Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf
Добавлен: 27.06.2023
Просмотров: 124
Скачиваний: 3
в части обеспечения ИБ при управлении доступом и регистрации:
- идентификация и аутентификация устройств, используемых для осуществления доступа;
- размещение технических средств, предназначенных для администрирования информационной системы персональных данных, автоматизированных мест пользователей и серверных компонент информационной системы персональных данных в отдельных выделенных сегментах вычислительных сетей;
- мониторинг сетевого трафика, выявление вторжений и сетевых атак и реагирование на них;
- определение, выполнение, регистрация и контроль процедур обновления сигнатурных баз технических защитных мер, мониторинг сетевого трафика, выявление вторжений и сетевых атак;
в части обеспечения ИБ банковских информационных технологических процессов:
- определение, выполнение, регистрация и контроль процедур использования коммуникационных портов, устройств ввода-вывода информации, съёмных машинных носителей и внешних накопителей информации;
- определение, выполнение, регистрация и контроль процедур доступа к архивам персональных данных.
В банке должны быть реализованы защита периметров сегментов вычислительной сети, в которых расположены информационной системы персональных данных, и контроль информационного взаимодействия между сегментами вычислительных сетей.
Должны быть определены и контролироваться правила информационного взаимодействия информационной системы с иными автоматизированными банковскими системами.
Использование в информационной системе персональных данных сертифицированных по требованиям безопасности информации средств защиты информации осуществляется в соответствии с требованиями приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.
В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).
В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных При обработке Банком персональных данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией» [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.
ЗАКЛЮЧЕНИЕ
Важность безопасности информации в организациях банковской сферы нельзя переоценить. Так как безопасность информации в банковской сфере влияет не только на саму кредитную организацию, но и на клиентов, которые доверили банку свои средства. В курсовой работе я рассмотрел основные аспекты организации системы защиты информации в банковской сфере Российской Федерации, необходимые для сохранности информационных активов банка и его клиентов.
с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.
В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).
В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных При обработке Банком персональных данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией» [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 30.12.2015) «Об электронной подписи» (с изм. и доп., вступ. в силу с 08.07.2016) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в «Парламентская газета», N 17, 08-14.04.2011
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в «Российская газета», N 165, 29.07.2006
- Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // «Российская газета», N 256, 07.11.2012
- «Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014» (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399) // «Вестник Банка России», N 48-49, 30.05.2014
- «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 N 382-П) (ред. от 14.08.2014) (Зарегистрировано в Минюсте России 14.06.2012 N 24575) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в «Вестник Банка России», N 32, 22.06.2012
- «Положение о порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма» (утв. Банком России 29.08.2008 N 321-П) (ред. от 15.10.2015) (вместе с «Порядком обеспечения информационной безопасности при передаче-приеме ОЭС», «Правилами формирования ОЭС и заполнения отдельных полей записей ОЭС») (Зарегистрировано в Минюсте России 16.09.2008 N 12296) // В данном виде документ опубликован не был, Первоначальный текст документа опубликован в «Вестник Банка России», N 54, 26.09.2008
- «Положение о представлении кредитными организациями по запросам Федеральной службы по финансовому мониторингу информации об операциях клиентов, о бенефициарных владельцах клиентов и информации о движении средств по счетам (вкладам) клиентов в электронном виде» (утв. Банком России 02.09.2013 N 407-П) (Зарегистрировано в Минюсте России 14.11.2013 N 30372) // «Вестник Банка России», N 67, 26.11.2013
- Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375) // «Российская газета», N 107, 22.05.2013
с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.
В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).
В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных При обработке Банком персональных данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией» [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.