დისერტაცია თემაზე: პერსონალური მონაცემების დაცვის სისტემის შემუშავება პსს „სიტიბანკის“ საწარმოში. რეგულაციები კლიენტების პერსონალური მონაცემების დაცვის შესახებ პერსონალური მონაცემები საბანკო სექტორში

Dzhabrail Matiev, kerivnik პირდაპირ იცავს პერსონალურ მონაცემებს კომპანიის კომერციულ ნაწილზეReignVox

კლიენტის მონაცემების დიდი რაოდენობით უწყვეტი მუშაობა მოითხოვს ნებისმიერი ფორმატის უწყვეტი მუშაობის ბანკს ამ მონაცემების დაცვით.

უფრო მეტიც, ინფორმაციული უსაფრთხოების თემა და ამავდროულად ნდობის თემა განსაკუთრებით აქტუალურია ფინანსურ სექტორში. უფრო მეტიც, შესაძლებელია ნებისმიერი პერსონალური ინფორმაციის მოპარვა, რომელიც შედის ფინანსური კომპანიის საინფორმაციო სისტემის სტრუქტურაში, როგორც ამას კანონი მოითხოვს - ფედერალური კანონი No152 „პერსონალური მონაცემების შესახებ“ აბსოლუტურად აშკარად მოქმედებს კანზე. კომპანია, რომელიც აგროვებს ამას. მონაცემები უნდა იყოს დაცული. პირობები მკაცრად არის განსაზღვრული. როგორც ახალი, ისე არსებული საინფორმაციო სისტემები, რომლებიც ამუშავებენ პერსონალურ მონაცემებს, ვალდებულნი არიან შეასრულონ კანონის მოთხოვნები 2011 წლის 1 ივნისამდე პერიოდის განმავლობაში. ასეთი მკაცრი ვადების გათვალისწინებით, ორგანიზაციას, რომელიც აგროვებს ასეთ ინფორმაციას, მოკლებულია საათზე ნაკლები დრო კანონის შესასრულებლად.

რატომ გჭირდებათ თქვენი რობოტის დაცვა თქვენი პირადი მონაცემების დასაცავად? რა პირობებით არის დაზღვეული რობოტები? ვინ დაავალებს სამუშაოს? რა არის პროექტის საშუალო ღირებულება და როგორ შევამციროთ ხარჯები? ყველა ეს ინფორმაცია დღეს აქტუალურია ფინანსურ სექტორში მოქმედი ნებისმიერი კომპანიისთვის. მათზე საექსპერტო მტკიცებულებები საშუალებას გვაძლევს მივაწოდოთ დიდი მტკიცებულებები კომპანია ReignVox-ს ფინანსური ინსტიტუტებისგან პერსონალური მონაცემების დაცვის სფეროში.

ცხოვრება ჩაკეტვის რეჟიმში

2011 წლის 1 ივნისიდან – კანონმდებლების მიერ დანიშნულ ვადამდე ერთი წლით ადრე, „პერსონალური მონაცემების შესახებ“ ფედერალური კანონი No152. არ არის კარგი მატყუარა მტერს დიდი ხნით დათმობა.

უპირველეს ყოვლისა, პროექტის განხორციელება, რომელიც პერსონალური მონაცემების დაცვის გამო დიდ ბრიტანეთშია მიმართული, სირთულის გამო ექვს თვემდე გრძელდება. თუმცა, ეს მაჩვენებელი არ არის ნარჩენი. ვადები შეიძლება გაგრძელდეს ექვს-რვა თვემდეამ პერიოდში რა თანხა დაიხარჯება პროექტის შემუშავებისა და განხორციელებისთვის შესაფერისი ინტეგრატორის არჩევაზე. ამ ტიპის თვითგამკაცრებელი სამუშაოების ჩატარება ბანკს ემუქრება ობიექტურობის დაკარგვით დაკვირვებისა და ანალიზის ეტაპზე, რაც აუცილებელია დაცვისთვის, ასევე ამ სამუშაოს ცოდნის საჭიროება, გარდა შრომითი რესურსებისა. ამ შემთხვევაში, უნდა გვახსოვდეს ისეთი ფაქტორები, როგორიცაა ფაქივწის პერსონალური მონაცემების დაცვის თემაზე პრეპარატების არსებობა, ნორმატიული და მეთოდოლოგიური უსაფრთხოების აუცილებელი ვალდებულება და პერსონალური მონაცემების დაცვის საკმარისი რესურსი. პრაქტიკა გვიჩვენებს, რომ ყველა ეს სარგებელი სრულად არის უზრუნველყოფილი მესამე მხარის ინტეგრატორების მიერ.

სხვაგვარად, „პერსონალური მონაცემების შესახებ“ კანონით დადგენილ პირობებს მივმართოთ მონაცემთა ოპერატორებისთვის (და იმის შესახებ, რომ ბანკები ასეთი ოპერატორები არიან, საკვები პრინციპში აღარ არის), რათა მათ „გადაცემაზე“ არ ისაუბრონ. მარეგულირებლების პირველი შემოწმებები უკვე დაწყებულია. დასკვნა სრულიად უფრო ლოგიკურია: პრობლემის აქტუალობა არა მხოლოდ შენარჩუნდა, ის ექსპონენტურად გაიზარდა და ხდება აქტუალური საჭიროება.

"და ეკრანი უბრალოდ გაფუჭდა..."

ISPD-ის „პერსონალური მონაცემების შესახებ“ კანონის დებულებებთან შესაბამისობაში მოყვანასთან დაკავშირებით, დანარჩენი დროის განმავლობაში აქტიური დისკუსიები მიმდინარეობს, რომლის შედეგი ძირითადად ერთ რამეზე მოდის: ამ ამოცანის ამოხსნაზე. კიდევ უფრო პრობლემურია ორგანიზაციის მთლიანობის გამო.ღირებული და სამართლებრივი მახასიათებლები. ასეთი დასკვნა ბოლომდე გარკვეული არ არის: სტაგნაციის პრაქტიკა გამოწვეული იყო პერსონალური მონაცემების დაკარგვით, რომელიც გამოჩნდა 2010 წლის პირველ კვარტალში (მათ შორის საბანკო სექტორში), რაც ადასტურებს Vimog-ის გაგებასა და ინტერპრეტაციას, scho hang up to ISPDn. მისი ფორმულირება, დადასტურება და რაიმე კომპრომისების მინიმალური რისკის მქონე დარჩენილის დოკუმენტური დადასტურება არც ისე რთულია მის განხორციელებაში, რამდენად მნიშვნელოვანია ის საბანკო ბიზნესის უსაფრთხოების თვალსაზრისით. კიდევ უფრო ადვილი იქნება დავალების დელეგირება მესამე მხარის ინტეგრატორზე, რომლის ფასილიტატორები დაასრულებენ პროექტს რაც შეიძლება სწრაფად და პროფესიონალურად, დაიცავენ პერსონალურ მონაცემებს საბანკო ბიზნესის ინდივიდუალური მახასიათებლების შენარჩუნებით.

ამრიგად, პირველი ამოცანაა აირჩიოს ინტეგრატორი კომპანია, რომელსაც ენდობა პროექტის განხორციელება.

"ტიპიური" = "ექსკლუზივი"?

ამ ურთიერთგამომრიცხავ ცნებებს შორის ერთგულების ასეთ ნიშანს აქვს არსებობის უფლება. ამ ვალდებულებას მხარს უჭერს წარმატებული პროექტების პრაქტიკული მტკიცებულებები, რომლებიც ReignVox-მა უკვე დაასრულა პერსონალური მონაცემების არარსებობის შემთხვევაში.

ერთის მხრივ, ასეთი პროექტი მოიცავს სტანდარტული რაოდენობის ეტაპებს: პერსონალური მონაცემების საინფორმაციო სისტემების დიზაინის ეტაპი, პერსონალური მონაცემთა დაცვის სისტემის დიზაინის ეტაპი, მონაცემთა დაცვის სისტემის დანერგვის ეტაპი, ხელმისაწვდომობის შეფასების ეტაპი. პერსონალური მონაცემების საინფორმაციო სისტემები კანონის შესაბამისად და შექმნილი სისტემის ეტაპობრივი მხარდაჭერა. უფრო მეტიც, ISPD-ის ტიპის შეფასება ეტაპად არასავალდებულო ხასიათს ატარებს და ხორციელდება შემცვლელი კომპანიის შეხედულებისამებრ. ეს მხოლოდ შექმნილი სისტემის მხარდაჭერის ეტაპია.

ტიპიურობა დასრულდება პირველ ეტაპზე (საინფორმაციო სისტემების დამუშავების ეტაპი), რომელიც საშუალებას გაძლევთ ამოიცნოთ და აღწეროთ ისინი სარგებელი, რომელიც წარმოდგენილი იქნება სისტემებისთვის. და ეს პარამეტრები უკვე ინდივიდუალურია და ორიენტირებულია კანის სპეციფიკურ კონდიციონერზე, ოპტიმიზირებულია თქვენი საჭიროებების შესაბამისად.

ამ კვლევის მსვლელობისას გაანალიზებულია საინფორმაციო რესურსები, ტიპიური გადაწყვეტილებები, რომლებიც შეიძლება შემუშავდეს IT ინფრასტრუქტურის საჭიროების საპასუხოდ, პერსონალური მონაცემების საინფორმაციო ნაკადები, აშკარა სისტემები და ინფორმაციის დაცვის მეთოდები.

ამ ეტაპზე გაფართოებულია PD უსაფრთხოების საფრთხისა და დამრღვევთა მოდელი, ფასდება ISDN-ში PD უსაფრთხოების უზრუნველყოფის აუცილებლობა კრიპტოვალუტების გამოყენებით.

სხვა ეტაპის განხორციელების კლასიკური სქემა მოიცავს მარეგულირებელი ჩარჩოს აუდიტს და მარეგულირებელთა შესაძლებლობებთან შესაბამისობის ტიპის შეფასებას. შედეგი არის ყველა შიდა დოკუმენტის შემუშავება და ტექნიკური მახასიათებლების შემუშავება SPDDN-ის განვითარებისთვის. ამ ეტაპზე, ინტეგრატორი იწყებს ინფორმაციის დაცვიდან შეყვანის კომპლექსის საფუძვლიან განვითარებას.

ამ ეტაპის დასრულების შემდეგ ბანკმა უკვე წარმატებით დაასრულა ერთ-ერთი მარეგულირებლის შემოწმება.

მესამე ეტაპის არსი მოდის სისტემების დანერგვაზე და თავდაცვის არსებითი ფუნქციების ჩამოყალიბებაზე. ტესტირების შემდეგ, საჭიროებიდან გამომდინარე, შემუშავებულია ტექნიკური და პროგრამული მახასიათებლების ნაკრები.

თითოეულ აღწერილ ეტაპზე კომპანია ReignVox, როგორც ინტეგრატორი, აწყდება სხვადასხვა სახის დამატებით მოთხოვნას, ბიზნესის სპეციფიკიდან გამომდინარე, რომელიც არის შემცვლელი კომპანია თავისი ზომით, ინფრასტრუქტურით, საქმიანობით.არის ბევრი სხვა პუნქტი. ბიზნეს პროცესებში. და ასეთი საწყობების სიმდიდრიდან მუშავდება ახალი, ინდივიდუალურად ადაპტირებული კონცეფცია პერსონალური მონაცემების დაცვის პროექტისთვის.

"...და ყველა მიზანი"

ვიდეო მონაცემების მინიმიზაცია, ბიუჯეტის ოპტიმიზაცია, დაზოგვა - რაც არ უნდა იყოს ფრაზა, არსი იგივე რჩება - რაციონალური მიდგომა პენი რესურსების აღდგენისკენ - ეს თავისთავად წარმატებისა და ფინანსური სტრუქტურის კიდევ ერთი გარე ქვაა (ნდობის შემდეგ, განსაკუთრებით). და ამიტომ, მცდელობა სწრაფად დახარჯოთ არა ინფორმაციული უსაფრთხოების ხარჯზე, ბუნებრივია და სრულიად ღირებული.

საბანკო სტრუქტურისთვის პერსონალური მონაცემების დაცვის სისტემის შექმნის საშუალო სტატისტიკური პროექტის ღირებულება 1,5 მილიონ რუბლს უახლოვდება. როდესაც ფასი გაფართოვდება, თანხა არის დაზღვეული და დაბალი პრინციპები, რაც საშუალებას გაძლევთ შეამციროთ პერსონალური მონაცემების დაცვის სისტემის შექმნის ბიუჯეტი.

ჩვენი უპირველესი პრიორიტეტია ორგანიზაციის არსებული IT ინფრასტრუქტურის მაქსიმალურად შენარჩუნება. თავისუფლად ისაუბრეთ PDN-ის დაცვის ორ პოლარულ სცენარზე. პირველი არის ყველა ISPD-ის საფუძვლიანი დამუშავება, მეორე კი ფორმალური, რომელიც გულისხმობს შიდა მარეგულირებელი დოკუმენტების გაცემას, ISPD-ში ცვლილებების შეტანის გარეშე. მიგვაჩნია, რომ ოპტიმალურია მესამე ვარიანტი, რომელიც ეფუძნება ბანკის შენახულ IT ინფრასტრუქტურას, რასაც თან ახლავს გარკვეული ელემენტების ცვლილება, ბანკის კანონმდებლობის უსაფრთხოებისთვის აუცილებელი ახლის დამატება.

ამ ნაწილში ვისაუბრებთ პირველ პრინციპზე, რომელიც ეფუძნება ინფორმაციული უსაფრთხოების მაქსიმალური დაცვაინფორმაციის დაცვის სისტემების დაპროექტების საათის ფარგლებში. ნებისმიერი კომპანიის უსაფრთხოების საჭიროებები დამოკიდებულია პერსონალური მონაცემების დაცვის აუცილებლობაზე, მათ შორის ანტივირუსული დაცვის სისტემა, ოპერაციული სისტემის წვდომის კონტროლის სისტემები, ჯვარედინი ეკრანები და მრავალი სხვა. ჩვენი სპეციალობები. აქედან გამომდინარე, მაქსიმალური სიმძლავრე შეიძლება დაიხუროს დაცვის საშუალებით. უფრო მეტიც, იმის გამო, რომ ხალხი არ არის კმაყოფილი დაცვის არსებული საშუალებებით, საჭიროა დამატებითი მარაგის შეძენა და განაწილება.

კიდევ ერთი პრინციპი არის პრინციპი საინფორმაციო სისტემების ეკონომიკური ლოგიკური სტრუქტურაპერსონალური მონაცემები. ამ პრინციპის შესაბამისად, პროექტის ბანკიდან პერსონალური მონაცემების დაცვის ფარგლებში, ეკონომიკურად შესაძლებელია რამდენიმე სისტემის გაერთიანება, ერთი ერთში მოთავსებული, ამავე დროს, არაკრიტიკული სეგმენტების ქვედა კლასიდან. ამ გზით იქმნება ISPDn „მონაცემთა დამუშავების ცენტრი“, რომელიც უზრუნველყოფს უსაფრთხოებას პერიმეტრის გარშემო. ეს საშუალებას გაძლევთ მნიშვნელოვნად შეამციროთ ნაკადების ხარჯები სხვადასხვა სისტემას შორის.

პრინციპი მესამე დაიცავით თავი მიმდინარე საფრთხეებისგან. ამ შემთხვევაში, საფრთხის აქტუალიზაცია აღწერილია სპეციალური სისტემებისთვის საჭირო დოკუმენტში, რომელსაც ეწოდება "საფრთხის მოდელი". როდესაც საფრთხეები განახლებულია, ის, ვისი სანდოობაც დაბალია და განხორციელების რისკი მცირეა.

უკვე შემუშავებული მეთოდების გააზრების მიზნით, 2011 წლის 1 ივნისამდე ნებისმიერი ბანკის ISPDN-ის კანონმდებლობის მოთხოვნებთან შესაბამისობაში მოყვანის მოთხოვნა სრულად სრულდება. საბანკო სექტორში ასეთი ტექნოლოგიების დანერგვაში მაქსიმალური წარმატებისთვის ჯერ კიდევ საჭიროა პროექტზე მუშაობის დაწყებამდე გაიხსენოთ ინტეგრირებული მიდგომა. ამ ვითარებაში პატივისცემას ექვემდებარება მაღალი სპეციალიზებული ქვედანაყოფების ფაშისტების - IT ტექნოლოგიების, ინფორმაციული უსაფრთხოებისა და პროექტების მენეჯმენტის, ფინანსისტის ფაშისტების სრული განაკვეთი სამუშაოს ორგანიზება, ხოლო იურისტები, რომლებიც გარანტიას აძლევენ, რომ დაცულია საჭირო ბალანსი. გლობალური მიდგომა, სანამ კრიტიკული მონაცემები არ დაიკარგება ფინანსურ სტრუქტურაში.

დოვიდკა: ReignVox არის რუსული კომპანია, რომელიც სპეციალიზირებულია ინოვაციურ პროექტებში და ინფორმაციული ტექნოლოგიების განვითარებასა და მათ ინფორმაციულ უსაფრთხოებაში.

კომპანიის მომსახურების მიწოდების მეთოდია პერსონალური მონაცემების დაცვის უზრუნველყოფა კანონის „პერსონალური მონაცემების შესახებ“ 2006 წლის 27 ივლისის No152 ფედერალური კანონის შესაბამისად. და საშუალებას აძლევს კომპლექსურ სისტემებს ინფორმაციის დასაცავად.

ReignVox არის რეგიონთაშორისი სათემო ორგანიზაციის წევრი "ინფორმაციული უსაფრთხოების ასოციაცია" (IGO "AZI"), "Infocommunication Union" ასოცირებული წევრი და ასევე ასოციაციის წევრი რუსეთის რეგიონალური ბანკები.

კომპანია ReignVox გვაწვდის მნიშვნელოვან მტკიცებულებებს მსხვილი კომერციული ბანკებისგან პერსონალური მონაცემების დასაცავად პროექტების წარმატებით განხორციელების შესახებ. მის კლიენტებს შორისაა NOTA-Bank, Zovnishekonombank, CentroCredit, Tempbank, Alta-Bank და ა.შ.

შეფასება:

მსგავსი დოკუმენტები

კანონმდებლები პერსონალური მონაცემების დაცვას ჩასაფრებულები არიან. ინფორმაციული უსაფრთხოების საფრთხეების კლასიფიკაცია. ინდივიდუალური მონაცემთა ბაზა. მოწყობილობები და საფრთხეების ჯართი საწარმო. PEOM დაცვის სისტემის ძირითადი პროგრამული და ტექნიკური მახასიათებლები. ბეზპეკოვის ძირითადი პოლიტიკა.

სადიპლომო ნამუშევარი, დამატება 06/10/2011


გამოიწვიოს პერსონალური მონაცემების უსაფრთხოების სისტემის შექმნა. ინფორმაციული უსაფრთხოების საფრთხეები. Dzherela-ს არაავტორიზებული წვდომა ISPDn-ზე. პერსონალური მონაცემების საინფორმაციო სისტემების კონტროლი. მოკალი ზაჰისტი. უსაფრთხოების პოლიტიკა.

საკურსო სამუშაო, დაამატეთ 07.10.2016წ


განაწილებული საინფორმაციო სისტემის სტრუქტურისა და მისგან შეგროვებული პერსონალური მონაცემების ანალიზი. შეარჩიეთ ძირითადი მიდგომები და მეთოდები, რათა უზრუნველყოთ პერსონალური მონაცემების უსაფრთხოება მიმდინარე საფრთხეებისგან. ანაზღაურება პროექტის შექმნისა და მხარდაჭერისთვის.

სადიპლომო ნამუშევარი, დაამატეთ 07/01/2011


საწარმოში კონტროლის სისტემა და წვდომის მართვა. შეგროვებული ინფორმაციის ანალიზი და ISPD-ის კლასიფიკაცია. ACS VAT "MMZ"-ის პერსონალური მონაცემების საინფორმაციო სისტემაში პერსონალური მონაცემების დამუშავებისას მათი უსაფრთხოების საფრთხის მოდელის შესწავლა.

სადიპლომო ნამუშევარი, დაამატეთ 04/11/2012


კომპიუტერული კლასში დაყენებული პერსონალური მონაცემების საინფორმაციო სისტემის აღჭურვის ძირითადი ტექნიკური გადაწყვეტილებების აღწერა. ანტივირუსული დაცვის ქვესისტემა. გთხოვთ, მოემზადოთ ინფორმაციის უსაფრთხოების ფუნქციების დანერგვამდე.

კურსის მუშაობა, დაამატეთ 09/30/2013


დოკუმენტირებული ინფორმაციის საიდუმლოება და უსაფრთხოება. ორგანიზაციის საქმიანობასთან დაკავშირებული პერსონალური მონაცემების სახეები. მათ კონტროლს ექვემდებარება უსაფრთხოების სფეროში კანონმდებლობის განვითარება. რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების უზრუნველყოფის მეთოდები.

პრეზენტაცია, დამატება 15.11.2016წ


ინფორმაციული უსაფრთხოების რისკების ანალიზი. არსებული და დაგეგმილი დაცვის მახასიათებლების შეფასება. ორგანიზაციული ნაბიჯების ერთობლიობა ინფორმაციული უსაფრთხოების უზრუნველსაყოფად და საწარმოს ინფორმაციის დაცვაზე. პროექტის განხორციელების საკონტროლო მაგალითი და აღწერა.

სადიპლომო ნამუშევარი, დაამატეთ 19.12.2012წ


მარეგულირებელი და სამართლებრივი დოკუმენტები ინფორმაციული უსაფრთხოების სფეროში რუსეთში. საინფორმაციო სისტემების საფრთხეების ანალიზი. კლინიკის პერსონალური მონაცემების დაცვის სისტემის ორგანიზაციის მახასიათებლები. ავთენტიფიკაციის სისტემის დანერგვა ელექტრონული გასაღებების გამოყენებით.

სადიპლომო ნამუშევარი დაუმატეთ 31.10.2016წ


კულისებში არსებული ინფორმაცია საწარმოს საქმიანობის შესახებ. ინფორმაციული უსაფრთხოების ობიექტები ბიზნესისთვის. განაგრძეთ და დაიცავით თქვენი ინფორმაცია. მონაცემთა კოპირება ჩანაცვლების მიზნით. შიდა სარეზერვო სერვერის ინსტალაცია. IB სისტემის განახლების ეფექტურობა.

რობოტის კონტროლი, დაამატეთ 08/29/2013


მთავარი საფრთხე ინფორმაციაა. მე მესმის, მეთოდი არის მონაცემთა დაცვის უზრუნველყოფა. ვიმოგი სისტემა ზახისტუ. საინფორმაციო ბაზაში ავტორიზაციის მექანიზმი სპეციფიკურია მომხმარებლის ტიპისთვის. ადმინისტრატორის მუშაობა უსაფრთხოების სისტემასთან.

შესვლა

შესაბამისობა. მსოფლიოში ინფორმაცია ხდება სტრატეგიული რესურსი, ეკონომიკურად განვითარებული სახელმწიფოს ერთ-ერთი მთავარი სიმდიდრე. რუსეთში საფუძვლიანი ინფორმაციის გამო, სასიცოცხლო ინტერესების შეღწევა ცხოვრების ყველა სფეროში, ჩვენმა სამეფომ და ძალებმა მიაღწიეს როგორც უდავო მიღწევებს, ასევე დაბალი დონის პრობლემების გაჩენას. ერთ-ერთი მათგანი იყო ინფორმაციის უსაფრთხოების საჭიროება. თუ გავითვალისწინებთ იმას, რომ მომავლის ეკონომიკური პოტენციალი უფრო მეტად უტოლდება საინფორმაციო სტრუქტურის განვითარებას, პროპორციულად იზრდება ეკონომიკის ინფორმაციული შემოდინების შედეგად გაჟონვის პოტენციალი.

კომპიუტერული სისტემების გაფართოება საკომუნიკაციო ქსელებთან ერთად ზრდის მათში ელექტრონული შეღწევის შესაძლებლობას. კომპიუტერული ავთვისებიანი სიმსივნეების პრობლემა მსოფლიოს ყველა კუთხეში, განურჩევლად მათი გეოგრაფიული მდებარეობისა, მოითხოვს საზოგადოების და ფართომასშტაბიანი ძალების პატივისცემის მოპოვების აუცილებლობას ამ ტიპის ავთვისებიან სიმსივნეებთან ბრძოლის ორგანიზებისთვის. დარღვევები განსაკუთრებით ფართოდ იყო გავრცელებული ავტომატიზირებულ საბანკო სისტემებში და ელექტრონულ კომერციაში. უცხოური მონაცემების მიღმა ბანკებში კომპიუტერულ თაღლითებზე დახარჯვა მალე მილიარდობით დოლარით გამდიდრდება. მიუხედავად იმისა, რომ რუსეთში ახალი საინფორმაციო ტექნოლოგიების პრაქტიკაში დანერგვისადმი ენთუზიაზმი მნიშვნელოვანია, კომპიუტერული მავნე პროგრამები დღითიდღე უფრო ცნობილი ხდება და მათთან ქორწინების უფლებამოსილების დაცვა კომპეტენტური ორგანოებისთვის სუპერ ამოცანად იქცა.

კვების რელევანტურობა პერსონალური მონაცემების დაცვასთან ეჭვს არავის ტოვებს. ჩვენ ადრე განვსაზღვრეთ ეს, როგორც ტერმინი, რომელიც მნიშვნელოვანია პერსონალური მონაცემების საინფორმაციო სისტემების იდენტიფიკაციისთვის (ISPD) ფედერალური კანონის შესაბამისად, 2006 წლის 27 ივლისის No152-FZ „პერსონალური მონაცემების შესახებ“. ეს ტერმინი სწრაფად უახლოვდება და ახლა აშკარაა მარეგულირებელთა ყველაზე მნიშვნელოვანი დოკუმენტების დასკვნის სირთულე, რაც იწვევს უამრავ წინააღმდეგობას და ორაზროვან ინტერპრეტაციას. დღესდღეობით, გარკვეული ოფიციალური დოკუმენტების დახურვა, მათი გაურკვეველი სამართლებრივი სტატუსი და დაბალი კვების სტატუსი არ წარმოადგენს დიდ პრობლემას. ეს ყველაფერი ქმნის სიტუაციას, თუ მარეგულირებელი ჩარჩო ბოლომდე არ არის განსაზღვრული და უკვე საჭიროა საჭირო კანონმდებლობის გაუქმება.

Travnya 2009 წ. ARB-ში პერსონალური მონაცემების საკითხზე სამუშაო ჯგუფის პირველი შეხვედრა გაიმართა. ღია დისკუსიის ბოლოს ნათლად გამოიკვეთა პრობლემური პრობლემები, რომლებიც გავლენას ახდენდა საბანკო ეფექტურობაზე. ძირითადად, სუნი გამოწვეული იყო პერსონალური მონაცემების ტექნიკური დაცვისა და საკრედიტო და ფინანსური ინსტიტუტებისა და FSTEC-ის სამომავლო ურთიერთქმედებით. რუსეთის ბანკის წარმომადგენლებმა თავიანთ გამოსვლაში განაცხადეს "პერსონალური მონაცემების შესახებ" კანონის განხორციელების ორგანიზების აუცილებლობის შესახებ. ფუნდამენტურად ახალი და მნიშვნელოვანი შეიძლება ეწოდოს რუსეთის ბანკის მცდელობებს იპოვონ კომპრომისი მარეგულირებელებთან, რათა ჩამოაყალიბონ ტექნიკური სარგებელი საბანკო პარტნიორობისთვის. განსაკუთრებით მინდა აღვნიშნო რუსეთის ფედერაციის ცენტრალური ბანკის საქმიანობა რუსეთის FSTEC-თან თანამშრომლობით. FSTEC-ის ოფიციალური დოკუმენტების დამტკიცებით დასაკეცი საქონლის მთელი დიდი მასის დაზღვევით, რუსეთის ბანკმა მიიღო გადაწყვეტილებები მოამზადოს ოფიციალური დოკუმენტები (დოკუმენტების პროექტები), რომლებსაც ამჟამად იყენებს FSTEC. შეიძლება ვივარაუდოთ, რომ პერსონალურ მონაცემებზე დაფუძნებული საკრედიტო და ფინანსური რეგულაციების ახალი სამართლებრივი სტანდარტის გაჩენის დიდი ალბათობაა.

კურსის მიზანია ონლაინ საბანკო სისტემებისგან პერსონალური მონაცემების დაცვის გზების შესწავლა.

მიზნები ასეთი იყო:

მიდგომების, ძირითადი უსაფრთხოების ჩასაფრების შემუშავება;

უსაფრთხოების მეთოდებისა და მეთოდების მნიშვნელობა;

ონლაინ საბანკო სისტემებში პერსონალური მონაცემების უსაფრთხოების მახასიათებლების იდენტიფიცირება;

ონლაინ საბანკო სისტემებში პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად ლოგინების შემუშავება.

გამოძიების ობიექტია საბანკო საინფორმაციო სისტემები.

გამოძიების საგანია ონლაინ საბანკო სისტემებში პერსონალური ინფორმაციის უსაფრთხოება.

გამოძიების თეორიულ და მეთოდოლოგიურ საფუძველს წარმოადგენდა თეორიული პრინციპები, მკვლევარების მუშაობა, ფაქივისტების გამოძიება და უსაფრთხო ინფორმაციის მიწოდება.

კურსის მუშაობის მეთოდოლოგიურ საფუძველს წარმოადგენს უსაფრთხოების პრობლემის გამოკვლევის სისტემატური მიდგომა.

ვიკორსტანის ლოგიკური, სამართლებრივი, სისტემური ანალიზი. გარდა ამისა, სტრუქტურული ანალიზის ეს უნიკალური მეთოდი საშუალებას იძლევა საჭირო სიზუსტით გამოავლინოს გასაანალიზებელი ობიექტის სხვადასხვა კომპონენტი და გააანალიზოს ამ ელემენტების ურთიერთობა სათითაოდ, ისევე როგორც სხვა მიზნებისთვის.

1. ონლაინ საბანკო სისტემებში პერსონალური მონაცემების დაცვის თეორიული ასპექტები

1.1 მიდგომა, უსაფრთხოების პრინციპები

როდესაც საქმე ეხება საინფორმაციო სისტემების უსაფრთხოების უზრუნველყოფას, ჩვენ გვესმის ის ნაბიჯები, რომლებიც იცავს საინფორმაციო სისტემას მისი მუშაობის რეჟიმიდან შემთხვევითი და პირდაპირი შეყვანისგან.

არსებობს ორი მნიშვნელოვანი მიდგომა კომპიუტერის უსაფრთხოების უზრუნველსაყოფად.

პირველი არის ფრაგმენტული, მის ფარგლებში არის ორიენტაცია თანამედროვე გონების ყველაზე მოწინავე საფრთხეების წინააღმდეგ (მაგალითად, სპეციალიზებული ანტივირუსული სისტემები, ავტონომიური დაშიფვრის მეთოდები და ა.შ.). მიდგომას აქვს ორივე უპირატესობა - რომელიც გადასცემს შერჩევითობის მაღალ დონეს სერიოზული პრობლემის ნაწილს და უარყოფითი მხარეები - რაც გადაჭრის გადაწყვეტას გადასცემს - შემდეგ. სუვოროს სიმღერის ელემენტები.

პირადი ინფორმაციის მართვის პროცესი მოიცავს ნახ. 1.

კიდევ ერთი მიდგომა არის სისტემური, რომელიც ხასიათდება იმით, რომ ამ ფარგლებში ხდება ინფორმაციის განადგურება უფრო ფართო მასშტაბით - დაცულია დამუშავების შუა ნაწილი, შენახულია ინფორმაციის გადაცემა, რათა საბოლოო მრავალფეროვნება მოხდეს. და საფრთხეების წინააღმდეგ ბრძოლის მეთოდები და მეთოდები: პროგრამული და ტექნიკური, სამართლებრივი, ორგანიზაციული და ეკონომიკური. გარდა მოპარული პროდუქტისა, გარანტირებულია ავტომატური საინფორმაციო სისტემის უსაფრთხოების უმაღლესი დონე.

სიკვდილისადმი სისტემური მიდგომა ეფუძნება შემდეგ მეთოდოლოგიურ პრინციპებს:

ბოლო მარკირება – ბოლო მარკირების აბსოლუტური პრიორიტეტი (გლობალური) მარკირება;

ერთიანობა - სისტემის, როგორც „მთლიანობის“ და როგორც ელემენტების (ელემენტების) კრებულის ყოვლისმომცველი ხედვა;

თანმიმდევრულობა - სისტემის ნებისმიერი ნაწილის ერთდროულად დათვალიერება მისი კავშირებითა და განსხვავებულობით;

მოდულურობა - სისტემაში მოდულების დანახვა და მოდულების კოლექციად მათი დათვალიერება;

იერარქიები - ნაწილების (ელემენტების) იერარქიის და მისი რეიტინგის დაწინაურება;

ფუნქციონალურობა - სტრუქტურისა და ფუნქციის საფუძვლიანი დათვალიერება ფუნქციის სტრუქტურაზე პრიორიტეტით;

განვითარება - სისტემის ცვალებადობის სფერო, მისი შექმნა განვითარებამდე, გაფართოება, ელემენტების ჩანაცვლება, ინფორმაციის დაგროვება;

დეცენტრალიზაცია - მიღებულ გადაწყვეტილებებთან ინტეგრაცია და მართვის ცენტრალიზაცია და დეცენტრალიზაცია;

უმნიშვნელოობა - სისტემაში უმნიშვნელო და ნაკლოვანებების გამოჩენა.

ამჟამინდელი მკვლევარები ასეთ მეთოდოლოგიურს ხედავენ

ინფორმაციის (მათ შორის კომპიუტერის) უსაფრთხოების ორგანიზება და დანერგვა.

კანონიერების პრინციპი. ის რჩება შესაბამისობაში ინფორმაციული უსაფრთხოების სფეროში წინათანამედროვე კანონმდებლობასთან.

უმნიშვნელოობის პრინციპი. ეს გამომდინარეობს სუბიექტის ქცევის გაურკვევლობიდან. ვინ, თუ სად და როგორ შეუძლია გაანადგუროს დაცვის ობიექტის უსაფრთხოება.

მოუქნელობის პრინციპი ზახისტუს დაუმტკიცებელი სისტემის შექმნაში. იგი გამომდინარეობს რესურსებისა და ხარჯების არამნიშვნელოვნების და გაზიარების პრინციპიდან.

მინიმალური რისკისა და მინიმალური ზიანის პრინციპები. დაცვის იდეალური სისტემის შექმნის შეუძლებლობა წარმოიშობა მისი შექმნის შეუძლებლობისგან. ცხადია, აუცილებელია კონკრეტული ობიექტების დაცვა ნებისმიერ მოცემულ მომენტში.

უსაფრთხო დროის პრინციპი.მაშინ აბსოლუტური საათის სახეს იღებს. დაცვის ობიექტების შენარჩუნების აუცილებლობა; და გარკვეულ საათზე, მაშინ. ერთი საათის ინტერვალი ბოროტი ქმედებების გამოვლენის მომენტიდან, სანამ ბოროტმოქმედი მიაღწევს ნიშანს.

პრინციპი "ყველა სახის ყურის მოკვლა". გადასცემს დაცვის ობიექტებს ყველა სახის საფრთხის წინააღმდეგ ქიმიური მიდგომების ორგანიზაციას, რაც ეფუძნება არამნიშვნელოვნების პრინციპს.

პირადი პასუხისმგებლობის პრინციპები. ინდივიდს გადასცემს კანის სპორტსმენის კანის მთლიანობას, ადგენს, რომ ორგანიზაცია იცავს თანამშრომლებს შორის უსაფრთხოების რეჟიმს, ფუნქციურ ვალდებულებებსა და მითითებებს.

გაცვლის პრინციპი უფრო მნიშვნელოვანი გახდა. ის გადასცემს სუბიექტს ინფორმაციის გაცნობის მნიშვნელობას მანამ, სანამ წვდომა არ იქნება საჭირო მათი ფუნქციონალური ვალდებულებების ნორმალური შეძენის მიზნით, ასევე ღობეების უზრუნველყოფა ობიექტებთან და ზონებთან მისასვლელად, ხოლო ნებისმიერ სხვა ზონაში. საქმიანობის სახეობა.

ურთიერთქმედების და შერწყმის პრინციპი. შინაგანად, სანდო კონტეინერების კულტივაცია ხორციელდება უსაფრთხოებაზე პასუხისმგებელ სპეციალისტებსა (ინფორმაციული თვალსაზრისით) და პერსონალს შორის. ამჟამინდელი გამოვლინებაა თანამშრომლობის გაუმჯობესება ყველა შესაბამის ორგანიზაციასთან და პირთან (მაგალითად, სამართალდამცავ უწყებებთან).

სირთულის და ინდივიდუალურობის პრინციპი. მნიშვნელოვანია აღინიშნოს ობიექტის უსაფრთხოების უზრუნველსაყოფად არა მხოლოდ ერთი საფეხურით, არამედ რთული, ურთიერთდაკავშირებული და დუბლიკაციური ნაბიჯების მთლიანობაში, რომლებიც განხორციელებულია კონკრეტული გონების ინდივიდუალური ბმულით.

თანმიმდევრული უსაფრთხოების საზღვრების პრინციპი. გადასცემს უფრო მეტ ადრეულ გაფრთხილებას ამა თუ იმ ობიექტის დაცვის შესახებ თავდაცვისთვის ან სხვა მტრული სიტუაციისთვის, რათა გაზარდოს ალბათობა იმისა, რომ ადრეული განგაშის სიგნალი დაეხმარება დაცვას დაცვაში.ევროპელი მუშები, რომლებიც აღიარებულნი არიან თავიანთი უსაფრთხოებისა და შესაძლებლობებით. ეფექტური ანტიდოტის მიდგომების ორგანიზება.

თანასწორობის პრინციპები და დაცვის საზღვრების თანასწორობა. კაპიტალი ეფუძნება დაცვის საზღვრებში დაუცველი ნაკვეთების არსებობას. თანაბარი ზეწოლა გადასცემს დაცვის ხაზს იგივე რაოდენობის დაცვას, რაც დამოკიდებულია დაცვის ობიექტის საფრთხის დონეზე.

ბიზნესისთვის ინფორმაციის დაცვის მეთოდები შემდეგია:

რეშკოდა არის დამნაშავის გზის ფიზიკურად გადაკეტვის მეთოდი, რომელიც დაცულია (ტექნიკისკენ, ინფორმაციის მატარებლებისკენ და ა.შ.).

წვდომის კონტროლი არის ინფორმაციის დაცვის მეთოდი და საწარმოს ავტომატური საინფორმაციო სისტემის ყველა რესურსის გამოყენების რეგულირება. წვდომის კონტროლი მოიცავს შემდეგ უსაფრთხოების ფუნქციებს:

მომხმარებელთა მომსახურების მიმწოდებლების, პერსონალის და საინფორმაციო სისტემის რესურსების იდენტიფიცირება (თითოეულ ინდივიდს ენიჭება პერსონალური იდენტიფიკატორი);

ობიექტის ან სუბიექტის ავთენტიფიკაცია (იდენტობის დადგენა) იდენტიფიკატორის წარდგენისას;

უფრო მნიშვნელოვანია ხელახალი შემოწმება (კვირის დღის, შეძენის საათის, რესურსების მიწოდებისა და რეგლამენტით დადგენილი პროცედურების ხელახალი შემოწმება);

მოპარული რესურსების რეზერვების რეგისტრაცია;

პასუხი (განგაში, გამორთვა, გამორთვა, ჩართვა, არაავტორიზებული ქმედებები).

ნიღაბი არის მარშრუტის საწარმოს ავტომატური საინფორმაციო სისტემაში ინფორმაციის დაცვის მეთოდი და კრიპტოგრაფიული დახურვა.

რეგულაცია არის დაცვის მეთოდი, რომელიც ქმნის ისეთ ავტომატიზირებულ დამუშავებას, ინარჩუნებს ტრანსმისიას, რომელშიც მინიმუმამდე მცირდება მასზე არასანქცირებული წვდომის შესაძლებლობა.

პრიმუსი არის ინფორმაციული უსაფრთხოების მეთოდი, რომლის დროსაც უსაფრთხოების სისტემის პერსონალი იცავს ინფორმაციის დამუშავების, გადაცემის და ხელმისაწვდომობის წესებს, რომლებიც დაცულია მატერიალური, ადმინისტრაციული და სისხლის სამართლის საფრთხის ქვეშ.

მოტივაცია არის ინფორმაციის დაცვის საშუალება, რომელიც უბიძგებს მენეჯერებს და სისტემის პერსონალს არ დაარღვიონ ჩამოყალიბებული მორალური და ეთიკური სტანდარტების შენარჩუნების დადგენილი წესები.

ინფორმაციული უსაფრთხოების უზრუნველყოფის დამკვიდრებული მეთოდები ხორციელდება შემდეგი ძირითადი მახასიათებლების გამოყენებით: ფიზიკური, აპარატური, პროგრამული, აპარატურულ-პროგრამული, კრიპტოგრაფიული, ორგანიზაციული, საკანონმდებლო და მორალურ-ეთიკური.

ფიზიკური დაცვის მახასიათებლები განკუთვნილია ობიექტების ტერიტორიის გარე დასაცავად, ავტომატური საინფორმაციო სისტემის კომპონენტების დასაცავად და დანერგილია ავტონომიური მოწყობილობებისა და სისტემების სახით.

ტექნიკის დაცვის მახასიათებლები მოიცავს ელექტრონულ, ელექტრომექანიკურ და სხვა მოწყობილობებს, რომლებიც უშუალოდ ინტეგრირებულია ავტომატური საინფორმაციო სისტემის ბლოკებში ან შექმნილია როგორც დამოუკიდებელი მოწყობილობები და მიიღება ამ ბლოკებიდან. იგი განკუთვნილია კომპიუტერული ტექნოლოგიის კომპონენტებისა და სისტემების სტრუქტურული ელემენტების შიდა დაცვისთვის: ტერმინალები, პროცესორები, პერიფერიული აღჭურვილობა, სახაზო კომუნიკაცია და ა.შ.

პროგრამული უზრუნველყოფის დაცვის ფუნქციები შექმნილია ლოგიკური და ინტელექტუალური დაცვის ფუნქციების განსახორციელებლად და შედის ან ავტომატური საინფორმაციო სისტემის პროგრამულ უზრუნველყოფაში ან მახასიათებლების, კომპლექსებისა და საკონტროლო აღჭურვილობის სისტემების საწყობში.

პროგრამული უზრუნველყოფის დაცვის ფუნქციები არის დაცვის ყველაზე ფართო ტიპი, რომელსაც გააჩნია ასეთი დადებითი ძალა: უნივერსალურობა, მოქნილობა, განხორციელების სიმარტივე, ცვლილებისა და განვითარების შესაძლებლობა. ეს სიტუაცია იმუშავებს მათთან დაუყოვნებლივ და ყველაზე მრავალფეროვანი ელემენტებით საწარმოს საინფორმაციო სისტემის დასაცავად.

აპარატურულ-პროგრამული დაცვის მახასიათებლები არის ფუნქციები, რომლებშიც პროგრამული უზრუნველყოფა (მიკროპროგრამა) და აპარატურის ნაწილები ურთიერთდაკავშირებულია და განუყოფელია.

კრიპტოგრაფიული მახასიათებლები - დაცვის მახასიათებლები ინფორმაციის დამატებითი ტრანსფორმაციისთვის (დაშიფვრა).

ორგანიზაციული მახასიათებლები - პერსონალის ქცევის რეგულირების ორგანიზაციულ-ტექნიკური და ორგანიზაციულ-სამართლებრივი მიდგომები.

საკანონმდებლო დებულებები არის ქვეყნის სამართლებრივი აქტები, რომლებიც არეგულირებს ინფორმაციის ხელმისაწვდომობის, დამუშავებისა და საჯარო ხელმისაწვდომობისათვის გადაცემის წესებს და ამით ადგენს ჯარიმებს ამ წესების დარღვევისთვის.

მორალური და ეთიკური პრინციპები - ნორმები, ტრადიციები ქორწინებაში, მაგალითად: პროფესიული ქცევის კოდექსი აშშ-ში ქრისტიან მუშაკთა ასოციაციის EOM წევრებისათვის.

1.2 უსაფრთხოების მეთოდები

უსაფრთხოების ზომების განსახორციელებლად გამოიყენება დაშიფვრის სხვადასხვა მექანიზმი. რატომ გამოვიყენოთ ეს მეთოდები? თავიდანვე, მონაცემების (ტექსტის, აზრების და პატარების) გაგზავნის საათზე სუნი დაუცველია და, როგორც ამას ფახივტები უწოდებენ, ღიაა. გახსნილ მონაცემებზე წვდომა სხვა მომხმარებლებს მარტივად შეუძლიათ (განზრახ თუ არა). მესამე მხარის მიერ პერსონალური ინფორმაციის მიღების თავიდან ასაცილებლად, ასეთი მონაცემები დაშიფრულია. კორესპონდენტი, რომელსაც ენიჭება ინფორმაცია, შემდეგ შიფრავს მას, კრიპტოგრაფების მიერ შექმნილ გამარჯვებულ პორტალს, ამოიღებს მონაცემებს საჭირო ფორმით.

დაშიფვრა არის ან სიმეტრიული (დაშიფვრისთვის ერთ საიდუმლო გასაღებს იყენებს Vikoryst) ან ასიმეტრიული (ერთი ფარულად ხელმისაწვდომი გასაღები გამოიყენება დაშიფვრისთვის Vikorist-ის მიერ, ხოლო მეორე გამოიყენება გაშიფვრისთვის, არ არსებობს ურთიერთკავშირი - ასე რომ, თუ რომელიმე მათგანი არის ცნობილია, სხვისი შეცნობა შეუძლებელია).

უსაფრთხოების მექანიზმები შემდეგია:

) ციფრული ელექტრონული ხელმოწერის მექანიზმები ეფუძნება ასიმეტრიული დაშიფვრის ალგორითმებს და მოიცავს ორ პროცედურას: გამომგზავნის მიერ ხელმოწერის ფორმირებას და მფლობელის მიერ მის აღიარებას. დირექტორის მიერ ხელმოწერის ფორმირება უზრუნველყოფს მონაცემთა ბლოკის დაშიფვრას დამატებითი კრიპტოგრაფიული საკონტროლო ჯამით და ორივე შემთხვევაში დამოწმებულია დირექტორის საიდუმლო გასაღები. ცოდნის მისაღებად საჭიროა ფარულად ხელმისაწვდომი გასაღები.

) წვდომის კონტროლის მექანიზმები გამოიყენება კლიენტის პროგრამების ქსელურ რესურსებზე წვდომის შესამოწმებლად. დაკავშირებული კონტროლის საშუალებით რესურსზე წვდომისას იგი მითითებულია როგორც დაწყების, ისე შუალედური წერტილების, ასევე ბოლო წერტილში.

) მონაცემთა მთლიანობის უზრუნველყოფის მექანიზმები შემოიფარგლება მიმდებარე ბლოკით და მონაცემთა ნაკადით. გამგზავნი ავსებს გადაცემის ბლოკს კრიპტოგრაფიული ჯამით და ნაშთი უდრის კრიპტოგრაფიულ მნიშვნელობებს, რომლებიც შეესაბამება მიღებულ ბლოკს. გთხოვთ გაითვალისწინოთ, რომ ინფორმაცია გაზიარებულია ბლოგთან.

) მოძრაობის დაყენების მექანიზმები. ობიექტების მიერ AIS ბლოკების გენერირებაზე, მათ დაშიფვრაზე და ქსელის არხებით გადაცემის ორგანიზებაზე. ისინი თავად ანეიტრალებენ ინფორმაციის მიტაცების შესაძლებლობას დამატებითი ზრუნვით იმ ნაკადების მიმდინარე მახასიათებლებზე, რომლებიც ცირკულირებენ საკომუნიკაციო არხებით.

) მარშრუტიზაციის კონტროლის მექანიზმები უზრუნველყოფენ საინფორმაციო და საკომუნიკაციო ქსელის მარშრუტების შერჩევას ისე, რომ თავიდან აიცილონ მგრძნობიარე ინფორმაციის გადაცემა არასაიმედო და ფიზიკურად არასანდო არხებზე.

) საარბიტრაჟო მექანიზმები უზრუნველყოფს მესამე მხარის მიერ ობიექტებს შორის გადაცემული მონაცემების მახასიათებლების დადასტურებას. ამ მიზნით, ინფორმაცია, რომელიც შეიძინა ან ფლობს ობიექტებს, გადის არბიტრის მეშვეობით, რაც შესაძლებელს ხდის სწრაფად დაადასტუროს გამოცნობილი მახასიათებლები.

ეკონომიკური ობიექტების უსაფრთხოების სისტემის ძირითადი ნაკლოვანებებია:

-ობიექტების უსაფრთხოების მაღალი დონის, უსისტემო პრობლემები;

-საფრთხის თავიდან აცილება, პრინციპის დაცვით „თუ საფრთხე გაჩნდა, ვიწყებთ მასთან გამკლავებას“;

-უსაფრთხოების ეკონომიკაში არაკომპეტენტურობა, ხარჯებისა და შედეგების წარმოების შეუძლებლობა;

-მოვლისა და უსაფრთხოების სამსახურის სპეციალისტების „ტექნოკრატიზმი“, ჩემს მცოდნე სფეროში ყველა დავალების ინტერპრეტაცია.

რობოტების პირველი დაყოფის შედეგად, ეს ასევე მნიშვნელოვანია. საინფორმაციო სისტემების უსაფრთხოებას ეწოდება შესვლის წერტილები, რომლებიც იცავს საინფორმაციო სისტემას მისი მუშაობის რეჟიმის შემთხვევითი და მუდმივი გამოყენებისგან. უსაფრთხოების უზრუნველსაყოფად, მიღებულია ორი ძირითადი მიდგომა: 1) ფრაგმენტული, რომლის საზღვრებშიც ხდება მომღერალი გონებისთვის სასიმღერო საფრთხეების საწინააღმდეგო მოქმედება; და 2) სისტემური, რომელშიც იქმნება ინფორმაციის დამუშავების, შენახვისა და გადაცემის ბირთვი, რომელიც უზრუნველყოფს საფრთხეების წინააღმდეგ ბრძოლის სხვადასხვა მეთოდებსა და მეთოდებს. ინფორმაციის დასაცავად გამოიყენება სხვადასხვა ფუნქციები და მექანიზმები. მოყვება შემდეგი ფუნქციები: დაშიფვრა, ციფრული ელექტრონული ჩაწერა, წვდომის კონტროლი, მოძრაობის კონტროლი და ა.შ.

საბანკო ონლაინ უსაფრთხოების სისტემა

2. პერსონალური მონაცემების უსაფრთხოების მახასიათებლები ონლაინ საბანკო სისტემებში

2.1. ონლაინ საბანკო სისტემებში პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად საუკეთესო გზა

პერსონალური ინფორმაციის დაცვა ნიშნავს ინფორმაციის დაცვას და ინფრასტრუქტურას, რომელიც მხარს უჭერს მას (კომპიუტერები, სახაზო კომუნიკაციები, ელექტრო სისტემები და ა.შ.) ტალღებისგან ან წყალქვეშა ტალღებისგან.

ასევე, ღრუბლოვანი მონაცემების ინფორმაციული უსაფრთხოება ნიშნავს: უზრუნველყოფილია კომპიუტერის საიმედოობა; ღირებული ფინანსური მონაცემების შენახვა; პერსონალური ინფორმაციის დაცვა არაუფლებამოსილი პირების მიერ მასში შეტანილი ცვლილებების შემთხვევაში;

ტერიტორიის ინფორმაციული უსაფრთხოების ობიექტები მოიცავს საინფორმაციო რესურსებს, რომლებიც შეიცავს კომერციულ ზონებში შენახულ ინფორმაციას და კონფიდენციალურ ინფორმაციას; ასევე საინფორმაციო სისტემების თავისებურებები.

საინფორმაციო რესურსების, საინფორმაციო სისტემების, ტექნოლოგიებისა და მათი უსაფრთხოების მეთოდების ოსტატი არის მოქმედი ხელისუფლებისა და დანიშნული ობიექტების მართვის საგანი და ახორციელებს ახალ ბრძანებებს კანონით დადგენილ ფარგლებში.

ინფორმაციის შემგროვებელი არის სუბიექტი, რომელიც ურთიერთქმედებს საინფორმაციო სისტემასთან ან შუამავალთან საჭირო ინფორმაციის მოსაპოვებლად და მისი გამოყენების მიზნით.

საინფორმაციო რესურსები არის დოკუმენტების მიღმა და ინფორმაციულ სისტემებში დოკუმენტების, დოკუმენტების და დოკუმენტების მასივების მიღმა.

ინფორმაციული უსაფრთხოების საფრთხე მდგომარეობს პოტენციურ ქმედებაში, რომელიც, გარდა პერსონალური სისტემის კომპონენტებზე დამატებითი გაჟონვისა, შეიძლება ზიანი მიაყენოს საინფორმაციო რესურსების მფლობელებს და სისტემის მომხმარებლებს.

საინფორმაციო რესურსების სამართლებრივი რეჟიმი განისაზღვრება წესებით, რომლებიც ადგენს:

ინფორმაციის დოკუმენტაციის პროცედურა;

უფლებამოსილების უფლება დოკუმენტებსა და მასივებზე

დოკუმენტები, დოკუმენტები და დოკუმენტების მასივები საინფორმაციო სისტემებში; მასზე წვდომის საფუძველზე ინფორმაციის კატეგორია; ლეგალური ზახისტუს ბრძანება.

ძირითადი პრინციპი, რომელიც ირღვევა ინფორმაციული საფრთხის რეალიზებისას ბუღალტრული აღრიცხვის განყოფილებაში, არის ინფორმაციის დოკუმენტაციის პრინციპი. ავტომატური საინფორმაციო სისტემიდან მიღებული დოკუმენტი იურიდიულ უფლებამოსილებას იძენს მესაკუთრის მიერ რუსეთის ფედერაციის კანონმდებლობით დადგენილი წესით ხელმოწერის შემდეგ.

ყველა პოტენციური საფრთხე თავისი ბუნებიდან გამომდინარე შეიძლება დაიყოს ორ კლასად: ბუნებრივი (ობიექტური) და ხელოვნური.

ბუნებრივი საფრთხეები გამოწვეულია ობიექტური მიზეზებით, როგორიცაა ბუღალტერი, რაც იწვევს ბუღალტრული აღრიცხვისა და მისი კომპონენტების მზარდ და ხშირ ვარდნას. ასეთ ბუნებრივ მოვლენებს უნდა ელოდო: მიწისძვრები, ფანრით დარტყმა, ხანძარი და ა.შ.

საფრთხეები, რომლებიც დაკავშირებულია ადამიანის საქმიანობასთან. ისინი შეიძლება დაიყოს უდანაშაულობად (უყურადღებობა), ავადმყოფობის მუშაკების დამკვიდრების საპასუხოდ და ნებისმიერი სახის მოწყალების შრომა უპატივცემულობის გზით, წინააღმდეგ შემთხვევაში მე გავხდები ავად. მაგალითად, ბუღალტერს, კომპიუტერში ჩანაწერების შეყვანისას, შეუძლია დააჭიროს არასწორ ღილაკს, შექმნას არასასურველი შეცდომები პროგრამაში, შემოიღოს ვირუსი და შემთხვევით გამოავლინოს პაროლები.

გაიგეთ დაუცველობა, რომელიც დაკავშირებულია ადამიანების ბოროტ მისწრაფებებთან - ბოროტმოქმედთა, რომლებიც უნებლიედ ქმნიან არაზუსტ დოკუმენტებს.

უსაფრთხოების საფრთხეები მათი უშუალოობის მიხედვით შეიძლება დაიყოს შემდეგ ჯგუფებად:

ღრუბლოვანი მონაცემთა ბაზებიდან და კომპიუტერული პროგრამებიდან მონაცემების შეღწევისა და წაკითხვის საფრთხე და მათი დამუშავება;

პერსონალური მონაცემების შენახვასთან დაკავშირებული საფრთხეები, რაც იწვევს მათ ამოწურვას ან შეცვლას, მათ შორის გადახდის დოკუმენტების (გადახდის დოკუმენტები, დოკუმენტები და ა.შ.) გაყალბებას;

საფრთხეები მონაცემთა ხელმისაწვდომობაზე, რაც მოხდება იმ შემთხვევაში, თუ კლიენტი ვერ უარყოფს ღრუბლოვან მონაცემებზე წვდომას;

წარმატებული ოპერაციის დროს არსებობს გამოსახლების საფრთხე, თუ ერთი მომხმარებელი გადასცემს შეტყობინებებს მეორეს და შემდეგ არ დაადასტურებს მონაცემთა გაგზავნას.

საინფორმაციო პროცესები - ინფორმაციის შეგროვების, დამუშავების, დაგროვების, შენახვის, ძიების და გაფართოების პროცესები.

საინფორმაციო სისტემა - ორგანიზაციულად მოწესრიგებული დოკუმენტების ნაკრები (დოკუმენტების მასივი და საინფორმაციო ტექნოლოგიები, მათ შორის სხვადასხვა ტიპის გამოთვლითი ტექნოლოგია და კავშირები, რომლებიც ახორციელებენ ინფორმაციის სხვა პროცესებს).

დოკუმენტირებული ინფორმაცია მიჰყვება პროცედურებს, რომლებიც პასუხისმგებელნი არიან ბიზნესის ორგანიზებაზე, დოკუმენტებისა და მათი მასივების სტანდარტიზაციაზე და რუსეთის ფედერაციის უსაფრთხოებაზე.

რა თქმა უნდა, საფრთხეები შეიძლება დაიყოს შიდა და გარე.

ორგანიზაციის პერსონალის საქმიანობას ბევრი შიდა საფრთხე ემუქრება. გარე საფრთხეები მოდის უსაფრთხოების ძალებისგან, სხვა ორგანიზაციებისგან, ჰაკერებისგან და სხვა.

გარე საფრთხეები შეიძლება დაიყოს:

ლოკალური, რომლებიც გადასცემენ კრიმინალის შეღწევას ორგანიზაციის ტერიტორიაზე და უარს ამბობენ ლოკალურ კომპიუტერზე ან ლოკალურ ქსელზე წვდომაზე;

გლობალურ ქსელებთან დაკავშირებული კერძო სისტემების (ინტერნეტი, SWIFT საერთაშორისო საბანკო სისტემა და სხვა) საფრთხეები აღმოფხვრილია.

ასეთი დაუცველობა ყველაზე ხშირად წარმოიქმნება ელექტრონული გადახდების სისტემაში, როდესაც მომხმარებლები ყიდულობენ, ან ინტერნეტთან ურთიერთობისას. ასეთი საინფორმაციო თავდასხმები შეიძლება მოხდეს ათასობით კილომეტრის დაშორებით. უფრო მეტიც, ისინი მოიცავს როგორც EOM-ს, ასევე საბუღალტრო ინფორმაციას.

ფორმის მნიშვნელოვანი და უმნიშვნელო ცვლილებები, რაც იწვევს ფინანსური რისკის ზრდას, ე: ცვლილებები საჯარო მონაცემების აღრიცხვაში; არასწორი კოდები; არაავტორიზებული ფინანსური ოპერაციები; კონტროლის ლიმიტების დარღვევა; ღრუბლის ჩანაწერები აკლია; შეწყალება მონაცემთა დამუშავებისა და ჩვენებისას; შეწყალება მტკიცებულებების ჩამოყალიბებისა და ფორმირებისას; არასწორი ღრუბლოვანი ჩანაწერები; პერიოდების არასწორი ჩაწერა; მონაცემთა გაყალბება; მარეგულირებელი აქტების განადგურება; პირადი პოლიტიკის ჩასაფრების განადგურება; მომსახურების შეუსაბამობა კლიენტების საჭიროებებთან.

განსაკუთრებით საშიშია ისეთი ინფორმაციის შექმნა, რომელიც ქმნის კომერციულ საიდუმლოებას და შეიცავს პირად და მნიშვნელოვან ინფორმაციას (მონაცემები პარტნიორების, კლიენტების, ბანკების შესახებ, ანალიტიკურ ინფორმაციას ბაზარზე საქმიანობის შესახებ). იმისთვის, რომ მსგავსი ინფორმაცია მოიპაროს, აუცილებელია ხელშეკრულებების გაფორმება ბუღალტერიის, საფინანსო სერვისების და სხვა ეკონომიკური განყოფილებების სპეციალისტებთან ჩანაწერების დანიშნულ გადაცემაზე, რასაც მე არ ვუჭერ მხარს, ვაპირებ აღშფოთებას.

ინფორმაციის დაცვა ავტომატიზებულ ღრუბლოვან სისტემებში დაფუძნებული იქნება მიმდინარე ძირითად პრინციპებზე.

საიდუმლო და არასაიდუმლო ინფორმაციის დასამუშავებლად განკუთვნილი ფიზიკური ტერიტორიების უსაფრთხოება.

ინფორმაციის კრიპტოგრაფიული დაცვის უზრუნველყოფა. აბონენტებისა და აბონენტების ინსტალაციების უსაფრთხო ავთენტიფიკაცია. სუბიექტებსა და მათ პროცესებს შორის ინფორმაციის ხელმისაწვდომობის უზრუნველყოფა. დოკუმენტური ინფორმაციის შესაბამისობისა და მთლიანობის უზრუნველყოფა უზრუნველყოფილია მათი საკომუნიკაციო არხებით გადაცემის დროს.

უზრუნველყოფილია, რომ სისტემის ტექნიკური მახასიათებლები დაცულია ტექნიკური არხებიდან კონფიდენციალური ინფორმაციის ნაკადისგან.

დაშიფვრის ტექნოლოგიის, აპარატურის, ტექნიკური და პროგრამული მახასიათებლების დაცვის უზრუნველყოფა ინფორმაციის ნაკადში ტექნიკისა და პროგრამული უზრუნველყოფის სანიშნეების სტრუქტურისთვის.

ავტომატური სისტემის პროგრამული უზრუნველყოფისა და ინფორმაციის ნაწილების მთლიანობის კონტროლის უზრუნველყოფა.

Vikoristannya, როგორც მხოლოდ ლორების განადგურების მექანიზმები

რუსეთის ფედერაციის სახელმწიფო საინფორმაციო რესურსები ღიაა და საჯაროდ ხელმისაწვდომი. დამნაშავეს აქვს დოკუმენტირებული ინფორმაცია, რომელიც კანონით არის კლასიფიცირებული, როგორც წვდომისთვის შეზღუდული. საკანონმდებლო რეჟიმის გონების საერთო წვდომის მქონე დოკუმენტირებული ინფორმაცია იყოფა სახელმწიფო ციხეში მიტანილ ინფორმაციად და კონფიდენციალურობად. კონფიდენციალური ხასიათის ინფორმაციის გადაცემა, კომერციულ საქმიანობასთან დაკავშირებული ინფორმაციის კონფიდენციალურობა დადგენილია რუსეთის ფედერაციის პრეზიდენტის 1997 წლის 6 თებერვლის ბრძანებულებით. No188 (დანართი No.) განვითარებული მოვლენები.

ორგანიზაციული და რუტინული შესვლის უსაფრთხოება. ძალზე მნიშვნელოვანია დამატებითი საშუალებების გამოყენება სისტემაში კავშირების უსაფრთხოების უზრუნველსაყოფად.

ინფორმაციის გაცვლის ინტენსივობის, მოცულობისა და ტრაფიკის შესახებ ინფორმაციის შენახვის ორგანიზება.

არხების ინფორმაციის გადაცემისა და დამუშავების მოწყობილობა და მეთოდები, რომლებიც ამცირებს ზედმეტ გადაკეტვას.

ინფორმაციის დაცვა არაავტორიზებული წვდომისგან პირდაპირ არის ჩამოყალიბებული ინფორმაციაში, რომელსაც იცავს სამი ძირითადი ავტორიტეტი:

კონფიდენციალურობა (საიდუმლო ინფორმაცია შეიძლება იყოს ხელმისაწვდომი მხოლოდ იმ პირისთვის, რომელსაც ის ენიჭება);

მთლიანობა (ინფორმაცია, რომლის საფუძველზეც მიიღება მნიშვნელოვანი გადაწყვეტილებები, შეიძლება იყოს სანდო, ზუსტი და სრულიად დაცული შესაძლო უვნებელი ან მავნე ქმედებებისგან);

ხელმისაწვდომობა (შეიძლება იყოს ხელმისაწვდომი ინფორმაცია და მასთან დაკავშირებული საინფორმაციო სერვისები, რომლებიც მზად იქნება მომსახურებისთვის, როცა საჭირო იქნება).

p align="justify"> პერსონალური ინფორმაციის დაცვის მეთოდები: კოდების შეცვლა; წვდომის კონტროლი, ნიღაბი, რეგულირება, პრიმუსი, სპონკანნაია.

მნიშვნელოვანია გამოიყენოთ თავდამსხმელის გზის ფიზიკური დაბლოკვის მეთოდი დაცული პერსონალური ინფორმაციისგან. ამ მეთოდს ახორციელებს საწარმოს შესასვლელი სისტემა, მათ შორის ახლის შესასვლელთან უსაფრთხოების არსებობა, მესამე მხარის ინფორმაციის აღრიცხვის თავიდან აცილება და ა.შ.

წვდომის კონტროლი არის პერსონალური და მგრძნობიარე ინფორმაციის დაცვის მეთოდი, რომელიც ხორციელდება ანგარიშისთვის:

ავთენტიფიკაცია - ობიექტის ან სუბიექტის იდენტურობის დადგენა იდენტიფიკატორის წარდგენისას (ეს ხდება კომპიუტერიდან შეყვანილი იდენტიფიკატორის შეყვანით, რომელიც ინახება მეხსიერებაში);

ხელახალი შემოწმება კვლავ მნიშვნელოვანია - მოთხოვნილი რესურსების ტიპის ხელახალი შემოწმება და ოპერაციების დასრულება რესურსების ნანახი და ნებადართული პროცედურებიდან; მოპარული რესურსების რეგისტრაცია;

ინფორმირება და რეაგირება არაავტორიზებული საქმიანობის მცდელობებზე. (კრიპტოგრაფია არის ინფორმაციის დამატებითი ტრანსფორმაციის (დაშიფვრის) უზრუნველყოფის მეთოდი).

BEST-4 კომპლექსში ინფორმაციის ხელმისაწვდომობის გამიჯვნა ხორციელდება მიმდებარე ქვესისტემების დონეზე და უზრუნველყოფილია წვდომის ცალკეული პაროლების მინიჭების გზით. საწყისი დაყენებით ან ნებისმიერ დროს შეგიძლიათ დააყენოთ ან შეცვალოთ ერთი ან მეტი პაროლი სისტემის ადმინისტრატორის პროგრამით. პაროლი გამოყენებული იქნება ქვესისტემაში შესვლისთანავე.

უფრო მეტიც, თითოეულ მოდულს აქვს ინფორმაციაზე წვდომის გამიჯვნის საკუთარი სისტემა. თქვენ უზრუნველყოფთ მენიუს თითოეული ელემენტის დაცვის შესაძლებლობას სპეციალური პაროლებით. პაროლები ასევე შეიძლება გამოყენებულ იქნას ორიგინალური დოკუმენტების რამდენიმე ქვეჯგუფზე წვდომის დასაცავად: მაგალითად, ავტომატიზირებულ სამუშაო ადგილზე „ინვენტარი საწყობში“ და „პროდუქტები და პროდუქტები საწყობში“ შესაძლებელია პაროლების დაყენება ცალკეულ საწყობში წვდომისთვის. , ავტომატიზირებულ სამუშაო ადგილზე „ნაღდი ოპერაციების ზონა“ - კანის წვდომის პაროლები მოლარე, ავტომატიზებულ სამუშაო ადგილზე „ობლიკ როზრახუნკი იზ ბანკი“ - პაროლები თქვენს საბანკო ანგარიშზე წვდომისთვის.

განსაკუთრებით მნიშვნელოვანია აღვნიშნოთ, რომ ინფორმაციაზე წვდომის ეფექტური დელიმიტაციისთვის აუცილებელია, პირველ რიგში, პაროლებით დავიცვათ ამ და სხვა ბლოკებზე წვდომის პაროლების მინიჭების რეჟიმები.

1C.Enterprise-ში, ვერსია 7.7, არის ინფორმაციის ახალი დაცვა - წვდომის უფლებები. ინტეგრაციის გზით კლიენტებს ექნებათ წვდომა ინფორმაციაზე 1C სისტემასთან მუშაობისას. სისტემა. უფლებები შეიძლება განისაზღვროს ფართო დიაპაზონში - სხვადასხვა ტიპის დოკუმენტების განხილვის შესაძლებლობიდან დამთავრებული ნებისმიერი ტიპის მონაცემების შემოტანის, განხილვის, რედაქტირებისა და რედაქტირების უფლებათა სრულ კომპლექტამდე.

ავტორისთვის წვდომის უფლებების მინიჭება მიმდინარეობს მე-2 ეტაპზე. პირველ ეტაპზე იქმნება ინფორმაციასთან მუშაობის უფლებების ტიპიური ნაკრები, რაც, როგორც წესი, იძლევა წვდომის ფართო შესაძლებლობებს. ეტაპის მეორე ბოლოში თქვენ მოგეცემათ უფლებათა ერთ-ერთი სტანდარტული ნაკრები.

უფლებების სტანდარტული კომპლექტების შექმნაზე ყველა სამუშაო ხორციელდება "კონფიგურაციის" ფანჯრის "უფლება" ჩანართზე. თქვენ ყოველთვის შეგიძლიათ ეკრანზე წვდომა პროგრამის მთავარი მენიუს „კონფიგურაციის“ მენიუდან „ღია კონფიგურაციის“ არჩევით.

2.2 ონლაინ საბანკო სისტემებში პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად საფეხურების ერთობლიობა

ISPD–ში PDN–ის უსაფრთხოების უზრუნველსაყოფად მიდგომების კომპლექსის შემუშავება ხორციელდება ISPD–ის კლასზე მინიჭებული საფრთხის უსაფრთხოების შეფასების შედეგების საფუძველზე „მთავარი მიდგომები ორგანიზაციისა და ტექნიკური უსაფრთხოების შესახებ“ პერსონალური მონაცემები, რაც გროვდება პერსონალური მონაცემების საინფორმაციო სისტემებში“.

რაიმე პრობლემის შემთხვევაში, მობრძანდით სწრაფად:

ISPD-ში PD-ის ნაკადის ტექნიკური არხების იდენტიფიცირება და დახურვა;

პერსონალური მონაცემების დაცვა არაავტორიზებული წვდომისა და უკანონო ქმედებებისგან;

თავდაცვის დეპარტამენტის მონტაჟი, რეგულირება და სტასტოსუვანია.

PDN-ის ISPD-ში გადინების ტექნიკური არხების იდენტიფიკაციისა და დახურვის მიდგომები ჩამოყალიბებულია PDN-ის უსაფრთხოების საფრთხეების ანალიზისა და შეფასების საფუძველზე.

ჩანაწერები PDN-ის დასაცავად, როდესაც ისინი მუშავდება ISPD-ში, როგორც არაავტორიზებული წვდომა და უკანონო ქმედებები მოიცავს:

keruvannya ხელმისაწვდომობა;

რეგისტრაცია და გამოჩენა;

მთლიანობის უზრუნველყოფა;

კონტროლი არადეკლარირებული შესაძლებლობების რაოდენობაზე;

ანტივირუსული დაცვა;

ISPDN-ის უსაფრთხო ტრანსსასაზღვრო ინტერკომუნიკაციის უზრუნველყოფა;

ქურდობის ანალიზი;

გამოვლინდა შემოჭრა.

რეკომენდირებულია წვდომის კონტროლის, რეგისტრაციისა და რეგისტრაციის ქვესისტემის დანერგვა პროგრამული ფუნქციების საფუძველზე არაავტორიზებული ქმედებების დაბლოკვის, სიგნალიზაციისა და რეგისტრაციისთვის. ეს არის განსაკუთრებული, რომელიც არ შედის არცერთი ოპერაციული სისტემის ბირთვში, პროგრამული უზრუნველყოფა და აპარატურა და პროგრამული უზრუნველყოფა თავად ოპერაციული სისტემების დასაცავად, PDN-ის ელექტრონულ მონაცემთა ბაზებსა და აპლიკაციურ პროგრამებში. თქვენ შეგიძლიათ განახორციელოთ დაცვის ფუნქციები დამოუკიდებლად ან სხვა დამცავ ფუნქციებთან ერთად პირდაპირ, რათა გამორთოთ ან გაართულოთ ქმედებების გამოვლენა, რომლებიც უსაფრთხოა კორისტუვაჩის ან მძარცველის ISPD-სთვის. მათ წინაშეა სპეციალური კომუნალური და პროგრამული კომპლექსები, რომლებიც ახორციელებენ დიაგნოსტიკის, რეგისტრაციის, შემცირების, განგაშის და სიმულაციის ფუნქციებს.

დიაგნოსტიკური მეთოდები მოიცავს ფაილური სისტემის და DDN მონაცემთა ბაზის ტესტირებას, ინფორმაციის მუდმივად შეგროვებას ინფორმაციის უსაფრთხოების ქვესისტემის ელემენტების ფუნქციონირების შესახებ.

შემცირების ფუნქციები შექმნილია ჭარბი მონაცემების შესამცირებლად და შეუძლია გადაიტანოს გადაუდებელი მონაცემების დაკარგვა პირადი საშემოსავლო გადასახადის საფრთხის შემთხვევაში, რომელიც არ შეიძლება დაიბლოკოს სისტემის მიერ.

სიგნალიზაციის ფუნქციები შექმნილია იმისთვის, რომ გააფრთხილოს ოპერატორები, როდესაც ისინი PDN-ზე გადადის, რომელიც იპარება, და გააფრთხილოს ადმინისტრატორი PDN-ზე არასანქცირებული წვდომის ფაქტისა და ISPD-ის ნორმალური ფუნქციონირების რეჟიმის დარღვევის სხვა ფაქტების აღმოჩენის შესახებ.

სიმულაციური მეთოდები მოდელირებს ქურდებთან მუშაობას, როდესაც აღმოჩენილია NSD-ის PD-ის ან მოპარული პროგრამული უზრუნველყოფის მარცხი. იმიტაცია საშუალებას გაძლევთ გაზარდოთ დრო NSD-ის დანიშნული ადგილისა და ბუნებისთვის, რაც განსაკუთრებით მნიშვნელოვანია ტერიტორიულად განაწილებულ რაიონებში და დეზინფორმაციას აცნობოთ დამნაშავეს მოპარული PDN-ის ადგილმდებარეობის შესახებ.

მთლიანობის ქვესისტემა დანერგილია ძირითადად ოპერაციული სისტემებით და მონაცემთა ბაზის მართვის სისტემებით. ოპერაციულ სისტემებში და მონაცემთა ბაზის მართვის სისტემებში დაინსტალირებული ოპერაციულ სისტემებში და მონაცემთა ბაზის მართვის სისტემებში დაინსტალირებული ტრანზაქციების საიმედოობისა და მთლიანობის უზრუნველყოფის მახასიათებლები, შეტყობინებების პაკეტის გადაცემის წარუმატებლობის შესახებ შეტყობინებების, მიუღებელი პაკეტის განმეორებითი გადაცემის შესახებ შეტყობინებების შემუშავების საფუძველზე. .

არადეკლარირებული შესაძლებლობების არსებობის მონიტორინგის ქვესისტემა დანერგილია მონაცემთა ბაზის მართვის სისტემებთან, უსაფრთხოების მახასიათებლებთან და ანტივირუსული დაცვის ფუნქციებთან ერთად.

PDN-ის უსაფრთხოების უზრუნველსაყოფად და ISDN-ის პროგრამული უზრუნველყოფისა და აპარატურის შუალედური პროგრამული უზრუნველყოფის უზრუნველსაყოფად, რომელიც ამუშავებს ამ ინფორმაციას, რეკომენდებულია სპეციალური ანტივირუსული დაცვის ფუნქციების დაყენება, რომლებიც ამოღებულია:

ვირუსული დესტრუქციული შემოდინების გამოვლენა და (ან) დაბლოკვა გაზის სისტემაზე და აპლიკაციურ პროგრამაზე, რომელიც ახორციელებს PDN-ის დამუშავებას, ასევე PDN-ზე;

უცნობი ვირუსების გამოვლენა და გამოვლენა;

უზრუნველყავით ამ ანტივირუსული მოწყობილობის თვითმონიტორინგი (ინფექციის პრევენცია) მისი გაშვებისას.

ანტივირუსული დაცვის ვარიანტების არჩევისას მნიშვნელოვანია გავითვალისწინოთ შემდეგი ფაქტორები:

სტანდარტული ISPDN პროგრამული უზრუნველყოფისთვის მინიჭებული ხარჯების ჯამი;

ISPDN-ის ფუნქციონირების პროდუქტიულობის შემცირების ეტაპი ძირითადი მიზეზების გამო;

ISPDN-ში ინფორმაციული უსაფრთხოების ადმინისტრატორის სამუშაო ადგილიდან ანტივირუსული დაცვის ფუნქციონირების ცენტრალიზებული კონტროლის გამოვლენა;

ISPD-ში ინფორმაციული უსაფრთხოების ადმინისტრატორის დროულად ინფორმირების შესაძლებლობა პროგრამულ-მათემატიკური ინექციების (PMI) ყველა შემთხვევისა და ფაქტის შესახებ;

ანტივირუსული დაცვის სისტემის გამოყენების შესახებ დეტალური დოკუმენტაციის ხელმისაწვდომობა;

ანტივირუსული დაცვისთვის პერიოდული ტესტირების ან თვითშემოწმების შესაძლებლობა;

PMV-ში თავდაცვითი შესაძლებლობების მარაგის გაფართოების შესაძლებლობა ახალი დამატებითი მეთოდებით, დროის დაკარგვის გარეშე ISPDN-ის ეფექტურობასა და სხვა სახის თავდაცვის შესაძლებლობებთან „კონფლიქტს“ შორის.

ანტივირუსული დაცვის ფუნქციების ინსტალაციის, კორექტირების, კონფიგურაციისა და ადმინისტრირების პროცედურის აღწერა, აგრეთვე ვირუსის შეტევის გამოვლენის და სხვა ზიანის შესახებ, რომელიც შეიძლება მოხდეს პროგრამულ-მათემატიკური ინექციების გამო, შეიძლება ჩართული იყოს ინფორმაციის მიღებამდე უსაფრთხოების ადმინისტრატორი ISPDN-ში ადასტურებს.

ISPD რესურსებზე წვდომის ეფექტიანად დიფერენცირებისთვის ტრანსსასაზღვრო ურთიერთქმედების დროს, დადგენილია ტრანსსასაზღვრო სკრინინგი, რომელიც ხორციელდება პროგრამული და აპარატურულ-პროგრამული ტრანსსასაზღვრო ეკრანებით (ME). საზღვრებს შორის დამონტაჟებულია ზღვრული ეკრანი, რომელსაც შიდა და გარე საზღვარი ეწოდება. მარგინალური ეკრანი შემოდის იმ საზღვრის საწყობში, რომელიც დაცულია. ამ მარშრუტისთვის, წესები საგულდაგულოდ არის დაყენებული, რათა განცალკევდეს წვდომა შიგნიდან გარედან და გარედან.

ISPD 3 და 4 კლასებში უსაფრთხო ტრანსსასაზღვრო ურთიერთქმედების უზრუნველსაყოფად, რეკომენდებულია IU-ს გამოყენება მინიმუმ უსაფრთხოების მეხუთე დონისთვის.

2 კლასის ISPD-ში უსაფრთხო ტრანსსასაზღვრო ურთიერთქმედების უზრუნველსაყოფად, რეკომენდებულია IU-ს გამოყენება უსაფრთხოების მეოთხე დონეზე მაინც.

1 კლასის ISPD-ში უსაფრთხო ტრანსსასაზღვრო ურთიერთქმედების უზრუნველსაყოფად, რეკომენდირებულია სე-ის გამოყენება მინიმუმ უსაფრთხოების მესამე დონისთვის.

უსაფრთხოების ანალიზის ქვესისტემა დანერგილია ტესტირების (უსაფრთხოების ანალიზი) და ინფორმაციული უსაფრთხოების კონტროლის (აუდიტი) სხვადასხვა მეთოდების საფუძველზე.

უსაფრთხოების ანალიზის შესაძლებლობა ეფუძნება სამუშაო სადგურებსა და სერვერებზე ოპერაციული სისტემების უსაფრთხოების მონიტორინგის მეთოდს და საშუალებას იძლევა შეაფასოს ქურდების შესაძლებლობა, განახორციელონ თავდასხმები საკუთრების კიდეზე და აკონტროლონ პროგრამული უზრუნველყოფის უსაფრთხოება. ამისათვის დააკვირდით საზღვრის ტოპოლოგიას, მოძებნეთ დაუცველი ან არაავტორიზებული კავშირები საზღვრებთან და შეამოწმეთ სასაზღვრო ეკრანების პარამეტრები. ასეთი ანალიზი ხორციელდება უსაფრთხოების მოწყობილობების პარამეტრებში განსხვავებების დეტალური აღწერილობის საფუძველზე (მაგალითად, კონცენტრატორები, მარშრუტიზატორები, სასაზღვრო ეკრანები) ან განსხვავებები ოპერაციულ სისტემებში ან აპლიკაციის პროგრამაში. ქურდობის სპეციალური ანალიზის შედეგი არის დაღვრის გამოვლენის შესახებ ინფორმაციის შედეგი.

დაღვრაზე აღმოჩენის მეთოდები შეიძლება მუშაობდეს მეორად დონეზე (რასაც ქსელზე დაფუძნებული ეწოდება), ოპერაციული სისტემის დონეზე (ჰოსტზე დაფუძნებული) და პროგრამის დონეზე (აპლიკაციაზე დაფუძნებული). პროგრამული უზრუნველყოფის უბრალოდ სკანირებით, თქვენ შეგიძლიათ სწრაფად შექმნათ ყველა ხელმისაწვდომი ISDN კვანძის რუკა, დაადგინოთ სერვისები და პროტოკოლები, რომლებიც გამოიყენება თითოეულ მათგანზე, დაადგინოთ მათი ძირითადი კონფიგურაციები და შექმნათ სტიმული გამჭვირვალობისთვის.

სისტემის სკანირების შედეგების შემდეგ ნახავთ რეკომენდაციებსა და ჩანაწერებს, რომლებიც საშუალებას მოგცემთ გამოავლინოთ ნებისმიერი ხარვეზი.

ინტერფეისის ურთიერთქმედებისთვის SPR-ის საფრთხეების იდენტიფიცირების ინტერესებიდან გამომდინარე, შეიქმნება შეჭრის აღმოჩენის სისტემები. ასეთი სისტემები დაფუძნებული იქნება თავდასხმების განხორციელების სპეციფიკაზე, მათი განვითარების ეტაპებზე და დაფუძნებული იქნება თავდასხმის აღმოჩენის მეთოდების მთელ სპექტრზე.

არსებობს თავდასხმის აღმოჩენის მეთოდების სამი ჯგუფი:

ხელმოწერის მეთოდები;

ანომალიების გამოვლენის მეთოდები;

კომბინირებული მეთოდები (რომლებიც აერთიანებს სხვადასხვა ალგორითმს, როგორიცაა ხელმოწერის მეთოდები და ანომალიების გამოვლენის მეთოდები).

მე-3 და მე-4 კლასებში ISPD შეჭრის გამოსავლენად რეკომენდებულია უსაფრთხოების შეტევის აღმოჩენის სისტემების გამოყენება, რომლებიც იყენებენ ხელმოწერის ანალიზის მეთოდებს.

ISPD 1 და 2 კლასებში შეჭრის გამოსავლენად, რეკომენდებულია უსაფრთხოების შეტევის აღმოჩენის სისტემების გამოყენება, რომლებიც იყენებენ ხელმოწერებზე დაფუძნებულ მეთოდებს ანომალიების გასაანალიზებლად.

PDN ტექნიკური არხების ნაკადისგან დასაცავად, სტაგნაციაა ორგანიზაციული და ტექნიკური მიდგომები, რომლებიც მიზნად ისახავს აკუსტიკური (მოძრავი), ვიზუალური ინფორმაციის ნაკადის გამორთვას, ისევე როგორც ინფორმაციის ნაკადს ეკონომიკისთვის ელექტრომაგნიტური ვიბრაციების ქვეპროდუქტები. უნდა იყოს მორგებული და მიმართული.

რობოტის სხვა განყოფილების შედეგად, ჩვენ ვმუშაობთ ასეთ იდეებზე. პერსონალური ინფორმაციის უსაფრთხოება ნიშნავს ინფორმაციის უსაფრთხოებას და ინფრასტრუქტურას, რომელსაც ის მხარს უჭერს, როგორიცაა ბუნებრივი ან ცალმხრივი ხასიათის სპორადული ან უწყვეტი ტალღები, რამაც შეიძლება ზიანი მიაყენოს სახელმწიფო მოხელეებს ან ბიზნესის მფლობელებს. ინფორმაციული უსაფრთხოების ობიექტები სფეროში: საინფორმაციო რესურსები, რომლებიც მხარს უჭერენ ხილვადობას და საინფორმაციო სისტემებს. ძირითადი მეთოდები, რომლებიც გამოიყენება დაცვის ფარგლებში, არის: რა არის გამოვლენილი და დაუყოვნებლივ მოპარული.

ვისნოვოკი

ეკონომიკური ობიექტების ინფორმაციული უსაფრთხოების პრობლემა მრავალმხრივია და საჭიროებს შემდგომ ანალიზს.

მსოფლიოში ინფორმაცია ხდება სტრატეგიული ეროვნული რესურსი, ეკონომიკურად განვითარებული სახელმწიფოს ერთ-ერთი მთავარი სიმდიდრე. რუსეთში საფუძვლიანი ინფორმაციის გამო, სასიცოცხლო ინტერესების შეღწევამ ცხოვრების ყველა სფეროში, თავისებურებებში, სამეფოებსა და ძალაუფლებაში გამოიწვია უთვალავი წინსვლა და დაბალი დონის პრობლემების გაჩენა. ერთ-ერთი მათგანი იყო ინფორმაციის დაცვის აუცილებლობა. იმის გათვალისწინებით, რომ მომავლის ეკონომიკური პოტენციალი უფრო მნიშვნელოვანია ინფორმაციული ინფრასტრუქტურის განვითარებასთან ერთად, პროპორციულად იზრდება ეკონომიკის ინფორმაციის ნაკადებში გადაცემის პოტენციალი.

ინფორმაციული უსაფრთხოების საფრთხე მოდის ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის შელახვისგან. ინფორმაციის დაცვის სისტემატური მიდგომის პოზიციიდან, აუცილებელია შეისწავლოს აშკარა დაცვის მახასიათებლების მთელი არსენალი ეკონომიკური ობიექტის ყველა სტრუქტურულ ელემენტში და ინფორმაციის დამუშავების ტექნოლოგიური ციკლის ყველა ეტაპზე. დაცვის მეთოდები და გზები საიმედოდ დაბლოკოს საიდუმლოების არაავტორიზებული წვდომის შესაძლო გზები, რომლებიც დაცულია. ინფორმაციული უსაფრთხოების ეფექტურობა ნიშნავს, რომ მასზე დახარჯული თანხა სულაც არ არის იმაზე მეტი, რაც შეიძლება დაიხარჯოს ინფორმაციული საფრთხეების განხორციელებაზე. ინფორმაციული უსაფრთხოების დაგეგმვა მიიღწევა კანის სერვისისთვის ინფორმაციული უსაფრთხოების დეტალური გეგმების შემუშავებით. საჭიროა სიცხადე მომხმარებელთა უფლებების ამჟამინდელი განახლებაში ახალი ტიპის ინფორმაციაზე წვდომის, უსაფრთხოების პირობების კონტროლისა და მათ წარუმატებლობაზე სწრაფი რეაგირების უზრუნველყოფის მიზნით.

ლიტერატურა

1.ავტომატური საინფორმაციო ტექნოლოგიები საბანკო საქმეში / რედ. პროფ. გ.ა. ტიტორენკო. - M: Fіnstatіnform, 2007 წ

2.ეკონომიკის ავტომატური საინფორმაციო ტექნოლოგიები / ედ. პროფ. გ.ა. ტიტორენკო. - M: UNITI, 2010 წ

.Ageev A. S. ორგანიზაცია და ინფორმაციული უსაფრთხოების თანამედროვე მეთოდები. - M: კონცერნი "ბანკი. ბიზნეს ცენტრი", 2009 წ

.აჯიევი, ვ. მითები პროგრამული უზრუნველყოფის უსაფრთხოების შესახებ: გაკვეთილები ცნობილი კატასტროფებიდან. - ღია სისტემები, 199. No6

.ალექსიევი, ვ.ი. მუნიციპალური ხელისუფლების საინფორმაციო უსაფრთხოება. – ვორონეჟი: VDTU, 2008 წ.

.ალექსეევი, ვ.მ. ინფორმაციული ტექნოლოგიების უსაფრთხოების შეფასების საერთაშორისო კრიტერიუმები და მათი პრაქტიკული გამოყენება: ძირითადი გზამკვლევი. - პენზა: პენზას ხედი. ჩატარების უნივერსიტეტი, 2002 წ

.ალექსეევი, ვ.მ. მარეგულირებელი დაცვა არაავტორიზებული წვდომისგან. - პენზა: პენზას ხედი. ჩატარების უნივერსიტეტი, 2007 წ

.ალექსეევი, ვ.მ. ინფორმაციული უსაფრთხოების უზრუნველყოფა პროგრამული უზრუნველყოფის ფუნქციების შემუშავებისას. - პენზა: პენზას ხედი. ჩატარების უნივერსიტეტი, 2008 წ

.ალოშინი, ლ.ი. ინფორმაციის დაცვა და ინფორმაციის უსაფრთხოება: ლექციების კურსი L.I. ალოშინი; მოსკოვი ჩატარების კულტურის უნივერსიტეტი. - M: მოსკოვი. ჩატარების კულტურის უნივერსიტეტი, 2010 წ

.ახრამენკა, ნ.ფ. და გადახდის სისტემა ელექტრონული დოკუმენტებით // უსაფრთხოების ინფორმაციის მენეჯმენტი, 1998 წ

.ბანკები და საბანკო ოპერაციები. პოდრუჩნიკი/რედ. ე.ფ. ჟუკოვა. - M.: ბანკები და ბირჟები, UNITI, 2008 წ

.ბარსუკოვი, ვ.ს. უსაფრთხოება: ტექნოლოგიები, ამოცანები, სერვისები. - M: Kudits - გამოსახულება, 2007 წ

.ბატურინი, იუ.მ. კომპიუტერული სამართლის პრობლემები. - M: იურიდიული. მოდი, 1991 წ

.ბატურინი, იუ.მ. კომპიუტერის გაუმართაობა და კომპიუტერის უსაფრთხოება. M: Yur.lit., 2009 წ

.ბეზრუკოვი, ნ.მ. შესავალი კომპიუტერულ ვირუსოლოგიაში. მოქმედების ძირითადი პრინციპები, კლასიფიკაცია და ყველაზე გავრცელებული ვირუსების კატალოგი M5-005-ში. კ., 2005 წ

.ბიკოვი, ვ.ა. ელექტრონული ბიზნესი და უსაფრთხოება / V. A. Bikov. - M: რადიო და კავშირები, 2000 წ

.ვარფოლომეევი, ა.ა. Ინფორმაციის დაცვა. კრიპტოლოგიის მათემატიკური ჩასაფრები. ნაწილი 1. - M: MIFI, 1995 წ

.ვეჰოვი, ვ.ბ. კომპიუტერული გაუმართაობა: მიყენებისა და განადგურების მეთოდები. - M: სამართალი და სამართალი, 1996 წ

.ვოლობუევი, ს.ვ. ინფორმაციული უსაფრთხოების დანერგვა. - ობნინსკი: ობნ. ატომური ენერგიის ინსტიტუტი, 2001 წ

.ვოლობუევი, ს.ვ. ავტომატური სისტემების ინფორმაციული უსაფრთხოება. - ობნინსკი: ობნ. ატომური ენერგიის ინსტიტუტი, 2001 წ

.სრულიადრუსული სამეცნიერო და პრაქტიკული კონფერენცია „ინფორმაციული უსაფრთხოება სასკოლო სისტემაში“, გვერდი 28-29. 2000 r., NDTU, Novosibirsk, Russia: IBVSH 2000. - Novosibirsk, 2001 წ.

23.გალატენკო, ვ.ა. ინფორმაციული უსაფრთხოება: V. A. Galatenko-ს პრაქტიკული მიდგომა; პერ რედ. V. B. Betelina; ნახ. აკად. მეცნიერებანი, ნაუკ.-დოსლედ. სისტემების ინსტიტუტი. გაყოლა - M: მეცნიერება, 1998 წ

.გალატენკო, ვ.ა. ინფორმაციული უსაფრთხოების საფუძვლები: ლექციების კურსი. - M: ინფორმაციის ინტერნეტ უნივერსიტეტი. ტექნოლოგია, 2003 წ

.გენადიევა, ე.გ. კომპიუტერული მეცნიერებისა და ინფორმაციული უსაფრთხოების თეორიული საფუძვლები. - M: რადიო და კავშირები, 2000 წ

.ღიკა, სებასტიან ნარცისი. ინფორმაციის გადაღება გრაფიკული ფაილებიდან BMR ფორმატში Dis. ...კანდელი. ტექ. მეცნიერებები: 05.13.19 – პეტერბურგი, 2001 წ

.გიკა, ს.მ. ინფორმაციის მიღება გრაფიკული ფაილებიდან BMR ფორმატში: ავტორის რეზიუმე. დის. ...კანდელი. ტექ. მეცნიერებები: 05.13.19 ქ. ჩატარების In-tacc. მექანიკა და ოპტიკა. – პეტერბურგი, 2001 წ

.გოლუბევი, ვ.ვ. უსაფრთხოების მენეჯმენტი. - პეტერბურგი: პეტრე, 2004 წ

.გორბატოვი, ვ.ს. Ინფორმაციის დაცვა. სამართლებრივი დაცვის საფუძვლები. - M: MIFI (TU), 1995 წ

.გორლოვა, ი.ი., რედ. ინფორმაციის თავისუფლება და ინფორმაციული უსაფრთხოება: საერთაშორისო კონფერენციის მასალები. მეცნიერება. კონფ., კრასნოდარი, 30-31 ჟოვტ. 2001 წ. - კრასნოდარი, 2001 წ

.გრინსბერგი, ა.ს. და სახელმწიფო ადმინისტრაციის საინფორმაციო რესურსების დაცვა. - M: UNITI, 2003 წ

.რუსეთის ინფორმაციული უსაფრთხოება გლობალური საინფორმაციო სამსახურის "INFOFORUM-5" გონებისთვის: Zb. მე-5 სრულიად რუსეთის მასალები. კონფ., მოსკოვი, 4-5 ლ. 2003 - მ.: TOV რედ. ჟურნალი რუსეთის ბიზნესი და უსაფრთხოება, 2003 წ

.ინფორმაციის უსაფრთხოება: Zb. მეთოდი. მასალები M-სასწავლო ნახ. ფედერაცია [ტა ін]. - M: CNIIATOMINFORM, 2003 წ

34.საინფორმაციო ტექნოლოგიები // ცხოვრების ეკონომიკა. No25, 2001 წ

35.საინფორმაციო ტექნოლოგიები მარკეტინგში: სახელმძღვანელო უნივერსიტეტებისთვის.- მ.: 2003 წ

.საინფორმაციო ტექნოლოგიები ეკონომიკასა და მენეჯმენტში: Podruchnik / Kozirev A.A. - M.: Vid-vo Mikhailova V.A., 2005 წ

.ლოპატინი, ვ.მ. რუსეთის ინფორმაციული უსაფრთხოება დის. ... სამართლის დოქტორი. მეცნიერებები: 12.00.01

.ლუკაშინი, ვ.ი. Ინფორმაციის დაცვა. - M: მოსკოვი. ჩატარების ეკონომიკის, სტატისტიკისა და ინფორმატიკის უნივერსიტეტი

.ლუჩინი, ი.მ., ჟელდაკოვი ა.ა., კუზნეცოვი ნ.ა. პაროლის დაცვა // სამართალდამცავი სისტემების ინფორმატიზაცია. მ., 1996 წ

.მაკკლური, სტიუარტი. ჰაკინგი ინტერნეტში. თავდასხმები და დამცველები სტიუარტ მაკკლარი, საუმილ შაჰი, შრირეი შაჰი. - M: უილიამსი, 2003 წ

.მალიუკი, ა.ა. მონაცემთა დამუშავების სისტემებში ინფორმაციული უსაფრთხოების დონის პროგნოზული შეფასების ფორმალიზების თეორიული საფუძველი. - M: MIFI, 1998SPb., 2000 წ

.ინფორმაციული უსაფრთხოების სისტემების ეკონომიური ეფექტურობა. Chobotar P.P. – მოლდოვის ეკონომიკური აკადემია, 2003 წ

.იაკოვლევი, ვ.ვ. სატრანსპორტო ტრანსპორტის კორპორატიულ საზღვრებზე ინფორმაციის უსაფრთხოება და ინფორმაციის დაცვა. - მ., 2002 წ

.იაროჩკინი, ვ.ი. Ინფორმაციის დაცვა. - M: Mir, 2003 წ

.იაროჩკინი, ვ.ი. Ინფორმაციის დაცვა. - M: ფონდი "სვიტი", 2003: აკად. პროექტი

.იასენივი, ვ.მ. ავტომატური საინფორმაციო სისტემები ეკონომიკაში და გარემოსდაცვითი უსაფრთხოების უზრუნველყოფა: ძირითადი სახელმძღვანელო. – ნ.ნოვგოროდი, 2002 წ

მსგავსი რობოტები - პერსონალური მონაცემების დაცვა ონლაინ საბანკო სისტემებისგან

მარინა პროხოროვა,ჟურნალის "პირადი ხარკი" რედაქტორი

ნატალია სამოილოვა,კომპანია "ინფოტექნოპროექტის" იურისტი

მარეგულირებელი ჩარჩო, რომელიც შემუშავებულია დღემდე პერსონალური მონაცემების დამუშავების სფეროში, დოკუმენტები, რომლებიც უნდა იქნას მიღებული ორგანიზაციებში პერსონალური მონაცემების დაცვისგან მუშაობის უფრო ეფექტური ორგანიზებისთვის, ინფორმაციის მომზადების ტექნიკური ასპექტები პერსონალური მონაცემების ოპერატორების ღირებული სისტემები - იგივე პირობა ბევრს რჩებოდა დანარჩენი დროის გაზეთში, ჟურნალ Publikatsii-ზე, პრობლემური დანის აკინძვა Tsiy Statti-ზე, საბანკო საქმის ასეთ ასპექტზე ყვირილით, პირადი დანიას „სინკიში“ ზაჰისტი, ჩეთები. ორგანიზების ჩიროში.

მოდით ვისაუბროთ კონკრეტულ მაგალითზე

არის შეკითხვა სასამართლო განხილვის შესახებ, გამოიკითხეთ პერსონალური მონაცემების დაცვა, ოშადბანკის დარღვევები ჩერნიაში 2008 რუბლი. გემის განხილვის არსი შეტევაზე შემცირდა. მოქალაქესა და ბანკს შორის დაიდო თავდებობის ხელშეკრულება, როგორც ჩანს, მანამ, სანამ მოქალაქე არ დათანხმდა ბანკში გამოცხადების ვალდებულებას სასესხო ხელშეკრულებაზე პასუხისმგებლობის დარღვევისთვის. საკრედიტო ხელშეკრულების დებულებების შეუსრულებლობის გამო, ინფორმაცია თავდებლის, როგორც არასანდო კლიენტის შესახებ, შევიდა Stop List ბანკის ავტომატიზირებულ საინფორმაციო სისტემაში, რაც, თავის მხრივ, გახდა თქვენთვის გაცემული სესხის გამოყენების საფუძველი. ამ შემთხვევაში ბანკმა მოქალაქეს ვერ აცნობა სასესხო ხელშეკრულების ძირითადი მოვალეობის არაჯეროვნად შესრულების შესახებ. გარდა ამისა, თავდებობის ხელშეკრულებაში არ იყო გათვალისწინებული, რომ ბანკს უფლება აქვს შეიყვანოს გარანტიის შესახებ ინფორმაცია საინფორმაციო სისტემაში „Stop List“, თუ მისი მოთხოვნების მფლობელი უკანონოა. ამ გზით ბანკი ამუშავებდა მოქალაქის პერსონალურ მონაცემებს ახალი Stop List საინფორმაციო სისტემის შესახებ ინფორმაციის უმიზეზოდ ჩართვით, რაც არღვევს ხელოვნების 1 ნაწილის უფლებამოსილებებს. 2006 წლის 27 ივნისის No152-FZ ფედერალური კანონის 9 „პერსონალური მონაცემების შესახებ“, რომლითაც პერსონალური მონაცემების სუბიექტი იღებს გადაწყვეტილებას თავისი პერსონალური მონაცემების მიწოდების შესახებ და აძლევს ნებართვას მათი დამუშავების საკუთარი ნებით და ინტერესებიდან გამომდინარე. ყირიმი, თანმიმდევრობით, გადაეცა ხელოვნების 1 ნაწილს. ამ კანონის მე-14 მუხლით, გიგანტი მივიდა ბანკში, რათა მას საშუალება მისცეს გაეცნოს Stop List-ის საინფორმაციო სისტემაში მის შესახებ დაფიქსირებულ ინფორმაციას, ასევე დაბლოკოს ეს ჩანაწერები და მათი ამოწურვა. ბანკში კმაყოფილმა მოქალაქემ დაარწმუნა.

განხილვის შედეგები განიხილა ვლადივოსტოკის ლენინსკის რაიონულმა სასამართლომ, დააკმაყოფილა პრიმორსკის ტერიტორიის როსკომნაგლიადის ადმინისტრაციის ზარები რუსეთის ოშადბანკში მოქალაქის უფლებების დარღვევის დაცვის შესახებ და ბანკის მოთხოვნის შესახებ ინფორმაციის მოპოვება. მოქალაქის შესახებ ინფორმაციის ї „Stop list“ სისტემით.

რატომ უნდა ვაჩვენოთ ეს კონდახი? ბანკები, რომლებიც ინახავენ თავიანთი კლიენტების მნიშვნელოვანი რაოდენობის პერსონალურ მონაცემებს, არ ცდილობენ მათ ერთი მონაცემთა ბაზიდან მეორეში გადატანას და ყველაზე ხშირად არ აწვდიან ინფორმაციას პერსონალური მონაცემების საგანზე, როგორც ჩანს, უკვე არ ახორციელებენ მათ შესახებ, ვისაც სარგებლობა წაართმევს. ასეთი რამ მისგან პირადი მონაცემებიდან. რა თქმა უნდა, საბანკო საქმიანობას აქვს მრავალი მახასიათებელი და ხშირად კლიენტების პერსონალური მონაცემები გროვდება არა მხოლოდ ბანკის ხელშეკრულებების დადასტურების მიზნით, არამედ ბანკის მიერ კლიენტის ვალდებულებებზე ეფექტური კონტროლისთვის და ასევე ეს ნიშნავს, რომ არ აქვს მნიშვნელობა როგორ ხდება პერსონალური მონაცემების მანიპულირება, მათი სუბიექტის საჭირო ჯანმრთელობა.

სირთულე ბნელ სიტუაციაში

რატომ არ განახორციელებთ რაიმე ტრანზაქციას პერსონალური მონაცემების გამოყენებით, რომლებიც ლეგალურია? სიგიჟეა, ვისთვისაც ყველაფერზე მეტად საჭიროა მესამე მხარის ფალსიფიკატორების მოპოვება, რის გამოც დიდი ბანკების იურიდიული განყოფილებების იურისტები არიან პირველი კლასის პროფესიონალები და ამ სფეროში მუშაობის სპეციფიკის გამო. პერსონალური მონაცემები, მათ პრაქტიკულად ნულიდან უნდა ისწავლონ. ასე რომ, საუკეთესო გამოსავალია მუშაობა პერსონალური მონაცემების დაცვის სისტემის ორგანიზებისგან იმ კომპანიებისგან, რომლებიც სპეციალიზირებულნი არიან სერვისების მიწოდებაში, პერსონალური მონაცემებიდან სამუშაოს ორგანიზებაში, მათ შორის, ვინც ატარებს კანონმდებლთან არატექნიკური დაცვის ჩანაწერის შესაბამისობის აუდიტს. .

ანალიტიკური კვლევის შედეგები საშუალებას გვაძლევს მივიღოთ ინფორმაცია მათ შესახებ, რომლებიც უდიდეს სირთულეებს ქმნიან ფედერალური კანონის No152-FZ „პერსონალური მონაცემების შესახებ“ დებულებების შესაბამისად.

ამ მარეგულირებელი დოკუმენტის 22-ე მუხლის პირველი ნაწილის გათვალისწინებით, მოთხოვნის ოპერატორმა უნდა აცნობოს პერსონალური მონაცემების დამუშავების შესაბამის ორგანოს. დამნაშავეთა შორის არის უბედური შემთხვევა, თუ პერსონალური მონაცემების დამუშავება ჩამოერთვა დადგენილ კონტრაქტთან კავშირს, რომლის მხარეც არის პერსონალური მონაცემების საგანი... და ექვემდებარება ოპერატორის დარღვევას, მათ შორის ხელშეკრულების იდენტიფიკაცია, რომელიც მინიჭებული აქვს 22-ე მუხლის მე-2 ნაწილის მე-2 პუნქტის ქვეპუნქტს, ფედერალური კანონის No152 -FZ „პერსონალური მონაცემების შესახებ. სწორედ ამ სიტუაციაში მოქმედი ბანკები არ აწვდიან ინფორმაციას პერსონალური მონაცემების დამუშავების შესახებ. და მათი უმეტესობა არ სცემს პატივს საკუთარ თავს, როგორც ოპერატორებს, რაც ფუნდამენტურად არასწორია.

ასევე, კიდევ ერთი გაფართოება გავრცელდა ბანკებზე, როგორც პერსონალური მონაცემების ოპერატორებზე, რომელიც დაკავშირებულია ხელშეკრულებასთან და ელოდება. მიწოდება სადგურზე. 6, კანონის თანახმად, პერსონალური მონაცემების დამუშავება ოპერატორმა შეიძლება განახორციელოს პერსონალური მონაცემების სუბიექტების წლის განმავლობაში, ასეთი დამუშავების შედეგების გამო, შეთანხმების მეთოდით, რომლის ერთ-ერთი მხარეა მათი პირადი მონაცემების საგანი. ამიტომ ბევრი საბანკო რეგულაცია პერსონალური მონაცემების საგნის არსებობას სწორედ ასეთი შეთანხმების ფაქტით ხსნის.

ოღონდ დავფიქრდეთ, რატომ არ უნდა წაართვას ბანკმა, როგორც ოპერატორმა, სუბიექტს პერსონალური მონაცემები ხელშეკრულების დადების მომენტში, მაგალითად, ახალი სერვისების შესახებ შეტყობინებების გასაგზავნად, „გაჩერების სიების“ შესანახად. ”? ამასთან, პერსონალური მონაცემების დამუშავება ხორციელდება ხელშეკრულების დასრულების მიზნით და სხვა მიზნებისთვის, რომლებიც წარმოადგენს ბანკების კომერციულ ინტერესს და ასევე:

• ბანკები ვალდებულნი არიან წარუდგინონ შეტყობინება პერსონალური მონაცემების დამუშავების შესახებ უფლებამოსილ ორგანოს;
• ბანკები პასუხისმგებელნი არიან პერსონალური მონაცემების დამუშავებაზე მხოლოდ სუბიექტის სასარგებლოდ.

ეს ნიშნავს, რომ ბანკებს შეუძლიათ მოაწყონ რობოტული სისტემა თავიანთი კლიენტების პერსონალური მონაცემებით, რათა უზრუნველყონ ასეთი მონაცემების არატექნიკური დაცვა.

საგრანტო წერილი პირადი ხარკის დამუშავებისთვის

ამიტომ, თუ პერსონალური მონაცემების სუბიექტს მოეთხოვება პერსონალური მონაცემების დამუშავება, მაშინ ფედერალური კანონი No152-FZ „პერსონალური მონაცემების შესახებ“ ოპერატორებს ავალდებულებს შეზღუდონ წერილობითი თანხმობა პერსონალური მონაცემების დამუშავებაზე, გარდა კანონით გათვალისწინებული შემთხვევებისა. ამავდროულად, ხელოვნების მე-3 ნაწილამდე. სუბიექტის პერსონალური მონაცემების დამუშავებიდან ამოღების უზრუნველსაყოფად 9 ვალდებულება ეკისრება ოპერატორს. ასე რომ, საჭიროების შემთხვევაში, არ დაკარგოთ საათი ასეთი მტკიცებულებების შეგროვებაში (მაგალითად, მტკიცებულებების ძიებაში), ჩვენი აზრით, უკეთესი იქნება საგნები წერილობითი ფორმიდან გამოვყოთ.

პერსონალური მონაცემების დამუშავების წერილობითი ფორმის კიდევ ერთი არგუმენტი წარმოვადგინოთ. ყველაზე ხშირად, ბანკების საქმიანობა გულისხმობს მონაცემთა (პერსონალური მონაცემების) გადაცემას უცხო სახელმწიფოს ტერიტორიაზე. მე-3 დისკი, ნაწილი 1, ხელოვნება. 152-FZ ფედერალური კანონის 12 „პერსონალური მონაცემების შესახებ“ ნათქვამია, რომ პერსონალური მონაცემების ტრანსკორდონის გადაცემის დაწყებამდე პრეტენზიების ოპერატორი დაუკავშირდება უცხოურ ძალას, რომლის ტერიტორიაზეც ხდება პერსონალური მონაცემების გადაცემა. , პირადი სუბიექტების უფლებების ადეკვატური დაცვა ხარკით თუ ასეთი დაცვა შეუძლებელია, პერსონალური მონაცემების ტრანსკორდონით გადაცემა შესაძლებელია მხოლოდ პერსონალური მონაცემების სუბიექტის წერილობითი თანხმობის შემდეგ. შეიძლება ვივარაუდოთ, რომ უცხოურ ბანკებს გაუადვილდებათ უარი ეთქვათ კლიენტის წერილობით მოთხოვნაზე პერსონალური მონაცემების დამუშავებაზე, ვიდრე მათი დაცვის ადეკვატურობის დადგენა უცხო სახელმწიფოში.

ჩვენ ვუბრუნებთ თქვენს პატივისცემას იმ ფაქტს, რომ ინფორმაცია, რომელიც შეიძლება წერილობითი იყოს ამ წლიდან, ხელახლა დალაგებულია ხელოვნების მე-4 ნაწილში. 9 ცნობილი ფედერალური კანონი და ეს განსხვავება მნიშვნელოვანია. და ხელმოწერა ფრაზის ქვეშ, მაგალითად, სესხის ხელშეკრულებაში: „მე უფლებამოსილი ვარ აღვადგინო ჩემი პერსონალური მონაცემები“, ფედერალური კანონის No152-FZ „პერსონალური მონაცემების შესახებ“ შესაბამისად, და არ არსებობს მათი დამუშავების უფლება!

როგორც ჩანს, კანონში მხოლოდ რამდენიმე პუნქტია და რამდენი გართულება, გემის გამოძახებამდე, შეიძლება არასწორად დასახელდეს. დღემდე, როდესაც სუბიექტების პერსონალური მონაცემები ხშირად ხდება საქონელი სხვადასხვა სტრუქტურების კონკურენტულ ბრძოლაში, მათი დაცვის წარმატებული მიწოდება, საბანკო და საკრედიტო ინსტიტუტების საინფორმაციო სისტემების უსაფრთხოება ხდება დაზოგვის საწინდარი მარადიული რეპუტაცია, პატიოსნად, ნებისმიერი. ორგანიზაცია.

ყოველდღიურად ადამიანები უფრო მეტად აცნობიერებენ მათი პერსონალური მონაცემების აღმოჩენის შესაძლო უარყოფით შედეგებს, რაც იწვევს პროფილის მონაცემების გაჩენას. შეისწავლეთ და შეისწავლეთ სხვადასხვა კომპანიების საინფორმაციო რესურსები. ზოგიერთი მათგანი ზოგადად ხაზს უსვამს თემების მთელ ფართო სპექტრს, რომლებიც დაკავშირებულია „ინფორმაციული უსაფრთხოების“ ცნებებთან, ზოგი კი ეძღვნება ტექნიკური უსაფრთხოების პროგრესისა და მახასიათებლების შესწავლას, თუმცა, ისინი საუბრობენ იმ პრობლემებზე, რომლებიც დაკავშირებულია არატექნიკური მცველი. სხვა სიტყვებით რომ ვთქვათ, პერსონალური მონაცემების დაცვის შესახებ ინფორმაცია უფრო ხელმისაწვდომი გახდება, რაც იმას ნიშნავს, რომ მოქალაქეები უფრო მეტად იცოდნენ თავიანთი უფლებების დაცვის შესახებ.

პერსონალური მონაცემების უსაფრთხოება ბანკში

რა არის ეს განსაკუთრებული ხარკი?

ფედერალური კანონის თანახმად, პერსონალური მონაცემები არის ნებისმიერი ინფორმაცია, რომელიც ეცნობება პირს ან მითითებულია ფიზიკური პირის (პერსონალური მონაცემების საგანი) ასეთი ინფორმაციის საფუძველზე, მათ შორის, მისი მეტსახელი, სახელი, მამის, რიკის, თვის მიხედვით. , დაბადების თარიღი და ადგილი, მისამართები, ოჯახი, სოციალური, ქალაქი, განათლება, პროფესია, შემოსავალი, სხვა ინფორმაცია.

სად არის პერსონალური მონაცემები?

პერსონალური მონაცემები (PDN) ბანკიდან ხელმისაწვდომია შემდეგ სისტემებში:

ავტომატური საბანკო სისტემა (ABS);

კლიენტ-ბანკის სისტემები;

პენის გადაცემის სისტემები;

სააღრიცხვო სისტემები;

HR სისტემები;

კორპორატიული საინფორმაციო სისტემა;

შიდა ვებ პორტალი.

PDN შეიძლება წარმოდგენილი იყოს ქაღალდის დოკუმენტებზე (შეთანხმებები, ფორმები, ინსტრუქციები, ინსტრუქციები, კითხვარები და ა.შ.).

რა დოკუმენტები შეიძლება დამონტაჟდეს პერსონალური მონაცემების დასაცავად?

ფედერალური კანონები

2006 წლის 27 ივნისის ფედერალური კანონი No149-FZ „ინფორმაციის, საინფორმაციო ტექნოლოგიებისა და ინფორმაციის დაცვის შესახებ“;

გადაწყვიტე შეკვეთა

რუსეთის ფედერაციის 2007 წლის 17 ნოემბრის №781 ბრძანების დადგენილება „პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების შესახებ დებულებების დადასტურების შესახებ“;

რუსეთის ფედერაციის 2007 წლის 29 აპრილის №957 ბრძანების დადგენილება „დაშიფვრის (კრიპტოგრაფიული) მეთოდებთან დაკავშირებული საქმიანობის გარკვეული სახეობების ლიცენზირების დამტკიცების შესახებ“;

რუსეთის ფედერაციის 2008 წლის 15 ივნისის №687 ბრძანების დადგენილება „პერსონალური მონაცემების დამუშავების სპეციფიკის შესახებ დებულებების დადასტურების შესახებ, რომელიც მუშაობს ავტომატიზაციის მეთოდების გამოყენების გარეშე“.

რუსეთის FSTEC

რუსეთის FSTEC, რუსეთის FSB და რუსეთის კომუნიკაციების სამინისტროს საბოლოო ბრძანება 2008 წლის 13 თებერვლით. No55/86/20 „პერსონალური მონაცემების საინფორმაციო სისტემების კლასიფიკაციის პროცედურის დამტკიცების შესახებ“;

რუსეთის FSTEC-ის ძირითადი დოკუმენტი „პერსონალური მონაცემების უსაფრთხოების საფრთხის ძირითადი მოდელი საინფორმაციო სისტემებში პერსონალური მონაცემების დამუშავებისას“;

რუსეთის FSTEC-ის ძირითადი დოკუმენტი „პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებისას პერსონალური მონაცემების უსაფრთხოებისთვის არსებული საფრთხეების იდენტიფიცირების მეთოდოლოგია“;

რუსეთის FSTEC-ის ბრძანება 2010 წლის 5 თებერვლით. No58 „პერსონალურ ინფორმაციაში ინფორმაციის მეთოდებისა და დაცვის შესახებ დებულების დამტკიცების შესახებ“.

რუსეთის FSB

FAPSI-ის ბრძანება, დათარიღებული 2001 წლის 13 ივნისით No152 „არხებით შენახვის, დამუშავებისა და გადაცემის ორგანიზაციისა და უსაფრთხოების შესახებ ინსტრუქციების დამტკიცების შესახებ ინფორმაციის კრიპტოგრაფიული დაცვის სხვადასხვა მახასიათებლებთან დაკავშირებით საერთო წვდომით, რათა არ ჩაერიოს ინფორმაციაში, რა უნდა დადგინდეს სუვერენული ციხე“;

რუსეთის ფედერაციის FSB 2005 წლის 9 თებერვლის ბრძანება. No66 „ინფორმაციის დაცვის დაშიფვრის (კრიპტოგრაფიული) მახასიათებლების შემუშავების, შემუშავების, დანერგვისა და ექსპლუატაციის შესახებ დებულების დამტკიცების შესახებ (ფორმირება PKZ-2005)“;

რუსეთის FSB-ის ოფიციალური დოკუმენტი 2008 წლის 21 თებერვლით. No149/54-144 „მეთოდოლოგიური რეკომენდაციები პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად კრიპტოგრაფიული მეთოდებით მათი დამუშავებისას პერსონალურ მონაცემთა საინფორმაციო სისტემებში სხვადასხვა ავტომატიზაციის მეთოდების გამოყენებით“;

რუსეთის FSB-ის ოფიციალური დოკუმენტი 2008 წლის 21 თებერვლით. No149/6/6-622 „ინფორმაციის დასაცავად განკუთვნილი დაშიფვრის (კრიპტოგრაფიული) ფუნქციების ორგანიზებისა და ფუნქციონირების უზრუნველსაყოფად ტიპიური მეთოდები, რათა არ მოხდეს ჩანაწერების გადაადგილება სახელმწიფო საიდუმლო ადგილად, ამავე დროს. დრო ეს არის გზამკვლევი თქვენი პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებისას“;

რუსეთის სტანდარტული ბანკი

STO BR IBBS-1.0-2010 რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. ზაგალნის თანამდებობა“;

STO BR IBBS-1.1-2007 რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. ინფორმაციული უსაფრთხოების აუდიტი“;

STO BR IBBS-1.2-2010 „რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის მიერ ინფორმაციული უსაფრთხოების სანდოობის შეფასების მეთოდოლოგია STO BR IBBS-1.0-20xx“;

RS BR IBBS-2.0-2007 „რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. ინფორმაციული უსაფრთხოების სფეროში დოკუმენტაციის მეთოდოლოგიური რეკომენდაციები შეესაბამება STO BR IBBS-1.0"-ის შესაძლებლობებს;

RS BR IBBS-2.1-2007 „რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. სახელმძღვანელო ინფორმაციული უსაფრთხოების სანდოობის თვითშეფასების შესახებ რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციაში STO BR IBBS-1.0“ შესაძლებლობების გამოყენებით;

RS BR IBBS-2.3-2010 „რუსეთის ფედერაციის საბანკო სისტემის IB ორგანიზაციის უსაფრთხოება. როგორ უზრუნველვყოთ პერსონალური მონაცემების უსაფრთხოება რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის პერსონალური მონაცემების საინფორმაციო სისტემებში";

RS BR IBBS-2.4-2010 „რუსეთის ფედერაციის საბანკო სისტემის IB ორგანიზაციის უსაფრთხოება. რუსეთის ფედერაციის საბანკო სისტემის ბანკების ორგანიზაციის PD-ს საინფორმაციო სისტემებში პერსონალური მონაცემების უსაფრთხოების საფრთხის შესახებ გალუზევის პირადი მოდელი.

მეთოდური რეკომენდაციები იმის უზრუნველსაყოფად, რომ კანონმდებლებს შეეძლოთ პერსონალური მონაცემების დამუშავება RF BS ორგანიზაციებში, რომლებიც იყოფა ერთ ნაწილად რუსეთის ბანკის, ARB და რუსეთის რეგიონალური ბანკების ასოციაციის მიერ (ასოციაცია "Ros Iya").

როგორ დავიცვათ პირადი მონაცემები?

ექვემდებარება PDN-ის დაცვის ყველა შესაძლო მეთოდოლოგიურ დოკუმენტს, რომელიც აუცილებელია ყველა ტიპის ISPDN-ისთვის, მათ შორის შემდეგი ქვესისტემებისთვის:

წვდომის კონტროლის ქვესისტემა;

აღრიცხვისა და შენახვის ქვესისტემა;

მთლიანობის უზრუნველყოფის ქვესისტემა;

სასაზღვრო უსაფრთხოების ქვესისტემა.

თუ ISPD დაკავშირებულია ინტერნეტთან, აუცილებელია შემდეგი ქვესისტემების ადეკვატური მონიტორინგი:

ანტივირუსული უსაფრთხოების ქვესისტემა;

შეჭრის აღმოჩენის ქვესისტემა;

უსაფრთხოების ანალიზის ქვესისტემა.

ასევე აუცილებელია ელექტრონული საკეტების ან/და ელექტრონული გასაღებების გამოყენება დამჭერების საიმედო იდენტიფიკაციისა და ავთენტიფიკაციისთვის.

ვინაიდან ISPD ნაწილდება დამატებით გზაზე არაავტორიზებული წვდომის თავიდან ასაცილებლად, საიდუმლო ხელმისაწვდომობისგან დაცული ინფორმაციის განცალკევების მიზნით, აუცილებელია კრიპტოგრაფიის ვიკორიზაცია, როდესაც გადასცემს პერსონალურ მონაცემებს დაუცველ არხებზე, ისევე როგორც EDS, დასადასტურებლად. მონაცემების სისწორე.

ასეთი დაყოფა ქვესისტემებად და მათ საფუძველზე ჩამოსხმა, პროდუქტების გადატანა PDN-ის დასაცავად ინჰალირებულია და გამოიყენება უმეტეს შემთხვევაში.

რატომ არის საჭირო კონკრეტული მონაცემების დაცვა?

თუ მონაცემები დაცულია PDN-ის კონფიდენციალურობისაგან, აუცილებელია შეიტანოთ და/ან გამოიყენოთ ტექნიკური მახასიათებლები, რომლებიც მიმართულია არაავტორიზებული წვდომის თავიდან ასაცილებლად, მაშინ ასეთი ISPD ხდება სტანდარტი.

გარდა ამისა, შესაძლებელია ინფორმაციული უსაფრთხოების სხვა ორგანოების უზრუნველყოფა, როგორიცაა მთლიანობის, ხელმისაწვდომობის უზრუნველყოფა, ასევე მსგავსი (უხილავობა, კონფიდენციალობა, ადეკვატურობა და ა.შ.) ეს მართალია), მაშინ ასეთი ISPD ხდება განსაკუთრებული. უმეტეს შემთხვევაში, ISPD იქნება სპეციალური, ასე რომ, გარდა PDN კლასებისა, დაცვის მექანიზმების განსაზღვრის მიზნით, აუცილებელია საფრთხის ამ მოდელის გადაწყვეტის შექმნა.

იაკ ზმენშიტი კლასი PDN?

იმისათვის, რომ შეცვალოთ და აპატიოთ, გადადით PDN-ის დაცვაზე, ბანკები ხრიკების წყალობაზე არიან. ქვემოთ ჩამოვთვლი ტიპურ მეთოდებს, რომლებიც საშუალებას გაძლევთ შეცვალოთ დაცვის მახასიათებლების მრავალფეროვნება. თავისთავად დაიცავით ბანკის საინფორმაციო სისტემების „გადახაზვა“ რთულ და შრომატევად ამოცანებს.

მაიდანების რაოდენობის ცვლილება

როგორც აჩვენა, რომ ISPD იყოფა, მაშინ ბოლომდე შეიცვლება შესაძლებლობები, მათი შესაცვლელად აუცილებელია ISPD-ის დანაყოფების აღმოფხვრა.

ISPD-ის განაწილებისას, PDN განლაგებულია სხვადასხვა პლატფორმაზე, PDN გადაიცემა ბანკის მიერ არ კონტროლირებული საკომუნიკაციო არხებით და ფარული გზით, ეს ნიშნავს, რომ PDN ტოვებს ან ართმევს კონტროლირებად ზონას. შემდეგ, უპირველეს ყოვლისა, აუცილებელია PDN-ის ლოკალიზაცია, მაიდანების რაოდენობის შეცვლით, რომლებიც სუნი იქნება. ზოგიერთ შემთხვევაში, ეს ნამდვილად არ არის შესაძლებელი, მაგრამ თუ თქვენ ხედავთ ABS, მაშინ არ იქნება ასეთი ტევადობა, რაც უკეთესია ყველაფრისთვის.

სერვერების რაოდენობის შეცვლა

ვინაიდან ISPD არის ლოკალური და მოქმედებს ბანკის ადგილობრივ საზღვრებში, დახარჯული თანხის შეცვლის ყველაზე მარტივი გზა არის სერვერის აღჭურვილობის რაოდენობის შეცვლა, რომელზედაც გაიცემა PDN.

ავტომატური სამუშაო სადგურების და პერსონალის რაოდენობის ცვლილება

ნებისმიერი ტიპის ISPD-ისთვის (ავტომატური სამუშაო ადგილის სახით, ლოკალური, განაწილებული) PDN-ის ბოლომდე დამუშავება ჩვეულებრივ ხორციელდება ბანკის პერსონალის მიერ. თუ არ იყენებთ ტერმინალის წვდომას, რაზეც ქვემოთ იქნება განხილული, ამან შეიძლება შეიცვალოს ბანკის პერსონალის რაოდენობა, რომლებიც ამუშავებენ პერსონალურ მონაცემებს ან აქვთ მათზე წვდომა.

Podil ІС MSE-ს დახმარებისთვის

PDN-ის რაოდენობის შესაცვლელად და შესაბამისად დაცვის ფუნქციების ხარისხის შესაცვლელად, საუკეთესო გზაა ინფორმაციის დაყოფა სეგმენტებად, რომლებშიც მუშავდება PDN. ამ მიზნით აუცილებელია მარგინალური ეკრანების დაყენება და ვიკორიზაცია და PDN-დან სეგმენტების დამატება ნებისმიერი კვალის პორტებში. ხშირად, ყველა სერვერი განლაგებულია დემილიტარიზებულ ზონაში, ან უკანონოდ მისაწვდომი და საბანკო ზონების გაძლიერებულ სეგმენტებში სასაზღვრო ეკრანებს შორის. ეს მეთოდი ასევე ხელს უწყობს ინფორმაციის საზღვრების თანდაყოლილ „გადახურვას“. მეთოდი ეფუძნება ეგრეთ წოდებულ „ხაზოვან დაშიფვრას“, ისე, რომ კლიენტი-კლიენტი, კლიენტ-სერვერი, სერვერ-სერვერი დაშიფრული არხია. ურთიერთდაკავშირებული ტრაფიკის ასეთი დაშიფვრა შეიძლება განხორციელდეს უსაფრთხოების სპეციალური ფუნქციების ან სტანდარტული IPSec ტექნოლოგიის გამოყენებით, თუმცა, ის არ არის დამოწმებული რუსეთის FSB-ს მიერ, რაც არსებითად მინუსია.

ISPD-ის გამოყენების კიდევ ერთი გზა მთელი ქსელის მასშტაბით შეიძლება იყოს ვირტუალური ქსელების ტექნოლოგია - VLAN, ფაქტობრივად, VLAN არის მხოლოდ იდენტიფიკატორი ქსელის პაკეტის ერთ-ერთ ველში, რომელიც საშუალებას გვაძლევს ვისაუბროთ ამ ტექნოლოგიაზე როგორც ” საინფორმაციო ტექნოლოგია". ამიტომ მეორადი VLAN-ის დაყოფა არ იწვევს ინფორმაციულ უსაფრთხოებას თანამედროვე ტექნოლოგიების გამოყენების გამო.

მონაცემთა ბაზები დაყავით ნაწილებად

დავუშვათ, რომ არსებობს მონაცემთა ბაზა, რომელიც შედგება ათასობით ჩანაწერისგან: P.I.B. რომ თანხის შესატანად.

ჩვენ ვქმნით ორ სხვა მონაცემთა ბაზას. შეიყვანეთ თქვენი დამატებითი უნიკალური იდენტიფიკატორი. ცხრილი გავყოთ ორ ნაწილად, პირველში განვათავსებთ ველებს P.I.B და იდენტიფიკატორი, მეორეში განვათავსებთ იდენტიფიკატორს და დეპოზიტის თანხას.

ამრიგად, ვინაიდან უცხო ქვეყნის მოქალაქეს შეუძლია შექმნას მხოლოდ ერთი ახალი მონაცემთა ბაზა, PDN დაცვა სრულიად დავიწყებული იქნება, რადგან ის აღარ შეიქმნება. ცხადია, ასეთი მონაცემთა ბაზის ღირებულება არსებითად დაბალია და ნაკლებად ხელმისაწვდომი. შეურაცხმყოფელი მონაცემთა ბაზები გადაიცემა ყველაზე უსაფრთხო სერვერზე. სინამდვილეში, მონაცემთა ბაზაში გაცილებით მეტი ველია, ამიტომ ეს პრინციპი შეიძლება გამოყენებულ იქნას პრაქტიკულად კანის დაზიანებებზე, რადგან უსაფრთხოების თვალსაზრისით მნიშვნელოვანი ველების რაოდენობა არც ისე დიდია, არამედ უფრო ვიწროა. საზღვარზე შეგიძლიათ შეინახოთ ძირითადი ტიპები თქვენს კომპიუტერში, ასე რომ არ დაგჭირდეთ ადგილობრივ ქსელში შესვლა ან ავტომატური დამუშავების თავიდან აცილება.

ცალკე PDN

152-FZ დებულებების გათვალისწინებით, პერსონალური მონაცემების იზოლაცია არის მათთვის, რომლებშიც შეუძლებელია პერსონალური მონაცემების მიკუთვნების დადგენა კონკრეტული პერსონალური მონაცემების სუბიექტისთვის. აქედან გამომდინარეობს მეთოდების სერია, რომელთა გარდა შესაძლებელია პერსონალური მონაცემების ამოღება, რომლის გამოყენებაც შეუძლებელია პერსონალურ მონაცემებზე საკუთრების დასადგენად. მაგალითად, რადგან დამუშავების მიზნებისთვის სუნიანი ველების ზუსტი მონაცემები არ არის მნიშვნელოვანი, ისინი შეიძლება არ იყოს ნაჩვენები ან გამოჩნდეს მხოლოდ იმ დიაპაზონში, სადაც სუნი მოიხმარება. მაგალითად, 20-30 საუკუნე, 30-40 და ა.შ. მისამართი შეიძლება "დამრგვალდეს" რაიონში, ოკრუგში ან ქალაქზე: ცარიცინო, პივდენი, მოსკოვი. რა თქმა უნდა, PDN-ის დეიზოლირების პროცესი შეიძლება იყოს შეთანხმებული ან დაუსაბუთებელი. გარდაუვალია, არსებობს "დამრგვალების" უფრო მეტი მეთოდი და პირიქით, მაგალითად, დაშიფვრა. ჩემი აზრით, დაშიფვრა (დაშიფვრა) შეიძლება იყოს მონაცემთა გამიჯვნის საშუალება და შეიძლება გამოყენებულ იქნას ამ მიზნებისთვის.

თხელი კლიენტები და ტერმინალის წვდომა

სერვერებზე თხელი კლიენტის ტექნოლოგიისა და ტერმინალის წვდომის მსგავსი ტექნოლოგიის გამოყენება შესაძლებელს ხდის მნიშვნელოვნად შეამციროს მონაცემთა დაკარგვის რისკი. მარჯვნივ, „თხელი“ კლიენტების გამოყენებით და ბანკის მომხმარებლების კომპიუტერებზე ტერმინალის წვდომით, ბანკს არ სჭირდება სპეციალიზებული პროგრამული უზრუნველყოფის დაყენება, როგორიცაა მონაცემთა ბაზის კლიენტის ნაწილები, ABS კლიენტის ნაწილები და ა.შ. გარდა ამისა, ბანკს არ სჭირდება სპეციალური უსაფრთხოების მახასიათებლების დაყენება ბანკის თანამშრომლების კომპიუტერებზე. ეს ტექნოლოგიები საშუალებას გაძლევთ აჩვენოთ თქვენს დესკტოპზე ინფორმაცია სერვერებზე შენახული მონაცემთა ბაზებიდან და მართოთ პერსონალური მონაცემების დამუშავება. ეს ტექნოლოგიები აპრიორი უსაფრთხოა, რადგან ტერმინალის პოლიტიკა ადვილად ზღუდავს ტერმინალის კლიენტების (ბანკის პერსონალის) შესაძლებლობებს კოპირება და შემდგომში გაფართოების PDN. საკომუნიკაციო არხი სერვერებსა და კომპიუტერებს შორის "თხელ კლიენტთან" ადვილად შეიძლება იყოს დაშიფრული, ასე რომ, მარტივი გზებით შეგიძლიათ უზრუნველყოთ გადაცემული მონაცემების კონფიდენციალურობა.

მონაცემთა პოტენციური ნაკადების სითხე ერთმანეთთან არის დაკავშირებული მხოლოდ ვიზუალური არხით, რაც მიუთითებს კამერის ან ვიდეოკამერის სითხეში, მაგრამ სპეციალური ორგანიზაციული ნაბიჯების დანერგვით, ასეთი კოპირება კიდევ უფრო მნიშვნელოვანი ხდება.

როგორ შეგიძლიათ მოიპაროთ სპეციალური ხარკი?

უსაფრთხოების განცდა არაავტორიზებული წვდომისგან მოიცავს ორგანიზაციული და ტექნიკური ნაბიჯების კომპლექსს. ეს შესვლა ექვემდებარება გონივრულ მექანიზმებს სხვადასხვა დონეზე არაავტორიზებული წვდომის თავიდან ასაცილებლად:

იდენტიფიკაცია და ავთენტიფიკაცია (ასევე ორფაქტორიანი ან მკაცრი). ეს შეიძლება იყოს (ოპერაციული სისტემა, ინფრასტრუქტურის პროგრამული უზრუნველყოფა, აპლიკაციის პროგრამული უზრუნველყოფა, აპარატურა, მაგალითად, ელექტრონული გასაღებები);

რეგისტრაცია და გამოჩენა. ეს შეიძლება განხორციელდეს ყველა ზედაზღვევის სისტემაში, პროგრამულ უზრუნველყოფასა და პროცესებში ლოგინგით (ლოგირება, პროტოკოლი);

მთლიანობის უზრუნველყოფა. ეს შეიძლება მოიცავდეს კონტროლირებადი ფაილების საკონტროლო თანხების დაცვას, პროგრამული უზრუნველყოფის კომპონენტების მთლიანობის უზრუნველყოფას, დახურული პროგრამული გარემოს დაცვას და ასევე სანდო OS-ის უსაფრთხოების უზრუნველყოფას;

შუალედური ეკრანი, როგორც კარიბჭის ეკრანი, და ადგილობრივი;

ანტივირუსული უსაფრთხოება (შედგება თავდაცვის სამ დონემდე, ეშელონური დონის ან მრავალპროვაიდერის მიდგომისგან);

კრიპტოგრაფია (ფუნქციურად ფუნქციონირებს OSI მოდელის სხვადასხვა დონეზე (ინტერფეისი, ტრანსპორტი და ა.შ.) და უზრუნველყოფს სხვადასხვა ფუნქციონალურობას).

არსებობს მთელი რიგი კომპლექსური პროდუქტები, რომლებიც შეიძლება ექვემდებარებოდეს ბოდიშს NSD ფუნქციონირებისთვის. ყველა მათგანი დიფერენცირებულია სტაგნაციის ტიპების, საკუთრების მხარდაჭერის, პროგრამული უზრუნველყოფის და განხორციელების ტოპოლოგიის მიხედვით.

როდესაც იყოფა ან დაკავშირებულია ინტერნეტის მასშტაბით (ინტერნეტი, როსტელეკომი და ა.შ.) ISPD, უსაფრთხოების ანალიზის პროდუქტები (MaxPatrol Positive Technologies-დან, რომელსაც არ ჰყავს პირდაპირი კონკურენტები რუსეთის ფედერაციაში), ასევე დადგინდა, რომ არ არის შემოჭრილი. (IDS/IPS) – როგორც კარიბჭის ტოლი და ბოლო კვანძის ტოლი.

როგორ შემიძლია გადმოვცე სპეციალური ხარკი?

ვინაიდან IPDN განაწილებულია, ეს ნიშნავს, რომ აუცილებელია PDN-ის გადაცემა დაუცველი საკომუნიკაციო არხებით. მეტყველებაზე, დაუცველ არხზე არის „შოკები“. PDn-ის დასაცავად, არხების დამაკავშირებელი გამოყენება შესაძლებელია სხვადასხვა გზით:

საკომუნიკაციო არხის დაშიფვრა. თქვენ შეგიძლიათ დაიცვათ იგი ნებისმიერი გზით, როგორიცაა VPN კარიბჭეებს შორის, VPN სერვერებს შორის, VPN სამუშაო სადგურებს შორის (InfoTecs ViPNet Custom, Informzakhist APKSH Continent და ა.შ.);

MPLS პაკეტის გადართვა. პაკეტების გადაცემა ხორციელდება სხვადასხვა გზით იმ ნიშნების მიხედვით, რომლებიც მინიჭებულია საზღვრებზე. MPLS-Meshzhaza MAH სერთიფიკატის შემდეგ Vidpovly, the Merei Pacific Romatatsiy Koimogami, ინფორმაცია Bezpeki FSTEK ROSICH, SO გატაცებული მორჩილების გარანტი, Scho ძირითადი ძირითადი;

დოკუმენტების დაშიფვრა. მონაცემთა ფაილების, ასევე კონტეინერების ფაილების დაშიფვრისთვის შეიძლება გამოყენებულ იქნას უსაფრთხოების სხვადასხვა პროგრამები (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt და ა.შ.);

არქივების დაშიფვრა. შეიძლება არსებობდეს სხვადასხვა არქივი, რომელიც საშუალებას გაძლევთ დაარქივოთ და დაშიფროთ ფაილები კრიპტოუსაფრთხო ალგორითმების გამოყენებით, როგორიცაა AES. (WinRAR, WinZIP, 7-ZIP და ა.შ.).

გჭირდებათ ჯანმრთელობის დაცვის სერტიფიცირებული სერვისების მიღება?

დღეს რუსეთის FSTEC-ს მხოლოდ ერთი სარგებელი აქვს პერსონალური მონაცემთა დაცვის მახასიათებლების დამოწმებისთვის. თუ არადეკლარირებული შესაძლებლობების მე-4 დონე უჭირს, დანარჩენ საკვებს სამ ქულას ვაძლევ:

უსაფრთხოების სამსახურების სერტიფიცირების სისტემა;

საკმარისია visconati vimogi კანონმდებლობა;

არ არის საჭირო პერსონალური მონაცემების საინფორმაციო სისტემის რეესტრით დამოწმება.

შაურო ევგენი