ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 195
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1 Законодательные основы защиты персональных данных
Классификация угроз информационной безопасности персональных данных.
Общая характеристика источников угроз в информационных системах персональных данных
Характеристика Банка и его деятельности
1.6 Устройство и угрозы локальной вычислительной сети Банка
1.7 Средства защиты информации
1.8 Организационные меры защиты
1.9 Цикл обработки персональных данных
2. РАЗРАБОТКА МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ
2.2 Программные и аппаратные средства защиты
2.3 Базовая политика безопасности
3. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА
1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1 Законодательные основы защиты персональных данных
В настоящее время в Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных. Основными нормативно-правовыми актами, регулирующими систему защиты персональных данных в Российской Федерации являются Конституция Российской Федерации и Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Эти два основных правовых акта устанавливают основные тезисы о персональных данных в Российской Федерации:
-
Каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени; -
Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения; -
Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются; -
Обработка персональных данных должна осуществляться на законной и справедливой основе; -
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. -
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. -
Обработке подлежат только персональные данные, которые отвечают целям их обработки. -
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. -
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. -
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Другими нормативными актами, оказывающие правовое регулирование в области защиты персональных данных в организациях банковской сфере Российской Федерации являются:
-
Федеральный закон Российской Федерации от 27 июля 2006 г. №149 ФЗ «Об информации, информационных технологиях и о защите информации»; -
Трудовой кодекс Российской Федерации (глава 14); -
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; -
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Рассмотрим основные определения, используемые в законодательстве.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных
определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных
- 1 2 3 4 5 6 7 8 9 ... 13
Классификация угроз информационной безопасности персональных данных.
Под угрозой информационной безопасности понимается угроза нарушения свойств информационной безопасности – доступности, целостности или конфиденциальности информационных активов организации.
Перечень угроз, оценка вероятности их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты автоматизированной системы. Кроме выявления возможных угроз, необходимо провести анализ выявленных угроз на основе их классификации по ряду признаков. Угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.
Так как хранимая и обрабатываемая информация в современных АС подвержена воздействию чрезвычайно большого числа факторов, то становится невозможным формализовать задачу описания полного множества угроз. Поэтому для защищаемой системы обычно определяется не перечень угроз, а перечень классов угроз.
Классификация возможных угроз информационной безопасности АС может быть проведена по следующим базовым признакам:
-
По природе возникновения:-
естественные угрозы, вызванные воздействиями на АС объективных физических процессов или стихийных природных явлений; -
искусственные угрозы безопасности АС, вызванные деятельностью человека.
-
-
По степени преднамеренности проявления:-
угрозы, вызванные ошибками или халатностью персонала, например неправильное использование средств защиты, халатность при работе с данными; -
угрозы преднамеренного действия, например взлом автоматизированной системы злоумышленниками, уничтожение данных работниками организации с целью мести работодателю.
-
-
По непосредственному источнику угроз:-
естественные угрозы, например стихийные бедствия, техногенные катастрофы; -
человеческие угрозы, например: уничтожение информации, разглашение конфиденциальных данных; -
разрешенные программно-аппаратные средства, например физическая поломка аппаратуры, ошибки программного обеспечения, конфликты программного обеспечения; -
неразрешённые программно-аппаратные средства, например внедрение аппаратных закладок, программных закладок.
-
-
По положению источника угроз:-
вне контролируемой зоны, например перехват данных, передаваемых по каналам связи; -
в пределах контролируемой зоны, например несанкционированное копирование информации, несанкционированный доступ в защищаемую зону; -
непосредственно в автоматизированной системе, например некорректное использование ресурсов АС.
-
-
По степени зависимости от активности АС:-
независимо от активности АС, например физическая кража носителей информации; -
только в процессе обработки данных, например заражение вредоносным ПО.
-
-
По степени воздействия на АС:-
пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС, например угроза копирования секретных данных; -
активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС, например удаление данных, их модификация.
-
-
По этапам доступа пользователей или программ к ресурсам:-
угрозы, проявляющиеся на этапе доступа к ресурсам АС, например: угрозы несанкционированного доступа в АС; -
угрозы, проявляющиеся после разрешения доступа к ресурсам АС, например некорректное использование ресурсов АС.
-
-
По способу доступа к ресурсам АС:-
угрозы, осуществляемые с использованием стандартного пути доступа к ресурсам АС -
угрозы, осуществляемые с использованием скрытого нестандартного пути доступа к ресурсам АС, например: несанкционированный доступ к ресурсам АС путем использования недокументированных возможностей установленного ПО.
-
-
По текущему месту расположения информации, хранимой и обрабатываемой в АС:-
угрозы доступа к информации, находящейся на внешних запоминающих устройствах, например: копирование конфиденциальной информации с носителей информации; -
угрозы доступа к информации, находящейся в оперативной памяти, например: чтение остаточной информации из оперативной памяти, доступ к системной области оперативной памяти со стороны прикладных программ; -
угрозы доступа к информации, циркулирующей в линиях связи, например: незаконное подключение к линиям связи с целью снятия информации, отправка модифицированных данных;
-
Опасные воздействия на автоматизированную систему подразделяются на случайные и преднамеренные.
Причинами случайных воздействий при эксплуатации АС могут быть:
-
аварийные ситуации из-за стихийных бедствий и отключений электропитания; -
отказы в обслуживании; -
ошибки в программном обеспечении; -
ошибки в работе обслуживающего персонала и пользователей; -
помехи в линиях связи из-за воздействий внешней среды.
Использование ошибок в программном обеспечении является самым распространённым способом нарушения информационной безопасности информационных систем. В зависимости от сложности ПО, количество ошибок возрастает. Злоумышленники могут находить эти уязвимости и через них получать доступ в информационную систему организации. Чтобы минимизировать эти угрозы необходимо постоянно поддерживать актуальность версий программного обеспечения.
Преднамеренные угрозы связаны с целенаправленными действиями злоумышленников. Злоумышленники разделяются на два типа: внутренний злоумышленник и внешний злоумышленник. Внутренний злоумышленник совершает противоправные действия находясь в пределах контролируемой зоны автоматизированной системы и может пользоваться должностными полномочиями для санкционированного доступа к автоматизированной системе. Внешний злоумышленник не имеет доступа в пределы контролируемой зоны, но может действовать одновременно с внутренним злоумышленником для достижения своих целей.
Существует три основных угрозы безопасности информации, направленных непосредственно на защищаемую информацию:
Нарушение конфиденциальности – конфиденциальная информация не изменяется, но становится доступна третьим лицам, не допущенным к это информации. При реализации этой угрозы существует большая вероятность разглашения злоумышленником украденной информации, что может повлечь за собой финансовый или репутационный вред. Нарушение целостности защищаемой информации – искажение, изменение или уничтожение информации. Целостность информации может быть нарушена не умышленно, а в следствии некомпетентности или халатности сотрудника предприятия. Так же целостность может быть нарушена злоумышленником для достижения собственных целей. Например, изменение реквизитов счетов в автоматизированной банковской системе с целью перевода денежных средств на счёт злоумышленника или подмена персональных данных клиента организации для получения информации о сотрудничестве клиента с организацией.