբերված թերությունները վերացնելու համար: Ներխուժման հայտնաբերման համակարգերն օգտագործվում են միջցանցային փոխգործակցության միջոցով UA-ի սպառնալիքները բացահայտելու շահերից ելնելով: Նման համակարգերը կառուցված են՝ հաշվի առնելով հարձակումների իրականացման առանձնահատկությունները, դրանց զարգացման փուլերը և հիմնված են հարձակումների հայտնաբերման մի շարք մեթոդների վրա։ Հարձակման հայտնաբերման մեթոդների երեք խումբ կա. ստորագրության մեթոդներ; անոմալիաների հայտնաբերման մեթոդներ; համակցված մեթոդներ (միասին օգտագործելով ստորագրության մեթոդներում և անոմալիաների հայտնաբերման մեթոդներում սահմանված ալգորիթմները): 3-րդ և 4-րդ դասերի ISPD-ներում ներխուժումները հայտնաբերելու համար խորհուրդ է տրվում օգտագործել ցանցային հարձակումների հայտնաբերման համակարգեր, որոնք օգտագործում են ստորագրության վերլուծության մեթոդներ: 1-ին և 2-րդ դասերի ISPD-ներում ներխուժումները հայտնաբերելու համար խորհուրդ է տրվում օգտագործել ցանցային հարձակումների հայտնաբերման համակարգեր, որոնք օգտագործում են անոմալիաների հայտնաբերման մեթոդներ՝ վերլուծության ստորագրության մեթոդների հետ մեկտեղ: Տեխնիկական ուղիներով PD-ն արտահոսքից պաշտպանելու համար ձեռնարկվում են կազմակերպչական և տեխնիկական միջոցներ՝ կանխելու ակուստիկ (խոսքի), տեսողական տեղեկատվության արտահոսքը, ինչպես նաև կեղծ էլեկտրամագնիսական ճառագայթման և միջամտության պատճառով տեղեկատվության արտահոսքը: Որպես եզրակացություն աշխատանքի երկրորդ գլխի վերաբերյալ, մենք անում ենք հետևյալ եզրակացությունները. Անձնական տեղեկատվության պաշտպանությունը տեղեկատվության և ենթակառուցվածքի պաշտպանության վիճակն է բնական կամ արհեստական բնույթի պատահական կամ միտումնավոր ազդեցություններից, որոնք հղի են այդ տեղեկատվության սեփականատերերին կամ օգտագործողներին: Հաշվապահական հաշվառման մեջ տեղեկատվական անվտանգության օբյեկտները սահմանվում են: որպես առևտրային գաղտնիք դասակարգված տեղեկատվություն պարունակող տեղեկատվական ռեսուրսներ և միջոցներ և համակարգերի տեղեկատվականացում: Տեղեկատվության պաշտպանության շրջանակներում կիրառվող հիմնական մեթոդներն են՝ հայտնաբերելը և ուղղակի պաշտպանելը։ ԵԶՐԱԿԱՑՈՒԹՅՈՒՆ Տնտեսական օբյեկտների տեղեկատվական անվտանգության խնդիրը բազմակողմանի է և հետագա ուսումնասիրության կարիք ունի։ Ժամանակակից աշխարհում ինֆորմատիզացիան դառնում է ռազմավարական ազգային ռեսուրս, տնտեսապես զարգացած պետության հիմնական հարստություններից մեկը։ Ռուսաստանում ինֆորմատիզացիայի արագ բարելավումը, նրա ներթափանցումը անհատի, հասարակության և պետության կենսական շահերի բոլոր ոլորտները, ի լրումն անհերքելի առավելությունների, հանգեցրին մի շարք էական խնդիրների առաջացման: Դրանցից մեկը տեղեկատվության պաշտպանության անհրաժեշտությունն էր։ Հաշվի առնելով, որ ներկայումս տնտեսական ներուժն ավելի ու ավելի է որոշվում տեղեկատվական ենթակառուցվածքի զարգացման մակարդակով, համամասնորեն աճում է տնտեսության պոտենցիալ խոցելիությունը տեղեկատվական ազդեցությունների նկատմամբ։ Տեղեկատվական անվտանգության սպառնալիքների իրականացումը տեղեկատվության գաղտնիության, ամբողջականության և մատչելիության խախտում է: Դիրքերից համակարգային մոտեցումՏեղեկատվությունը պաշտպանելու համար անհրաժեշտ է օգտագործել առկա պաշտպանության միջոցների ողջ զինանոցը տնտեսական օբյեկտի բոլոր կառուցվածքային տարրերում և տեղեկատվության մշակման տեխնոլոգիական ցիկլի բոլոր փուլերում: Պաշտպանության մեթոդներն ու միջոցները պետք է հուսալիորեն արգելափակվեն հնարավոր ուղիներըպաշտպանված գաղտնիքներին չարտոնված մուտք: Տեղեկատվական անվտանգության արդյունավետությունը նշանակում է, որ դրա իրականացման ծախսերը չպետք է ավելի մեծ լինեն, քան իրականացումից առաջացած հնարավոր կորուստները: տեղեկատվական սպառնալիքներ. Տեղեկատվական անվտանգության պլանավորումն իրականացվում է յուրաքանչյուր ծառայության կողմից տեղեկատվական անվտանգության մանրամասն պլանների մշակման միջոցով: Հստակության կարիք կա օգտատերերի՝ որոշակի տեսակի տեղեկատվություն մուտք գործելու լիազորությունների և իրավունքների իրականացման, պաշտպանիչ սարքավորումների վերահսկման և դրանց ձախողման անհապաղ արձագանքման ապահովման հարցում: ՄԱՏԵՆԱԳՐՈՒԹՅՈՒՆ 1.Ավտոմատացված տեղեկատվական տեխնոլոգիաները բանկային գործերում / խմբ. պրոֆ. Գ.Ա. Տիտորենկո. - Մ.: Finstatinform, 2007 թ 2.Ավտոմատացված տեղեկատվական տեխնոլոգիաները տնտեսագիտության մեջ / Ed. պրոֆ. Գ.Ա. Տիտորենկո. - Մ.: UNITI, 2010 .Ageev A. S. Կազմակերպություն և ժամանակակից մեթոդներտեղեկատվության պաշտպանություն. - Մ.: Կոնցեռն «Բանկ. Բիզնես կենտրոն», 2009 թ .Adzhiev, V. Ծրագրային ապահովման անվտանգության առասպելներ. Դասեր հայտնի աղետներից. - Բաց համակարգեր, 199. թիվ 6 .Ալեքսեև, Վ.Ի. Տեղեկատվական անվտանգությունքաղաքապետարանները։ - Վորոնեժ: VGTU հրատարակչություն, 2008 թ. .Ալեքսեև, Վ.Մ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման միջազգային չափանիշները և դրանց գործնական օգտագործում: Դասագիրք. - Պենզա: Պենզ հրատարակչություն: պետություն համալսարան, 2002 թ .Ալեքսեև, Վ.Մ. Չլիազորված մուտքից տեղեկատվության պաշտպանության կանոնակարգային ապահովում: - Պենզա: Պենզ հրատարակչություն: պետություն համալսարան, 2007 թ .Ալեքսեև, Վ.Մ. Ծրագրային ապահովման մշակման ժամանակ տեղեկատվական անվտանգության ապահովում. - Պենզա: Պենզ հրատարակչություն: պետություն համալսարան, 2008 թ .Ալեշին, Լ.Ի. Տեղեկատվության պաշտպանություն և տեղեկատվական անվտանգություն. L. I. Aleshin-ի դասախոսություններ; Մոսկվա պետություն Մշակույթի համալսարան. - Մ.: Մոսկ. պետություն Մշակույթի համալսարան, 2010 թ .Ախրամենկա, Ն.Ֆ. և այլն: Հանցագործություն և պատիժ վճարային համակարգՀետ էլեկտրոնային փաստաթղթեր// Տեղեկատվական անվտանգության կառավարում, 1998 թ .Բանկեր և բանկային գործառնություններ. Դասագիրք / Էդ. Է.Ֆ. Ժուկով. - Մ.: Բանկեր և ֆոնդային բորսաներ, UNITI, 2008 թ .Բարսուկով, Վ.Ս. Անվտանգություն՝ տեխնոլոգիաներ, միջոցներ, ծառայություններ։ - M.: Kudits - Obraz, 2007 թ .Բատուրին, Յու.Մ. Համակարգչային իրավունքի խնդիրներ. - Մ.: Յուրիդ. լույս, 1991 թ .Բատուրին, Յու.Մ. Համակարգչային հանցագործություն և համակարգչային անվտանգություն. Մ.: Յուր.լիտ., 2009թ .Բեզրուկովը, Ն.Ն. Համակարգչային վիրուսաբանության ներածություն. M5-005-ում ամենատարածված վիրուսների գործունեության, դասակարգման և կատալոգի ընդհանուր սկզբունքները: Կ., 2005 .Բիկով, Վ.Ա. Էլեկտրոնային բիզնեսև անվտանգություն / V. A. Bykov. - Մ.: Ռադիո և կապ, 2000 թ .Վարֆոլոմեև, Ա.Ա. Տեղեկատվական անվտանգություն. Կրիպտոլոգիայի մաթեմատիկական հիմունքները. Մաս 1. - M .: MEPhI, 1995 թ .Վեխով, Վ.Բ. Համակարգչային հանցագործություններ. կատարման և բացահայտման եղանակներ. - Մ.: Օրենք և իրավունք, 1996 թ .Վոլոբուև, Ս.Վ. Ներածություն տեղեկատվական անվտանգությանը. - Օբնինսկ: Թարմացում: Ատոմային էներգիայի ինստիտուտ, 2001 թ .Վոլոբուև, Ս.Վ. Տեղեկատվական անվտանգություն ավտոմատացված համակարգեր. - Օբնինսկ: Թարմացում: Ատոմային էներգիայի ինստիտուտ, 2001 թ .Համառուսաստանյան գիտագործնական համաժողով «Տեղեկատվական անվտանգությունը բարձրագույն կրթության համակարգում», նոյեմբերի 28-29. 2000, NSTU, Նովոսիբիրսկ, Ռուսաստան: IBVSh 2000. - Նովոսիբիրսկ, 2001 թ. 23.Գալատենկոն, Վ.Ա. Տեղեկատվական անվտանգություն. Վ.Ա.Գալատենկոյի գործնական մոտեցում; Էդ. V. B. Betelina; Ռոս. ակադ. Գիտություններ, Nauch.-isled. in-t համակարգեր. հետազոտություն - Մ.: Նաուկա, 1998 թ .Գալատենկո, V.A. Տեղեկատվական անվտանգության հիմունքներ. Դասախոսությունների դասընթաց. - M.: Internet-Un-t տեղեկացնել. տեխնոլոգիաներ, 2003 թ .Գենադիևա, Է.Գ. Տեսական հիմքինֆորմատիկա և տեղեկատվական անվտանգություն. - Մ.: Ռադիո և կապ, 2000 թ .Ղիցա, Սեբաստիան Նարչիս. BMP ձևաչափի գրաֆիկական ֆայլերում տեղեկատվություն թաքցնելը Dis. ... cand. տեխ. Գիտություններ՝ 05.13.19 - Սանկտ Պետերբուրգ, 2001 թ .Գիկա, Ս.Ն. BMP ձևաչափի գրաֆիկական ֆայլերում տեղեկատվության թաքցում. թեզի համառոտագիր. դիս. ... cand. տեխ. Գիտություններ՝ 05.13.19 Սանկտ Պետերբուրգ. պետություն in-t toch. մեխանիկա և օպտիկա։ - Սանկտ Պետերբուրգ, 2001 թ .Գոլուբև, Վ.Վ. Անվտանգության կառավարում. - Սանկտ Պետերբուրգ: Պետեր, 2004 թ .Գորբատովը, Վ.Ս. Տեղեկատվական անվտանգություն. Իրավական պաշտպանության հիմունքներ. - M.: MEPhI (TU), 1995 թ .Գորլովա, Ի.Ի., կարմիր. Տեղեկատվության ազատություն և տեղեկատվական անվտանգություն. Միջազգային փաստաթղթեր. գիտական Համագումար, Կրասնոդար, 30-31 հոկտ. 2001 - Կրասնոդար, 2001 թ .Գրինսբերգ, Ա.Ս. և այլն Տեղեկատվական ռեսուրսների պաշտպանություն կառավարությունը վերահսկում է. - Մ.: UNITI, 2003 .Ռուսաստանի տեղեկատվական անվտանգությունը գլոբալ համատեքստում տեղեկատվական հասարակություն«ԻՆՖՈՖՈՐՈՒՄ-5». Շաբ. 5-րդ համառուսաստանյան նյութեր. conf., Մոսկվա, 4-5 փետրվարի. 2003 - M.: OOO Red. ամսագիր Ռուսաստանի բիզնես և անվտանգություն, 2003 թ .Տեղեկատվական անվտանգություն. Շաբ. մեթոդ. Նյութեր Կրթության նախարարություն Ռոս. Ֆեդերացիաներ [եւ ուրիշներ]: - Մ.: ԾՆԻԱՏՈՄԻՆՖՈՐՄ, 2003 34.Ինֆորմացիոն տեխնոլոգիա// Տնտեսություն և կյանք. Թիվ 25, 2001 թ 35.Տեղեկատվական տեխնոլոգիաները մարքեթինգում. Դասագիրք բուհերի համար - Մ.: 2003 թ .Տեղեկատվական տեխնոլոգիաները տնտեսագիտության և կառավարման մեջ. Դասագիրք / Կոզիրև Ա.Ա. - Մ.: Միխայլով Վ.Ա. հրատարակչություն, 2005 թ. .Լոպատին, Վ.Ն. Ռուսաստանի տեղեկատվական անվտանգության դիս. ... Դոկտոր Ջուրիդ. Գիտություններ՝ 12.00.01 .Լուկաշինը, Վ.Ի. Տեղեկատվական անվտանգություն. - Մ.: Մոսկ. պետություն Տնտեսագիտության, վիճակագրության և ինֆորմատիկայի համալսարան .Լուչին, Ի.Ն., Ժելդակով Ա.Ա., Կուզնեցով Ն.Ա. հաքերային հարձակում գաղտնաբառի պաշտպանություն// Իրավապահ համակարգերի տեղեկատվականացում. Մ., 1996 .ՄակՔլուր, Ստյուարտ. Վեբ կոտրում. Հարձակումներ և պաշտպանություն Ստյուարտ ՄակՔլուր, Սաումիլ Շահ, Շրիրայ Շահ: - Մ.: Ուիլյամս, 2003 թ .Մալյուկ, Ա.Ա. Տվյալների մշակման համակարգերում տեղեկատվական անվտանգության մակարդակի կանխատեսող գնահատման պաշտոնականացման տեսական հիմքերը: - M.: MEPhI, 1998 SPb., 2000 .Տեղեկատվական անվտանգության համակարգերի տնտեսական արդյունավետություն. Չեբոտար Պ.Պ. - Մոլդովայի տնտեսագիտական ակադեմիա, 2003 թ .Յակովլև, Վ.Վ. Տեղեկատվական անվտանգություն և տեղեկատվության պաշտպանություն կորպորատիվ ցանցերերկաթուղային տրանսպորտ. - Մ., 2002 .Յարոչկին, Վ.Ի. Տեղեկատվական անվտանգություն. - Մ.: Միր, 2003 թ .Յարոչկին, Վ.Ի. Տեղեկատվական անվտանգություն. - Մ.՝ «Միր» հիմնադրամ, 2003 թ.՝ ակադ. Նախագիծ .Յասենև, Վ.Ն. Տնտեսության մեջ ավտոմատացված տեղեկատվական համակարգերը և դրանց անվտանգության ապահովումը. Ուսուցողական. - Ն.Նովգորոդ, 2002 թՆմանատիպ աշխատատեղեր - Անձնական տվյալների պաշտպանություն առցանց բանկային համակարգերում
