Konuyla ilgili tez: PJSC “Citibank” işletmesinde kişisel verilerin korunmasına yönelik bir sistemin geliştirilmesi. Müşterilerin kişisel verilerinin korunmasına ilişkin düzenlemeler Bankacılık sektöründe kişisel veriler

Dzhabrail Matiev, kerivnik şirketin ticari kısmındaki kişisel verileri doğrudan koruyorReignVox

Büyük miktarlarda müşteri verileriyle sürekli çalışma, bankanın bu verilerin korunmasıyla her formatta sürekli çalışmasını gerektirir.

Üstelik bilgi güvenliği konusu ve aynı zamanda güven konusu özellikle finans sektörüyle ilgilidir. Ayrıca, bir finans şirketinin bilgi sistemi yapısında yer alan herhangi bir kişisel verinin, kanunun gerektirdiği şekilde çalınması mümkündür - 152 Sayılı "Kişisel Verilere İlişkin" Federal Kanun, cildi kesinlikle açıkça etkiler. Bunu toplayan şirket veriler onu güvence altına almalı Şartlar kesin olarak tanımlanmıştır. Kişisel verileri işleyen hem yeni hem de mevcut bilgi sistemlerinin 1 Haziran 2011 tarihine kadar olan süreler için kanun gereklerine uyması gerekmektedir. Bu kadar katı zaman dilimleri göz önüne alındığında, bu tür bilgileri toplayan kuruluşun yasaya uyması için bir saatten az bir süreden mahrum kalması söz konusudur.

Robotunuzu neden kişisel verilerinizin korunmasından korumanız gerekiyor? Robotlar hangi şartlarda sigortalıdır? İşi kim emanet edecek? Projenin ortalama maliyeti nedir ve maliyetler nasıl en aza indirilir? Tüm bu bilgiler bugün finans sektöründe iş yapan herhangi bir şirket için geçerlidir. Bunlara ilişkin uzman kanıtları, kişisel verilerin finansal kurumlardan korunması alanında ReignVox şirketine büyük kanıtlar sunmamızı sağlar.

Hapsedilme modunda yaşamak

152 Sayılı “Kişisel Verilere İlişkin Federal Kanun”, yasa koyucular tarafından belirlenen sürenin bir yıl ilerisinde, 1 Haziran 2011'den bu yana ivme kazanıyor. Aldatıcı düşmana çok uzun süre teslim olmak iyi değildir.

Öncelikle kişisel verilerin korunması nedeniyle İngiltere'ye yönlendirilen projenin uygulanması karmaşıklığı nedeniyle altı ayı bulabiliyor. Ancak bu rakam arta kalan bir rakam değil. vadeler altı ila sekiz aya kadar uzayabilir Bu süre zarfında projenin geliştirilmesi ve uygulanması için uygun entegratörün seçilmesine ne kadar para harcanacağı. Bu tür kendi kendini sıkan çalışmaların yapılması, bankayı koruma için gerekli olan gözlem ve analiz aşamasındaki objektifliğin kaybı ve bu iş için iş gücü dışında bilgi sahibi olma ihtiyacı ile tehdit etmektedir. Bu durumda fakivtsi'nin kişisel verilerinin korunması konusunda hazırlıkların varlığı, gerekli normatif ve metodolojik güvenlik yükümlülüğü ve kişisel verilerin korunmasına yönelik yeterli kaynak gibi faktörleri hatırlamamız gerekir. Uygulama, tüm bu faydaların kapsamlı bir şekilde üçüncü taraf entegratörlerin kendileri tarafından sağlandığını göstermektedir.

Farklı bir şekilde, veri operatörleri için (ve bankaların bu tür operatörler olduğu, gıdanın artık prensipte olmadığı) "Kişisel Veriler Hakkında" kanunun belirlediği şartlara dönersek, "transferleri" hakkında konuşmasınlar. , Regülatörlerin ilk kontrolleri zaten yapılıyor. Sonuç ise tamamen daha mantıklı: Sorunun önemi aynı kalmakla kalmıyor, katlanarak artıyor ve acil bir ihtiyaç haline geliyor.

“Ve ekran berbat oldu...”

ISPD'nin “Kişisel Veriler Hakkında Kanun” hükümlerine uygun hale getirilmesi görevi ile ilgili olarak geri kalan zamanda aktif tartışmalar devam etmekte ve bunun sonucu esas olarak tek bir şeye varmaktadır: bu görevin çözülmesi. örgütün bütünlüğü, değerli ve hukuki özellikleri nedeniyle daha da sorunludur. Böyle bir sonuç tamamen kesin değil: durgunluk uygulaması, 2010 yılının ilk çeyreğinde (bankacılık sektörü dahil) ortaya çıkan kişisel veri kaybından kaynaklanıyordu ve Vimog, scho'nun ISPDn'ye olan anlayışını ve yorumunu doğruladı. Geriye kalanların minimum taviz riskiyle formüle edilmesi, onaylanması ve belgesel olarak doğrulanması, uygulanmasında o kadar da zor değil, bankacılık işinin güvenliği açısından ne kadar önemli. Görevi, kolaylaştırıcıları projeyi olabildiğince hızlı ve profesyonel bir şekilde tamamlayacak, kişisel verileri korurken bankacılık işinin bireysel özelliklerini de koruyacak bir üçüncü taraf entegratöre devretmek daha da kolay olacaktır.

Bu nedenle ilk görev, projeyi yürütmek için güvenilecek bir entegratör şirketini seçmektir.

"Tipik" = "Özel"?

Bu birbirini dışlayan kavramlar arasında böyle bir sadakat işareti var olma hakkına sahiptir. Bu taahhüt, ReignVox'un kişisel verilerin yokluğunda halihazırda tamamlamış olduğu başarılı projelerin pratik kanıtlarıyla desteklenmektedir.

Bir yandan, böyle bir proje standart sayıda aşama içerir: kişisel veri bilgi sistemlerinin tasarlanması aşaması, kişisel veri koruma sisteminin tasarlanması aşaması, veri koruma sisteminin uygulanması aşaması, verilerin kullanılabilirliğinin değerlendirilmesi aşaması Kanuna uygun olarak kişisel veri bilişim sistemleri ve oluşturulan sisteme yönelik destek aşaması. Ayrıca, ISPD türünün bir aşama olarak değerlendirilmesi bağlayıcı nitelikte değildir ve yerine geçen şirketin takdirine bağlı olarak gerçekleştirilir. Bu sadece oluşturulan sistemi desteklemenin bir aşamasıdır.

Tipiklik, bunları tanımlamanıza ve tanımlamanıza olanak tanıyan ilk aşamada (bilgi sistemleri işleme aşaması) sona erecektir. sistemlere sunulacak faydalar. Ve bu parametreler zaten bireyseldir ve ihtiyaçlarınıza göre optimize edilmiş spesifik cilt kremine odaklanmıştır.

Bu çalışma kapsamında bilgi kaynakları, BT altyapısı ihtiyacına yanıt olarak geliştirilebilecek tipik çözümler, kişisel verilerin bilgi akışları, açık sistemler ve bilgiyi korumaya yönelik yöntemler analiz edilmektedir.

Bu aşamada, PD güvenliğini tehdit eden ve ihlal edenlerin modeli genişletilir, ISDN'de PD güvenliğinin kripto para birimleri kullanılarak sağlanmasının gerekliliği değerlendirilir.

Başka bir aşamayı gerçekleştirmeye yönelik klasik plan, düzenleyici çerçevenin denetimini ve düzenleyicilerin yeteneklerine uygunluk türünün değerlendirilmesini içerir. Sonuç, tüm dahili belgelerin geliştirilmesi ve SPDDN'nin geliştirilmesine yönelik teknik spesifikasyonların geliştirilmesidir. Bu aşamada entegratör, bilgilerin korunmasına yönelik bir girdi kompleksinin kapsamlı bir şekilde geliştirilmesine başlar.

Bu aşamayı tamamladıktan sonra banka, düzenleyicilerden birinin doğrulamasını başarıyla tamamlamış oldu.

Üçüncü aşamanın özü, sistemlerin uygulanmasına ve savunmanın temel fonksiyonlarının oluşturulmasına inmektedir. Testlerden sonra ihtiyaca göre bir dizi teknik ve yazılım özelliği geliştirilir.

Açıklanan aşamaların her birinde, bir entegratör olarak ReignVox şirketi, büyüklüğü, altyapısı, faaliyeti ile yedek şirket olan işin özelliklerine bağlı olarak çeşitli ek gereksinimlerle karşı karşıya kalır. iş süreçlerinde. Ve bu tür depoların zenginliğinden, kişisel verilerin korunmasına yönelik proje için ayrı ayrı uyarlanmış yeni bir konsept geliştiriliyor.

“...ve tüm hedefler”

Video verilerinin en aza indirilmesi, bütçenin optimizasyonu, tasarruf - ifade ne olursa olsun, öz aynı kalır - kuruş kaynaklarının geri kazanılmasına rasyonel bir yaklaşım - bu, başarının ve finansal yapının bir başka dış taşıdır (güvenden sonra, özellikle). Bu nedenle, bilgi güvenliği pahasına değil, hızlı bir şekilde harcama yapma çabası doğaldır ve tamamen değerlidir.

Bir bankacılık yapısı için kişisel veri koruma sisteminin oluşturulmasına yönelik ortalama bir istatistik projesinin maliyeti 1,5 milyon rubleye yakın. Fiyat genişletildiğinde, tutarın sigortalanması ve düşük prensipler, kişisel verilerin korunmasına yönelik bir sistemin oluşturulması bütçesinin kısaltılmasına olanak tanır.

Kurumun mevcut BT altyapısını mümkün olduğunca korumak birinci önceliğimizdir. PDN'nin korunmasına yönelik iki kutupsal senaryo hakkında konuşmaktan çekinmeyin. Birincisi, tüm ISPD'nin kapsamlı bir şekilde işlenmesidir ve diğeri resmidir; ISPD'de herhangi bir değişiklik yapılmadan iç düzenleyici belgelerin yayınlanmasını içerir. Bankanın kayıtlı BT altyapısına dayanan, belirli unsurlarda bir değişiklik yapılmasına ve banka mevzuatının güvenliği için gerekli olan yenilerinin eklenmesine dayanan üçüncü seçeneğin optimal olduğuna inanıyoruz.

Bu bölümde ilk prensipten bahsedeceğiz. Bilgi güvenliğinin maksimum korunması bilgi koruma sistemleri tasarlama saatinde. Herhangi bir şirketin güvenlik ihtiyaçları, anti-virüs koruma sistemi, işletim sistemi için erişim kontrol sistemleri, çapraz ekranlar ve çok daha fazlası dahil olmak üzere kişisel verileri koruma ihtiyacına bağlıdır. Bu nedenle maksimum kapasite koruma vasıtasıyla kapatılabilir. Üstelik insanlar mevcut koruma araçlarından memnun kalmadıkları için ek malzeme satın almak ve dağıtmak zorunda kalıyorlar.

Bir diğer prensip ise prensiptir. bilgi sistemlerinin ekonomik mantıksal yapısı kişisel veri. Bu prensibe uygun olarak, projenin kişisel verilerin bankadan korunması çerçevesinde, daha alt sınıftaki kritik olmayan segmentlerden birden fazla sistemin aynı anda bir araya getirilmesi ekonomik olarak mümkündür. Bu şekilde, çevre çevresinde güvenliği sağlayan ISPDn “Veri İşleme Merkezi” oluşturulmaktadır. Bu, farklı sistemler arasındaki akış maliyetlerini önemli ölçüde azaltmanıza olanak tanır.

Üçüncü prensip kendinizi mevcut tehditlerden koruyun. Bu durumda tehdidin gerçekleşmesi, “Tehdit Modeli” adı verilen özel sistemler için gerekli olan bir belgede anlatılmaktadır. Tehditler güncellendiğinde inandırıcılığı düşük ve uygulanma riski küçük olanlardır.

Halihazırda geliştirilen yöntemlerin anlaşılması açısından, ISPDN'nin herhangi bir bankaya getirilmesi zorunluluğu, 1 Haziran 2011 tarihine kadar mevzuat gereklilikleri ile tutarlı olarak tam olarak uygulanmaktadır. Bu tür teknolojilerin bankacılık sektöründe uygulanmasında maksimum başarı için, proje üzerinde çalışmaya başlamadan önce entegre bir yaklaşımın hatırlanması hala gereklidir. Bu durumda, son derece uzmanlaşmış alt bölümlerdeki faşistlerin (BT teknolojisi, bilgi güvenliği ve proje yönetimi, finansör) tam zamanlı çalışmalarının organizasyonu saygıya tabidir. Finansal yapı içerisinde kritik veriler kayboluncaya kadar küresel yaklaşım.

- Dovidka: ReignVox, yenilikçi projeler ve bilgi teknolojilerinin geliştirilmesi ve bilgi güvenliği konusunda uzmanlaşmış bir Rus şirketidir.

Şirketin hizmet sunma yöntemi, 27 Temmuz 2006 tarih ve 152 sayılı “Kişisel Verilere İlişkin” Federal Kanun uyarınca kişisel verilerin korunmasını sağlamaktır. ve karmaşık sistemlerin bilgileri korumasını sağlayın.

ReignVox, bölgeler arası topluluk örgütü "Bilgi Güvenliği Derneği"nin (IGO "AZI") bir üyesidir, "Bilgi İletişim Birliği"nin ortak üyesidir ve aynı zamanda Rusya'nın bölgesel bankaları Birliğinin de üyesidir.

ReignVox şirketi, kişisel verileri büyük ticari bankalardan korumaya yönelik projelerin başarılı bir şekilde uygulandığına dair önemli kanıtlar sağlıyor. Müşterileri arasında NOTA-Bank, Zovnishekonombank, CentroCredit, Tempbank, Alta-Bank vb. yer almaktadır.

Oran:

Benzer belgeler

Kanun koyucular kişisel verilerin korunmasını pusuya düşürdü. Bilgi güvenliğine yönelik tehditlerin sınıflandırılması. Bireysel veri tabanı. Cihazlar ve tehditler işletmeyi hurdaya çıkarıyor. PEOM koruma sisteminin ana yazılım ve donanım özellikleri. Temel bezpekova politikası.

diploma çalışması, ek 06/10/2011


Kişisel veri güvenlik sisteminin oluşturulmasına neden olmak. Bilgi güvenliğine yönelik tehditler. Dzherela ISPDn'ye yetkisiz erişim. Kişisel veri bilgi sistemlerinin kontrolü. Zahist'i öldürün. Güvenlik politikası.

ders çalışması, ekleme 07.10.2016


Dağıtılmış bilgi sisteminin yapısının ve ondan toplanan kişisel verilerin analizi. Kişisel verilerin güncel tehditlere karşı güvenliğini sağlamak için ana yaklaşım ve yöntemleri seçin. Projenin oluşturulması ve desteklenmesi için ücret.

diploma çalışması, ekleme 07/01/2011


İşletmede kontrol sistemi ve erişim yönetimi. Toplanan bilgilerin analizi ve ISPD'nin sınıflandırılması. ACS KDV "MMZ" kişisel veri bilgi sisteminde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehdit modelinin araştırılması.

diploma çalışması, ekleme 04/11/2012


Bilgisayar sınıfında kurulu kişisel veri bilgi sisteminin donatılmasına yönelik ana teknik çözümlerin açıklaması. Antivirüs koruma alt sistemi. Lütfen bilgi güvenliği özelliklerini uygulamaya koymadan önce hazırlık yapın.

ders çalışması, 30.09.2013 ekle


Belgelenmiş bilgilerin gizliliği ve güvenliği. Kuruluşun faaliyetleriyle ilgili kişisel veri türleri. Güvenlik alanındaki mevzuatın geliştirilmesi onların kontrolü altındadır. Rusya Federasyonu'nun bilgi güvenliğini sağlama yöntemleri.

sunum, ekleme 11/15/2016


Bilgi güvenliği risklerinin analizi. Mevcut ve planlanan koruma özelliklerinin değerlendirilmesi. Bilgi güvenliğini ve kurumsal bilgilerin korunmasını sağlamak için bir dizi organizasyonel adım. Proje uygulamasının ve açıklamasının kontrol örneği.

diploma çalışması, ekle 12/19/2012


Rusya'da bilgi güvenliği alanındaki düzenleyici ve yasal belgeler. Bilgi sistemlerine yönelik tehditlerin analizi. Kliniğin kişisel verilerinin korunmasına yönelik sistemin organizasyonunun özellikleri. Elektronik anahtarlar kullanılarak bir kimlik doğrulama sisteminin uygulanması.

diploma çalışması, 31.10.2016 ekle


İşletmenin faaliyetlerine ilişkin perde arkası bilgiler. İşletmeler için bilgi güvenliği nesneleri. Devam edin ve bilgilerinizi güvence altına alın. Verilerin değiştirme amacıyla kopyalanması. Dahili bir Yedekleme sunucusunun kurulumu. IB sistemini yükseltmenin etkinliği.

robot kontrolü, 29.08.2013 ekleyin


Ana tehditler bilgidir. Yöntemin verilerin korunmasını güvence altına almak olduğunu anlıyorum. Vimogi'den zakhistu sistemine. Bilgi tabanındaki yetkilendirme mekanizması kullanıcı tipine özeldir. Yöneticinin güvenlik sistemi ile çalışması.

GİRİŞ

Alaka düzeyi. Dünyada bilgi, ekonomik açıdan gelişmiş bir devletin temel zenginliklerinden biri olan stratejik bir kaynak haline gelir. Rusya'daki kapsamlı bilgileşme, hayati çıkarların yaşamın her alanına nüfuz etmesi nedeniyle, krallığımız ve güçlerimiz hem şüphesiz başarılara hem de düşük seviyeli sorunların ortaya çıkmasına tanık oldu. Bunlardan biri bilgi güvenliği ihtiyacıydı. Geleceğin ekonomik potansiyelinin bilgi yapısının gelişmesine daha eşit olduğu gerçeğine bakıldığında, bilgi girişlerinin ekonomiye yayılma potansiyeli de orantılı olarak artmaktadır.

Bilgisayar sistemlerinin iletişim ağlarıyla birlikte genişlemesi, bunların elektronik olarak sızma olasılığını artırıyor. Dünyanın her köşesindeki bilgisayar malignitesi sorunu, coğrafi konumlarına bakılmaksızın, bu tür malignitelere karşı mücadeleyi organize etmek için kamuoyunun ve büyük ölçekli güçlerin daha fazla saygısını kazanma ihtiyacını gerektirmektedir. Yanlış uygulamalar özellikle otomatik bankacılık sistemlerinde ve elektronik ticarette yaygındı. Yabancı verilerin arkasında, bankalarda bilgisayar dolandırıcılığına yapılan harcamalar yakında milyarlarca dolar değerinde zenginleşecek. Rusya'da yeni bilgi teknolojilerinin uygulamaya konulması konusundaki heyecan önemli olsa da, bilgisayar zararlı yazılımları her geçen gün daha fazla tanınıyor ve bunlarla evlilik yetkilerinin savunulması yetkili makamlar için süper bir göreve dönüşüyor.

Beslenmenin kişisel verilerin korunması açısından önemi kimseyi şüpheye bırakmıyor. Bunu daha önce 27 Temmuz 2006 tarihli ve 152-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanun uyarınca kişisel veri bilgi sistemlerinin (ISPD) tanımlanması için önemli olan bir terim olarak tanımlamıştık. Bu terim hızla yaklaşıyor ve düzenleyicilerin en önemli belgelerinin sonuçlandırılmasının karmaşıklığı artık çok fazla tartışmaya ve belirsiz yorumlara yol açıyor. Günümüzde bazı resmi belgelerin kapatılması, yasal statülerinin belirsiz olması ve beslenme durumunun düşük olması büyük bir sorun teşkil etmemektedir. Bütün bunlar, düzenleyici çerçevenin tam olarak tanımlanmadığı ve zaten gerekli mevzuatın iptal edilmesinin gerekli olduğu bir durum yaratıyor.

Travnya 2009 r. ARB'de kişisel verilerin konusuna ilişkin ilk çalışma grubu toplantısı gerçekleşti. Açık tartışmanın sonunda bankacılık verimliliğini etkileyen sorunlu sorunlar açıkça belirlendi. Temel olarak kötü koku, kişisel verilerin teknik olarak korunmasından ve kredi ve finans kurumları ile FSTEC arasındaki gelecekteki etkileşimden kaynaklanıyordu. Rusya Merkez Bankası temsilcileri konuşmalarında “Kişisel Veriler Hakkında” kanunun uygulanmasının organize edilmesi gerektiğini duyurdu. Temelde yeni ve önemli olan, Rusya Merkez Bankası'nın bankacılık ortaklıkları için teknik faydaları formüle etmek amacıyla düzenleyicilerle uzlaşma bulma girişimleri olarak adlandırılabilir. Rusya Federasyonu Merkez Bankası'nın Rusya FSTEC ile işbirliği içindeki faaliyetlerine özellikle dikkat çekmek isterim. FSTEC'in resmi belgelerinin onayı ile büyük bir katlanır mal kütlesinin tamamını sigortalayan Rusya Bankası, şu anda FSTEC tarafından kullanılan resmi belgeleri (belge projelerini) hazırlamaya karar verdi. Kişisel verilere dayalı olarak kredi ve mali düzenlemelere ilişkin yeni bir hukuki standardın ortaya çıkma ihtimalinin yüksek olduğu varsayılabilir.

Dersin amacı kişisel verileri çevrimiçi bankacılık sistemlerinden korumanın yollarını keşfetmektir.

Hedefler şu şekildeydi:

yaklaşımların geliştirilmesi, temel güvenlik pusuları;

güvenlik yöntem ve yöntemlerinin önemi;

çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğinin özelliklerinin belirlenmesi;

Çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğini sağlamak için oturum açma işlemlerinin geliştirilmesi.

İncelemenin amacı bankacılık bilgi sistemleridir.

Soruşturmanın konusu internet bankacılığı sistemlerinde kişisel bilgilerin güvenliğidir.

Soruşturmanın teorik ve metodolojik temeli teorik ilkeler, araştırmacıların çalışmaları, fakivistlerin soruşturması ve güvenli bilgilerin sağlanmasıydı.

Ders çalışmasının metodolojik temeli, güvenlik sorununu araştırmaya yönelik sistematik bir yaklaşımdır.

Vikoristan mantıksal, yasal, sistemik analiz. Ek olarak, bu benzersiz yapısal analiz yöntemi, analiz edilen nesnenin çeşitli bileşenlerinin gerekli hassasiyetle dikkate alınmasına ve bu öğelerin ilişkilerinin tek tek ve ayrıca başka amaçlarla analiz edilmesine olanak tanır.

1. Çevrimiçi bankacılık sistemlerinde kişisel verilerin korunmasının teorik yönleri

1.1 Yaklaşım, güvenlik ilkeleri

Bilgi sistemlerinin güvenliğinin sağlanması söz konusu olduğunda, bilgi sistemini çalışma modundan kaynaklanan kazara ve doğrudan girdilerden koruyan adımları anlıyoruz.

Bilgisayar güvenliğinin sağlanmasında iki önemli yaklaşım vardır.

Birincisi parçalıdır, çerçevesinde modern zihinlere yönelik en gelişmiş tehditlere (örneğin, özel anti-virüs sistemleri, özerk şifreleme yöntemleri vb.) karşı koymaya yönelik bir yönelim vardır. Bu durumda yaklaşımın hem ciddi bir problemin bir kısmına yüksek düzeyde seçicilik sağlayan avantajları hem de çözüme parçalanma getiren dezavantajları vardır. suvoro şarkı öğeleri.

Özel bilgilerin yönetilmesi süreci, Şekil 1'de gösterilen bileşenleri içerir. 1.

Diğer bir yaklaşım, bu çerçevede bilginin imhasının daha büyük ölçekte gerçekleştirilmesiyle karakterize edilen sistemik bir yaklaşımdır - işlemin ortası korunur, bilgi aktarımı kaydedilir, böylece nihai çeşitlilik sağlanır. ve tehditlere karşı koyma yöntem ve yöntemleri: yazılım ve teknik, yasal, organizasyonel ve ekonomik. Çalınan ürünün yanı sıra otomatik bilgi sisteminin güvenliği de en üst düzeyde garanti edilebilmektedir.

Ölüme sistematik yaklaşım aşağıdaki metodolojik ilkelere dayanmaktadır:

Son işaretleme – son işaretleme (global) işaretlemenin mutlak önceliği;

Birlik - sistemin bir “bütün” ve bir öğeler (öğeler) koleksiyonu olarak kapsamlı bir görünümü;

tutarlılık - sistemin herhangi bir bölümünü bağlantıları ve farklılıklarıyla aynı anda görüntülemek;

modülerlik - sistemdeki modülleri görmek ve bunları bir modül koleksiyonu olarak görüntülemek;

Hiyerarşiler - parçaların (öğelerin) hiyerarşisinin ve sıralamasının yükseltilmesi;

işlevsellik - işlevin yapıya göre önceliği ile yapıya ve işleve kapsamlı bir bakış;

geliştirme - sistemin değişebilirlik alanı, geliştirilmeden önce oluşturulması, genişletilmesi, elemanların değiştirilmesi, bilgi birikimi;

ademi merkeziyetçilik - alınan kararlarla entegrasyon ve yönetimin merkezileştirilmesi ve ademi merkeziyetçilik;

önemsizlik - sistemdeki önemsizliklerin ve eksikliklerin ortaya çıkışı.

Mevcut araştırmacılar bu tür metodolojik

Bilgi (bilgisayar dahil) güvenliğini organize etmek ve uygulamak.

Kanunilik ilkesi. Bilgi güvenliği alanındaki modern öncesi mevzuata uygundur.

Önemsizlik ilkesi. O halde bu durum öznenin davranışının belirsizliğinden kaynaklanmaktadır. Korunan nesnenin güvenliğini kim, varsa, nerede ve nasıl yok edebilir?

Kanıtlanmamış bir zakhistu sisteminin yaratılmasında esneklik ilkesi. Önem vermeme, kaynakların ve maliyetlerin paylaşılması ilkesinden kaynaklanmaktadır.

Minimum risk ve minimum zarar ilkeleri. İdeal bir koruma sistemi oluşturmanın imkansızlığı, onu yaratmanın imkansızlığından kaynaklanmaktadır. Herhangi bir anda belirli nesnelere koruma sağlamak elbette gereklidir.

Güvenli zaman prensibi O halde mutlak bir saat görünümüne bürünür. koruma nesnelerini koruma ihtiyacı; ve o zaman belli bir saatte. Kötü eylemlerin tespit edildiği andan itibaren, kötü niyetlinin hedefe ulaşması arasındaki bir saatlik süre.

“Her türlü kulağı öldürme” ilkesi. Önemsizlik ilkesine dayanan, koruma nesnelerine yönelik her türlü tehdide karşı kimyasal yaklaşımların organizasyonunu aktarır.

Kişisel sorumluluk ilkeleri. Sporcunun derisinin bütünlüğünü bireye aktarır, kuruluşun çalışanları arasında bir güvenlik rejimini, fonksiyonel yükümlülükleri ve talimatları sürdürmesini sağlar.

Değişim ilkesi daha da önem kazandı. Konunun, işlevsel yükümlülüklerini normal şekilde yerine getirmesi için erişim gerekli olana kadar bilgilerin farkında olmasının önemini ve ayrıca nesnelere ve bölgelere erişim için bir çit sağlanmasının yanı sıra, diğer alanlarda da aktarılır. faaliyet türü.

Karşılıklı etkileşim ve kaynaşma ilkesi. Dahili olarak güvenilir konteynerlerin yetiştirilmesi, güvenlikten sorumlu uzmanlar (bilgi açısından) ile personel arasında gerçekleştirilir. Mevcut tezahür, ilgili tüm kuruluş ve bireylerle (örneğin kolluk kuvvetleri) işbirliğinin geliştirilmesidir.

Karmaşıklık ve bireysellik ilkesi. Nesnenin güvenliğini yalnızca tek bir adımda değil, belirli zihinlerle bireysel bir bağlantıyla uygulanan karmaşık, birbirine bağlı ve birbirini kopyalayan adımlar bütünüyle sağlamanın imkansızlığına dikkat etmek önemlidir.

Ardışık güvenlik sınırları ilkesi. Erken alarm sinyalinin savunmanın korumayı sağlamasına yardımcı olma olasılığını artırmak için savunmaya veya başka bir düşman durumuna şu veya bu nesnenin korunması hakkında daha fazla erken uyarı iletir.Güvenlikleri ve yetenekleriyle tanınan Avrupalı ​​işçiler. Etkili panzehir yaklaşımları organize edin.

Eşitlik ilkeleri ve koruma sınırlarının eşitliği. Hakkaniyet, koruma sınırları içerisinde korunmasız parsellerin bulunması esasına dayanmaktadır. Eşit basınç, koruma nesnesine yönelik tehdit düzeyine bağlı olarak koruma hattına aynı miktarda güvenliği iletir.

İşletmeler için bilgilerin güvenliğini sağlama yöntemleri aşağıdaki gibidir:

Reshkoda, suçlunun korunan bilgiye (ekipmana, bilgi taşıyıcılarına vb.) giden yolunu fiziksel olarak engellemenin bir yöntemidir.

Erişim kontrolü, bilgileri korumanın ve bir işletmenin otomatik bilgi sisteminin tüm kaynaklarının kullanımını düzenlemenin bir yöntemidir. Erişim kontrolü aşağıdaki güvenlik işlevlerini içerir:

Müşteri hizmet sağlayıcılarının, personelin ve bilgi sistemi kaynaklarının tanımlanması (her bireye bir kişisel tanımlayıcı atanır);

bir tanımlayıcının sunulması üzerine bir nesnenin veya konunun doğrulanması (kimliğin belirlenmesi);

yeniden doğrulama daha önemlidir (haftanın gününün, satın alma saatinin, kaynak tedarikinin ve yönetmeliklerle belirlenen prosedürlerin yeniden doğrulanması);

çalınan kaynaklar için rezervlerin kaydedilmesi;

yanıt (alarm, kapatma, kapatma, açma, yetkisiz eylemler).

Maskeleme, bir rotanın kuruluşunun otomatik bilgi sistemindeki bilgileri koruma ve kriptografik kapatma yöntemidir.

Düzenleme, yetkisiz erişim olasılığının en aza indirildiği iletimi koruyan, bu tür otomatik işlemeyi yaratan bir koruma yöntemidir.

Primus, güvenlik sistemi personelinin maddi, idari ve ceza hukuku tehdidi altında korunan bilgilerin işlenmesi, iletilmesi ve bunlara erişim kurallarına uyduğu bir bilgi güvenliği yöntemidir.

Motivasyon, yöneticileri ve sistem personelini, oluşturulan ahlaki ve etik standartları sürdürmek için belirlenen kuralları ihlal etmemeye teşvik eden, bilgiyi korumanın bir yoludur.

Bilgi güvenliğini sağlamaya yönelik yerleşik yöntemler, aşağıdaki temel özellikler kullanılarak uygulanmaktadır: fiziksel, donanım, yazılım, donanım-yazılım, kriptografik, organizasyonel, yasal ve ahlaki-etik.

Fiziksel koruma özellikleri, nesnelerin bölgesinin harici korunmasına, otomatik bilgi sisteminin bileşenlerinin korunmasına yöneliktir ve otonom cihazlar ve sistemler şeklinde uygulanır.

Donanım koruma özellikleri, otomatik bir bilgi sisteminin bloklarına doğrudan entegre edilen veya bağımsız cihazlar olarak tasarlanan ve bu bloklardan elde edilen elektronik, elektromekanik ve diğer cihazları içerir. Bilgisayar teknolojisi bileşenlerinin ve sistemlerinin yapısal elemanlarının dahili koruması için tasarlanmıştır: terminaller, işlemciler, çevresel ekipmanlar, hat iletişimi vb.

Yazılım koruma fonksiyonları, mantıksal ve akıllı koruma fonksiyonlarını uygulamak için tasarlanmıştır ve otomatik bir bilgi sisteminin yazılımına veya özellikler, kompleksler ve kontrol ekipmanı sistemleri deposuna dahil edilir.

Yazılım koruma özellikleri, evrensellik, esneklik, uygulama kolaylığı, değişim ve gelişme olasılığı gibi olumlu güçlere sahip olan en geniş koruma türüdür. Bu durum, işletmenin bilgi sistemini korumak için derhal ve en çeşitli unsurlarla birlikte çalışacaktır.

Donanım-yazılım koruma özellikleri, yazılım (mikroprogram) ve donanım parçalarının karşılıklı olarak birbirine bağlı ve ayrılamaz olduğu özelliklerdir.

Şifreleme özellikleri – bilgilerin ek dönüşümü (şifreleme) için koruma özellikleri.

Organizasyonel özellikler - personelin davranışlarını düzenlemeye yönelik organizasyonel-teknik ve organizasyonel-yasal yaklaşımlar.

Mevzuat hükümleri, bilgiye erişim, işleme ve kamu erişimine aktarma kurallarını düzenleyen ve dolayısıyla bu kuralların ihlali durumunda cezalar belirleyen ülkenin yasal düzenlemeleridir.

Ahlaki ve etik ilkeler - evlilikteki normlar, gelenekler, örneğin: ABD'deki Hıristiyan İşçiler Birliği (EOM) Üyeleri için Mesleki Davranış Kuralları.

1.2 Güvenlik yöntemleri

Güvenlik önlemlerini uygulamak için çeşitli şifreleme mekanizmaları kullanılır. Neden bu yöntemleri kullanıyorsunuz? En başından beri, verinin (metin, düşünceler ve küçükler) gönderildiği saatte koku korunmasızdır ve fakhivtlerin dediği gibi açıktır. Açılan verilere diğer kullanıcılar (isteyerek veya bilmeyerek) kolaylıkla erişebilir. Kişisel bilgilerin üçüncü şahıslar tarafından alınmasını önlemek amacıyla bu veriler şifrelenmektedir. Bilginin atandığı muhabir, daha sonra kriptografların oluşturduğu muzaffer portalı deşifre ederek verileri gerekli biçimde çıkarır.

Şifreleme ya simetriktir (şifreleme için bir gizli anahtar Vikoryst tarafından kullanılır) ya da asimetriktir (gizlice erişilebilen bir anahtar Vikoryst tarafından şifreleme için kullanılır ve diğeri şifre çözme için kullanılır), karşılıklı bir ilişki yoktur; yani bunlardan biri biliniyorsa diğerini bilmek mümkün değildir).

Güvenlik mekanizmaları aşağıdaki gibidir:

) Dijital elektronik imzanın mekanizmaları asimetrik şifreleme algoritmalarına dayanır ve iki prosedür içerir: imzanın gönderen tarafından oluşturulması ve imzanın sahibi tarafından tanınması. Yönetici tarafından bir imzanın oluşturulması, veri bloğunun ek bir kriptografik sağlama toplamı ile şifrelenmesini ve her iki durumda da yöneticinin gizli anahtarının doğrulanmasını sağlar. Bilgi elde etmek için gizlice erişilebilen bir anahtar gereklidir.

) İstemci programlarının ağ kaynaklarına erişimini doğrulamak için erişim kontrol mekanizmaları kullanılır. Bağlı bir kontrol aracılığıyla bir kaynağa erişirken, hem başlangıç ​​noktasında, hem ara noktalarda hem de bitiş noktasında gösterilir.

) Verinin bütünlüğünü sağlamaya yönelik mekanizmalar çevre blok ve veri akışıyla sınırlıdır. Gönderen, iletim bloğunu kriptografik bir toplamla tamamlar ve bakiye, alınan bloğa karşılık gelen kriptografik değerlere eşittir. Bilgilerin blogla paylaşıldığını lütfen unutmayın.

) Trafiği ayarlama mekanizmaları. Nesneler tarafından AIS bloklarının oluşturulmasına, bunların şifrelenmesine ve ağ kanalları tarafından iletim organizasyonuna dayanmaktadır. İletişim kanalları boyunca dolaşan akışların mevcut özelliklerine daha fazla dikkat ederek, bilginin ele geçirilmesi olasılığını kendileri etkisiz hale getirirler.

) Yönlendirme kontrol mekanizmaları, bilgi ve iletişim ağı için rotaların, hassas bilgilerin güvenli olmayan ve fiziksel olarak güvenilmez kanallara aktarılmasını önleyecek şekilde seçilmesini sağlar.

) Tahkim mekanizmaları, nesneler arasında iletilen verilerin özelliklerinin üçüncü bir tarafça doğrulanmasını sağlar. Bu amaçla nesnelerin edindiği veya sahip olduğu bilgiler bir hakemden geçer ve bu da tahmin edilen özelliklerin hızlı bir şekilde doğrulanmasını mümkün kılar.

Ekonomik tesisler için güvenlik sisteminin ana eksiklikleri şunlardır:

-tesis güvenliğine ilişkin üst düzey, sistematik olmayan sorunlar;

-“Bir tehdit ortaya çıkarsa onunla mücadeleye başlarız” ilkesini takip ederek tehditleri önleyememek;

-emniyet ekonomisindeki beceriksizlik, harcama ve sonuç üretememe;

-Bakım ve güvenlik hizmeti uzmanlarının “teknokratlığı”, bilgi alanımdaki tüm görevlerin yorumlanması.

Robotların birinci bölümünün bir sonucu olarak bu da önemlidir. Bilgi sistemlerinin güvenliği, bilgi sistemini çalışma şeklinin ara sıra ve sürekli kullanımından koruyan giriş noktalarına denir. Güvenliği sağlamak için iki ana yaklaşım benimsenmiştir: 1) şarkı söyleyen zihinlere yönelik şarkı söyleme tehditlerine karşı sınırların bulunduğu parçalı yaklaşım; ve 2) tehditlere karşı koymak için çeşitli yöntem ve yöntemler sağlayan, bilgilerin işlenmesi, kaydedilmesi ve aktarılmasının çekirdeğinin oluşturulduğu sistemik. Bilgileri korumak için çeşitli özellikler ve mekanizmalar kullanılır. Aşağıdaki özellikler dahildir: şifreleme, dijital elektronik kayıt, erişim kontrolü, trafik kontrolü vb.

bankacılık çevrimiçi güvenlik sistemi

2. Çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğinin özellikleri

2.1. Çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğini sağlamanın en iyi yolu

Kişisel bilgilerin korunması, devlet yetkililerine ve tüccarlara bilgi verebilecek bilgilerin ve onu destekleyen altyapının (bilgisayarlar, hat iletişimi, elektrik sistemleri vb.) dalgalanmalardan veya su altı dalgalanmalarından korunması anlamına gelir.

Ayrıca bulut verilerinin bilgi güvenliği şu anlama gelir: Bilgisayarın güvenilirliği sağlanır; değerli finansal verilerin kaydedilmesi; yetkisiz kişilerce değişiklik yapılması durumunda kişisel bilgilerin korunması;

Bölgedeki bilgi güvenliği nesneleri arasında ticari alanlarda saklanan bilgileri ve gizli bilgileri içeren bilgi kaynakları; ve bilgi sistemlerinin özellikleri.

Bilgi kaynaklarının, bilgi sistemlerinin, teknolojilerin ve güvenlik yöntemlerinin ustası, mevcut hükümetin ve belirlenen nesnelerin yönetiminin konusudur ve yasaların belirlediği sınırlar dahilinde yeni emirler uygular.

Bilgi toplayıcı, gerekli bilgiyi yakalamak ve kullanmak için bir bilgi sistemi veya aracıyla etkileşime giren bir kişidir.

Bilgi kaynakları, belgelerin ötesinde ve bilgi sistemlerindeki belge dizilerinin, belgelerin ve belge dizilerinin ötesindedir.

Bilgi güvenliğine yönelik tehdit, kişisel sistemin bileşenlerine ek bir sızıntının yanı sıra, bilgi kaynaklarının sahiplerine ve sistem kullanıcılarına zarar verebilecek potansiyel bir eylemde yatmaktadır.

Bilgi kaynaklarının yasal rejimi aşağıdakileri belirleyen kurallarla belirlenir:

bilgilerin belgelenmesine ilişkin prosedür;

belgeler ve masifler üzerinde yetki hakkı

bilgi sistemlerinde belgeler, belgeler ve belge dizileri; erişime dayalı bilgi kategorisi; yasal zakhistu düzeni.

Muhasebe departmanında bilgi tehdidi gerçekleştiğinde ihlal edilen temel prensip bilginin belgelenmesi prensibidir. Otomatik bilgi sisteminden elde edilen bir belge, Rusya Federasyonu mevzuatı tarafından belirlenen prosedüre uygun olarak sahibi tarafından imzalandıktan sonra yasal yetki kazanır.

Doğası gereği tüm potansiyel tehditler iki sınıfa ayrılabilir: doğal (nesnel) ve yapay.

Doğal tehditler, muhasebecinin neden olduğu ve muhasebe ve bileşenlerinde giderek artan ve sıklıkla düşüşe yol açan nesnel nedenlerden kaynaklanmaktadır. Bu tür doğa olaylarını beklemelisiniz: depremler, el feneri darbeleri, yangınlar vb.

İnsan faaliyetleriyle ilişkili tehditler. Hastalık işçilerinin kurulmasına tepki olarak masumiyet (dikkatsizlik) ve saygısızlık yoluyla her türlü merhametin çalışması olarak ikiye ayrılabilirler, aksi takdirde hasta olurum. Örneğin bir muhasebeci, bilgisayara kayıt girerken yanlış tuşa basabilir, programda istenmeyen hatalar oluşturabilir, virüs bulaştırabilir, şifreleri rastgele açığa çıkarabilir.

Yanlışlıkla yanlış belgeler oluşturan kötü niyetli insanların kötü arzularıyla ilgili güvensizlikleri anlayın.

Güvenlik tehditleri doğrudanlık açısından aşağıdaki gruplara ayrılabilir:

bulut veri tabanlarına ve bilgisayar programlarına nüfuz etme ve verileri okuma ve bunları işlemeye yönelik tehditler;

ödeme belgelerinin (ödeme belgeleri, belgeler vb.) tahrif edilmesi de dahil olmak üzere, kişisel verilerin tükenmesine veya değişmesine yol açan, kişisel verilerin depolanmasına yönelik tehditler;

müşterinin bulut verilerine erişimi reddedememesi durumunda ortaya çıkacak verilerin kullanılabilirliğine yönelik tehditler;

Başarılı bir işlem sırasında, bir müşterinin diğerine bilgi aktarması ve ardından veri gönderimini onaylamaması durumunda tahliye tehdidi söz konusudur.

Bilgi süreçleri - bilginin toplanması, işlenmesi, biriktirilmesi, kaydedilmesi, aranması ve genişletilmesi süreçleri.

Bilgi sistemi - organizasyonel olarak sıralanmış bir belge kümesi (çeşitli bilgi işlem teknolojisi türleri ve bilgiyi diğer süreçleri uygulayan bağlantılar dahil olmak üzere belge ve bilgi teknolojileri dizileri).

Dokümante edilmiş bilgi, Rusya Federasyonu'nun iş organizasyonundan, dokümanların ve bunların dizilerinin standardizasyonundan ve güvenliğinden sorumlu yetkililer tarafından belirlenen prosedürü takip eder.

Elbette tehditler iç ve dış olarak ikiye ayrılabilir.

Kuruluş personelinin faaliyetlerine yönelik birçok iç tehdit vardır. Dış tehditler güvenlik güçlerinden, diğer kuruluşlardan, bilgisayar korsanlarından ve diğerlerinden gelir.

Dış tehditler şu şekilde sınıflandırılabilir:

suçlunun örgütün topraklarına nüfuzunu ileten ve yerel bilgisayara veya yerel ağa erişimini engelleyen yerel;

Küresel ağlara (İnternet, SWIFT uluslararası bankacılık sistemi ve diğerleri) bağlı özel sistemlere yönelik tehditler ortadan kaldırılır.

Bu tür güvensizlikler çoğunlukla elektronik ödeme sisteminde, müşteriler alışveriş yaparken veya İnternet ile uğraşırken ortaya çıkar. Bu tür bilgi saldırıları binlerce kilometre uzakta gerçekleşebilir. Üstelik hem EOM hem de muhasebe bilgilerini içerirler.

Finansal riskin artmasına neden olan anlamlı ve önemsiz form değişiklikleri, e: Kamuya açık verilerin kayıt edilmesinde meydana gelen değişiklikler; yanlış kodlar; Yetkisiz mali işlemler; kontrol limitlerinin ihlali; eksik bulut kayıtları; verileri işlerken ve görüntülerken af; delillerin kalıplanması ve şekillendirilmesi sırasında af; yanlış bulut kayıtları; dönemlerin yanlış kaydedilmesi; verilerin tahrif edilmesi; düzenleyici işlemlerin imhası; kişisel politikaya yönelik pusuların yok edilmesi; hizmetlerin müşterilerin ihtiyaçlarına göre tutarsızlığı.

Ticari sır oluşturan, kişisel ve önemli bilgiler (ortaklara, müşterilere, bankalara ilişkin veriler, piyasadaki faaliyetlere ilişkin analitik bilgiler) içeren bilgilerin oluşturulması özellikle tehlikelidir. Bu benzer bilgilerin çalınması için muhasebe, mali hizmetler ve diğer ekonomi departmanlarından uzmanlarla, kayıtların belirlenen aktarımı için sözleşmeler yapılması gerekiyor ki bunu desteklemeyeceğim, çok kızacağım.

Otomatik bulut sistemlerinde bilgilerin korunması güncel temel ilkelere dayandırılacaktır.

Gizli ve sınıflandırılmamış bilgilerin işlenmesine yönelik fiziksel alanların güvenliği.

Bilgilerin kriptografik korunmasının sağlanması. Abonelerin ve abone kurulumlarının güvenli kimlik doğrulaması. Konular ve süreçleri arasında bilgiye erişimin sağlanması. Belgesel bilgilerin geçerliliğinin ve bütünlüğünün sağlanması, iletişim kanalları aracılığıyla iletildiği anda sağlanır.

Sistemin teknik özelliklerinin teknik kanallardan gizli bilgi akışına karşı korunması sağlanır.

Donanım ve yazılım yer imlerinin yapısına yönelik bilgi akışında şifreleme teknolojisinin, donanım, teknik ve yazılım özelliklerinin korunmasının sağlanması.

Otomasyon sisteminin yazılım ve bilgi kısımlarının bütünlüğünün kontrolünün sağlanması.

Sadece jambonların yok edilmesine yönelik mekanizmalar olarak Vikoristannya

Rusya Federasyonu'nun devlet bilgi kaynakları açıktır ve halka açıktır. Suçlu, yasa gereği erişimi kısıtlı olarak sınıflandırılan bilgileri belgeledi. Yasal rejimin zihinlerinde ortak erişime sahip belgelenmiş bilgiler, devlet hapishanelerine getirilen bilgiler ve gizlilik olarak ikiye ayrılıyor. Gizli nitelikteki bilgilerin aktarımı, ticari faaliyetlerle ilgili bilgilerin gizliliği, 6 Şubat 1997 tarihli Rusya Federasyonu Cumhurbaşkanı Kararı ile kurulmuştur. No. 188 (Ek No.) gelişmeler.

Organizasyonel ve rutin giriş güvenliği. Sistemdeki bağlantıların güvenliğini sağlamak için ek girişlerin kullanılması çok önemlidir.

Bilgi alışverişinin yoğunluğu, hacmi ve trafiği hakkındaki bilgilerin depolanmasını düzenlemek.

Kanallara ilişkin bilgilerin ve aşırı tıkanmayı azaltan yöntemlerin iletilmesi ve işlenmesi için bir cihaz.

Bilgilerin yetkisiz erişime karşı korunması, üç ana otorite tarafından korunan bilgilerde doğrudan formüle edilmiştir:

gizlilik (gizli bilgilere yalnızca atandığı kişi erişebilir);

bütünlük (önemli kararların alındığı temel bilgiler güvenilir, doğru olabilir ve olası zararsız ve kötü niyetli eylemlerden tamamen korunabilir);

Kullanılabilirlik (bilgi ve ilgili bilgi hizmetleri, ihtiyaç duyulduğunda hizmete hazır olarak mevcut olabilir).

p align="justify"> Kişisel bilgileri koruma yöntemleri: kodları değiştirin; erişim kontrolü, maskeleme, düzenleme, primus, sponkannaya.

Korunan kişisel bilgilerden saldırganın yolunun fiziksel olarak engellenmesi yönteminin kullanılması önemlidir. Bu yöntem, yenisinin girişinde güvenliğin bulunması, üçüncü taraf bilgilerinin muhasebeye girmesinin engellenmesi vb. dahil olmak üzere işletmenin giriş sistemi tarafından uygulanır.

Erişim kontrolü, hesap için gerçekleştirilen kişisel ve hassas bilgilerin korunmasına yönelik bir yöntemdir:

kimlik doğrulama - bir tanımlayıcının sunulması üzerine bir nesnenin veya konunun kimliğinin belirlenmesi (bu, girilen tanımlayıcının bellekte saklanan bilgisayardan girilmesiyle yapılır);

Yeniden doğrulama yine önemlidir - sorgulanan kaynak türünün yeniden doğrulanması ve görülen kaynaklardan ve izin verilen prosedürlerden tamamlanan işlemler; çalınan kaynakların kaydı;

Yetkisiz faaliyet girişimlerini bilgilendirmek ve bunlara yanıt vermek. (Kriptografi, bilgilerin ek dönüşümünü (şifreleme) güvence altına almanın bir yöntemidir).

BEST-4 kompleksinde bilgi erişiminin ayrılması bitişik alt sistemler düzeyinde gerçekleştirilir ve ayrı erişim şifreleri atanarak sağlanır. İlk kurulumda veya istediğiniz zaman sistem yöneticisi programıyla bir veya daha fazla şifre ayarlayabilir veya değiştirebilirsiniz. Alt sisteme girdiğiniz anda şifre uygulanacaktır.

Ayrıca her modülün bilgiye erişimi ayırmak için kendi sistemi vardır. Her menü öğesini özel şifrelerle koruyabilmenizi sağlayacaksınız. Parolalar, orijinal belgelerin çeşitli alt kümelerine erişimi korumak için de kullanılabilir: örneğin, "Depodaki envanter" ve "Depodaki ürünler ve ürünler" otomatik çalışma alanında, bireysel depoya erişim için parolalar ayarlamak mümkündür. , otomatik işyerinde “Nakit işlemleri alanı” - cilt erişim şifreleri kasiyer, otomatik işyerinde “Oblik rozrakhunki iz bank” - banka hesabınıza erişim şifreleri.

Bilgiye erişimin etkili bir şekilde sınırlandırılması için, bu ve diğer bloklara erişim için şifre atama modlarını öncelikle şifrelerle korumamızın gerekli olduğunu belirtmek özellikle önemlidir.

1C.Enterprise sürüm 7.7'de yeni bir bilgi koruması vardır - erişim hakları. Entegrasyon sayesinde müşteriler 1C sistemiyle çalışırken bilgilere erişebilecekler. sistem. Haklar, çeşitli belge türlerini inceleme olasılığından, her tür veriyi ekleme, inceleme, düzenleme ve düzenlemeye yönelik eksiksiz bir haklar dizisine kadar geniş bir aralıkta belirtilebilir.

Erişim haklarının yazara atanması 2. aşamada devam eder. İlk aşamada, bilgiyle çalışmaya yönelik tipik haklar oluşturulur ve bu, kural olarak çok çeşitli erişim olanaklarıyla sonuçlanır. Aşamanın diğer ucunda size bu standart haklardan biri verilecek.

Standart hak gruplarının oluşturulmasına ilişkin tüm çalışmalar “Yapılandırma” penceresinin “Haklar” sekmesinde gerçekleştirilir. Ana program menüsündeki “Konfigürasyon” menüsünden “konfigürasyonu aç” seçeneğini seçerek ekrana her zaman ulaşabilirsiniz.

2.2 Çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğini sağlamaya yönelik bir dizi adım

ISPD'de PDN'nin güvenliğini sağlamaya yönelik bir yaklaşımlar kompleksinin geliştirilmesi, ISPD sınıfına atanan tehdidin güvenlik değerlendirmesinin sonuçlarına dayanarak “Organizasyona ve teknik güvenliğe yönelik ana yaklaşımlar” temelinde gerçekleştirilir. kişisel veri, kişisel veri bilgi sistemlerinde toplananlardır.”

Herhangi bir sorun olması durumunda hemen gelin:

ISPD'de PD akışına yönelik teknik kanalların belirlenmesi ve kapatılması;

kişisel verilerin yetkisiz erişime ve yasa dışı eylemlere karşı korunması;

savunma departmanının kurulumu, ayarlanması ve stastosuvannya.

PDN'nin ISPD'ye akışına yönelik teknik kanalların tanımlanması ve kapatılmasından oluşan yaklaşımlar, PDN güvenliğine yönelik tehditlerin analizi ve değerlendirilmesi temelinde formüle edilir.

Yetkisiz erişim ve yasa dışı faaliyetler olarak ISPD'de işlendiğinde PDN'yi korumaya yönelik girişler şunları içerir:

keruvannya erişimi;

kayıt ve görünüm;

bütünlüğün sağlanması;

bildirilmemiş fırsatların sayısı üzerinde kontrol;

antivirüs koruması;

ISPDN'nin sınır ötesi güvenli iletişiminin sağlanması;

hırsızlık analizi;

işgal ortaya çıktı.

Yetkisiz eylemlerin engellenmesi, sinyalizasyon ve kayıt yapılmasına yönelik yazılım özelliklerine dayalı olarak erişim kontrolü, kayıt ve kayıt alt sisteminin uygulanması önerilmektedir. Bunlar, herhangi bir işletim sisteminin özüne girmeyen, yazılım ve donanım ve işletim sistemlerinin kendilerinin, PDN'nin elektronik veri tabanlarının ve uygulama programlarının korunmasına yönelik özeldir. Savunma işlevlerini bağımsız olarak veya savunmanın diğer işlevleriyle birlikte ve bir koristuvach'ın veya hırsızın ISPD'si için güvenli olmayan eylemlerin tespitini doğrudan devre dışı bırakmak veya karmaşıklaştırmak için uygulayabilirsiniz. Önlerinde teşhis, kayıt, azaltma, alarm ve simülasyon işlevlerini uygulayan özel yardımcı programlar ve yazılım kompleksleri bulunmaktadır.

Tanılama yöntemleri arasında dosya sisteminin ve DDN veritabanının test edilmesi, bilgi güvenliği alt sistemi öğelerinin işleyişi hakkında sürekli bilgi toplanması yer alır.

Azaltma işlevleri, fazla verileri azaltmak için tasarlanmıştır ve sistem tarafından engellenemeyen kişisel gelir vergisi tehdidi durumunda acil veri kaybını aktarabilir.

Sinyal özellikleri, çalınmakta olan PDN'ye aktarıldıklarında operatörleri uyarmak ve PDN'ye yetkisiz erişim ve ISPD'nin normal işleyiş modunun bozulmasına ilişkin diğer gerçekler tespit edildiğinde yöneticiyi uyarmak için tasarlanmıştır.

Simülasyon yöntemleri, NSD'nin PD'ye giden bir arızası veya çalınan yazılım özellikleri tespit edildiğinde hırsızlarla çalışmayı modeller. Taklit, özellikle bölgesel olarak dağıtılmış alanlarda önemli olan NSD'nin belirlenen yeri ve niteliği için süreyi artırmanıza ve suçluyu çalınan PDN'nin konumu hakkında yanlış bilgilendirmenize olanak tanır.

Bütünlük alt sistemi öncelikle işletim sistemleri ve veritabanı yönetim sistemleri tarafından uygulanır. Bir bildirim paketini iletirken hatalar hakkında rapor edilen kontrol toplamlarının geliştirilmesine, kabul edilmeyen bir paketin iletiminin tekrarlanmasına dayalı olarak, iletilen verilerin bütünlüğünü ve işletim sistemlerinde ve veritabanı yönetim sistemlerinde kurulu işlemlerin güvenilirliğini artırma ve sağlama özellikleri .

Bildirilmemiş yeteneklerin varlığını izlemeye yönelik alt sistem, veritabanı yönetim sistemleri, güvenlik özellikleri ve anti-virüs koruma özellikleriyle birlikte uygulanır.

PDN'nin ve bu bilgileri işleyen ISDN'nin yazılım ve donanım ara yazılımının güvenliğini sağlamak için, kaldırılan özel anti-virüs koruma özelliklerinin kurulması önerilir:

PDN'nin yanı sıra PDN'nin işlenmesini uygulayan gaz sistemi ve uygulama yazılımı üzerindeki yıkıcı viral akışların tespiti ve (veya) engellenmesi;

bilinmeyen virüslerin tespiti ve tespiti;

Başlatıldığında bu anti-virüs cihazının kendi kendini izlediğinden (bulaşmanın önlenmesi) emin olun.

Antivirüs koruma seçeneklerini seçerken aşağıdaki faktörleri dikkate almak önemlidir:

standart ISPDN yazılımına atanan maliyetlerin toplamı;

ana nedenlerden dolayı ISPDN işleyişinin üretkenliğindeki düşüş aşaması;

ISPDN'deki bilgi güvenliği yöneticisinin işyerinden anti-virüs korumasının işlevselliğinin merkezi kontrolünün tespiti;

yazılım-matematik enjeksiyonlarının (PMI) tüm durumları ve gerçekleri hakkında ISPD'deki bilgi güvenliği yöneticisini derhal bilgilendirme olasılığı;

Anti-virüs koruma sisteminin kullanımına ilişkin ayrıntılı belgelerin mevcudiyeti;

anti-virüs koruması için periyodik test veya kendi kendini test etme olasılığı;

ISPDN'nin etkinliği ile diğer savunma yetenekleri türleriyle "çatışma" arasında zaman kaybetmeden PMV'deki savunma yetenekleri stokunu yeni ek yöntemlerle genişletme olasılığı.

Anti-virüs koruma özelliklerini yükleme, ayarlama, yapılandırma ve yönetme prosedürünün açıklamasının yanı sıra bir virüs saldırısı algılandığında uygulanacak prosedür ve program matematiği enjeksiyonları nedeniyle oluşabilecek diğer hasarlar Bilgi verilene kadar açılabilir ISPDN'deki güvenlik yöneticisi onaylar.

Sınır ötesi etkileşim sırasında ISPD kaynaklarına erişimi etkili bir şekilde farklılaştırmak için, yazılım ve donanım-yazılım sınır ötesi ekranlar (ME) tarafından uygulanan sınır ötesi tarama kurulur. Kenar boşlukları ekranı, iç ve dış kenar olarak adlandırılan kenarlık arasına monte edilir. Kenarlararası ekran, korunan sınırın deposuna girer. Bu rota için kurallar, erişimi içeriden dışarıya ve dışarıya doğru ayıracak şekilde dikkatlice belirlenmiştir.

ISPD 3 ve 4 sınıflarında güvenli sınır ötesi etkileşimi sağlamak için en azından beşinci güvenlik seviyesi için ME'nin kullanılması tavsiye edilir.

Sınıf 2 ISPD'de güvenli sınır ötesi etkileşimi sağlamak için IU'nun en az dördüncü güvenlik seviyesinde kullanılması tavsiye edilir.

Sınıf 1 ISPD'de güvenli sınır ötesi etkileşimi sağlamak için, en azından üçüncü düzey güvenlik için IU'nun kullanılması önerilir.

Güvenlik analizi alt sistemi, çeşitli test yöntemleri (güvenlik analizi) ve bilgi güvenliği kontrolü (denetim) temelinde uygulanır.

Güvenliği analiz etme yeteneği, iş istasyonları ve sunuculardaki işletim sistemlerinin güvenliğini izleme yöntemine dayanır ve hırsızların mülkün kenarında saldırı gerçekleştirme yeteneklerinin değerlendirilmesine ve yazılım güvenliğinin güvenliğinin izlenmesine olanak tanır. Bunu yapmak için sınırın topolojisini izleyin, sınıra yönelik korumasız veya yetkisiz bağlantıları arayın ve sınırlar arası ekranların ayarlarını kontrol edin. Böyle bir analiz, güvenlik cihazlarının (örneğin, anahtarlar, yönlendiriciler, sınır ekranları) ayarlarındaki farklılıkların veya işletim sistemlerindeki veya uygulama yazılımındaki farklılıkların ayrıntılı açıklamalarına dayanarak gerçekleştirilir. Hırsızlığa ilişkin özel analiz sonucunda sızıntının tespitine ilişkin bilgiler elde edilir.

Dökülmelerin tespitine yönelik yöntemler, ikincil düzeyde (ağ tabanlı olarak adlandırılır), işletim sistemi düzeyinde (ana bilgisayar tabanlı) ve program düzeyinde (uygulama tabanlı) çalışabilir. Yazılımı basitçe tarayarak, mevcut tüm ISDN düğümlerinin bir haritasını hızlı bir şekilde oluşturabilir, her birinde kullanılan hizmetleri ve protokolleri tanımlayabilir, ana yapılandırmalarını belirleyebilir ve NSD'nin uygulanmasında şeffaflık için teşvikler oluşturabilirsiniz.

Sistem taramasının sonuçlarının ardından, eksiklikleri belirlemenize olanak tanıyan öneriler ve girişler göreceksiniz.

Arayüz etkileşimleri için SPR'ye yönelik tehditlerin belirlenmesi amacıyla izinsiz giriş tespit sistemleri kurulacaktır. Bu tür sistemler, saldırıların uygulanmasının özelliklerine, gelişim aşamalarına ve bir dizi saldırı tespit yöntemine dayanacaktır.

Üç grup saldırı tespit yöntemi vardır:

imza yöntemleri;

anormallikleri tespit etme yöntemleri;

kombine yöntemler (imza yöntemleri ve anormallik tespit yöntemleri gibi farklı algoritmaları birleştiren).

Sınıf 3 ve 4'ün ISPD saldırılarını tespit etmek için imza analiz yöntemlerini kullanan güvenlik saldırısı tespit sistemlerinin kullanılması önerilir.

ISPD sınıf 1 ve 2'ye yapılan izinsiz girişleri tespit etmek amacıyla anormallikleri analiz etmek için imza tabanlı yöntemler kullanan güvenlik saldırısı tespit sistemlerinin kullanılması önerilir.

PDN'yi teknik kanalların akışından korumak için, akustik (hareketsel), görsel bilgi akışının yanı sıra ekonomi için bilgi akışını durdurmayı amaçlayan organizasyonel ve teknik yaklaşımlar durağanlaştırılmıştır. Elektromanyetik titreşimlerin yan ürünleri yoktur. ayarlanmalı ve yönlendirilmelidir.

Sonuç olarak robotun başka bir bölümünden bu tür fikirler üzerinde çalışıyoruz. Kişisel bilgilerin güvenliği, devlet yetkililerine veya işletme sahiplerine zarar verebilecek, doğal veya parça parça nitelikteki ara sıra veya sürekli dalgalanmalar gibi bilgilerin ve desteklediği altyapının güvenliği anlamına gelir. Şu alandaki bilgi güvenliği nesneleri: görünürlüğü ve bilgi sistemlerini destekleyen bilgi kaynakları. Koruma çerçevesinde kullanılan başlıca yöntemler şunlardır: Neyin açığa çıkarılıp hemen çalınması.

VİŞNOVOK

Ekonomik nesnelerin bilgi güvenliği sorunu çok yönlüdür ve daha fazla analiz gerektirecektir.

Dünyada bilgi, ekonomik açıdan gelişmiş bir devletin temel zenginliklerinden biri olan stratejik bir ulusal kaynak haline gelir. Rusya'daki kapsamlı bilgileşme nedeniyle hayati çıkarların yaşamın her alanına, özelliklerine, krallıklarına ve güçlerine nüfuz etmesi sayısız ilerlemeye ve düşük düzeyli sorunların ortaya çıkmasına neden oldu. Bunlardan biri bilgiyi koruma ihtiyacıydı. Geleceğin ekonomik potansiyelinin bilgi altyapısının gelişmesiyle daha eşit olduğu gerçeğine bakıldığında, ekonominin bilgi akışlarına yayılma potansiyeli de orantılı olarak artıyor.

Bilgi güvenliğine yönelik tehdit, bilgilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin tehlikeye atılmasından kaynaklanmaktadır. Bilgi korumasına sistematik bir yaklaşım açısından, ekonomik bir nesnenin tüm yapısal öğelerinde ve bilgi işleme teknolojik döngüsünün tüm aşamalarında bariz koruma özelliklerinin tüm cephaneliğini araştırmak gerekir. Savunmanın, korunan sırlara yetkisiz erişimin olası yollarını güvenilir bir şekilde engelleme yöntemleri ve yolları. Bilgi güvenliğinin etkinliği, buna harcanan miktarın, bilgi tehditlerinin uygulanması için harcanabilecek miktardan mutlaka daha fazla olmadığı anlamına gelir. Bilgi güvenliği planlaması, cilt hizmetine yönelik detaylı bilgi güvenliği planları geliştirilerek gerçekleştirilir. Müşterilerin yeni bilgi türlerine erişim haklarının güncel olarak yenilenmesinde netliğe ihtiyaç duyulmakta, güvenlik koşulları üzerinde kontrolün sağlanması ve aksaklıklara anında müdahale edilmesi gerekmektedir.

REFERANSLAR

1.Bankacılıkta otomatik bilgi teknolojileri / ed. prof. G.A. Titorenko. - M: Fіnstatіnform, 2007

2.Ekonominin otomatik bilgi teknolojileri / Ed. prof. G.A. Titorenko. - M: UNITI, 2010

.Ageev A. S. Organizasyon ve modern bilgi güvenliği yöntemleri. - M: "Banka. İş Merkezi" endişesi, 2009

.Adzhiev, V. Yazılım güvenliğine ilişkin mitler: ünlü felaketlerden dersler. - Açık sistemler, 199. No. 6

.Aleksiev, V.I. Belediye yetkililerinin bilgi güvenliği. – Voronej: VDTU, 2008.

.Alekseev, V.M. Bilgi teknolojilerinin güvenliğini değerlendirmeye yönelik uluslararası kriterler ve bunların pratik uygulamaları: Temel kılavuz. - Penza: Penza'nın görünümü. tutma Üniv., 2002

.Alekseev, V.M. Yetkisiz erişime karşı düzenleyici koruma. - Penza: Penza'nın görünümü. tutma Üniv., 2007

.Alekseev, V.M. Yazılım özelliklerinin geliştirilmesinde bilgi güvenliğinin sağlanması. - Penza: Penza'nın görünümü. tutma Üniv., 2008

.Aloshin, L.I. Bilginin korunması ve bilgi güvenliği: L.I. Aloshin; Moskova tutma Kültür Üniversitesi. - M: Moskova. tutma Kültür Üniversitesi, 2010

.Akhramenka, N.F. ve elektronik belgelerle ödeme sistemi // Güvenlik Bilgi Yönetimi, 1998

.Bankalar ve bankacılık işlemleri. Podruchnik/Ed. E.F. Zhukova. - M.: Bankalar ve borsalar, UNITI, 2008

.Barsukov, V.S. Güvenlik: teknolojiler, görevler, hizmetler. - M: Kudits - Resim, 2007

.Baturin, Yu.M. Bilgisayar hukukunun sorunları. - M: Yasal. izin ver., 1991

.Baturin, Yu.M. Bilgisayar yaramazlığı ve bilgisayar güvenliği. M: Yur.lit., 2009

.Bezrukov, N.M. Bilgisayar virolojisine giriş. M5-005'teki en yaygın virüslerin temel çalışma prensipleri, sınıflandırılması ve kataloğu. K., 2005

.Bikov, V.A. Elektronik iş ve güvenlik / V. A. Bikov. - M: Radyo ve bağlantılar, 2000

.Varfolomeev, A.A. Bilgi Güvenliği. Kriptolojinin matematiksel pusuları. Bölüm 1. - M: MIFI, 1995

.Vehov, V.B. Bilgisayar yanlış uygulamaları: Şiddet ve imha yöntemleri. - M: Hukuk ve Hukuk, 1996

.Volobuev, S.V. Bilgi güvenliğine giriş. - Obninsk: Obn. Atom Enerjisi Enstitüsü, 2001

.Volobuev, S.V. Otomatik sistemlerin bilgi güvenliği. - Obninsk: Obn. Atom Enerjisi Enstitüsü, 2001

.Tüm Rusya bilimsel ve pratik konferansı "Okul sisteminde bilgi güvenliği", sayfa 28-29. 2000 r., NDTU, Novosibirsk, Rusya: IBVSH 2000. - Novosibirsk, 2001

23.Galatenko, V.A. Bilgi güvenliği: V. A. Galatenko'nun pratik bir yaklaşımı; Ed başına. V. B. Betelina; İncir. akad. Bilimler, Nauk.-dosled. Sistemler Enstitüsü. takip etmek - M: Bilim, 1998

.Galatenko, V.A. Bilgi güvenliğinin temelleri: Ders anlatımı. - M: İnternet Bilgi Üniversitesi. teknoloji, 2003

.Gennadieva, E.G. Bilgisayar bilimi ve bilgi güvenliğinin teorik temelleri. - M: Radyo ve bağlantılar, 2000

.Ghika, Sebastian Narcis. BMR formatındaki grafik dosyalarından bilgi yakalama Dis. ...cand. teknoloji. Bilimler: 05.13.19 – St. Petersburg, 2001

.Gika, S.M. BMR formatındaki grafik dosyalarından bilgilerin alınması: Yazarın özeti. dis. ...cand. teknoloji. Bilimler: 05.13.19 St. Petersburg. tutma In-tacc. mekanik ve optik. – St.Petersburg, 2001

.Golubev, V.V. Güvenlik Yönetimi. - St.Petersburg: Peter, 2004

.Gorbatov, V.S. Bilgi Güvenliği. Yasal korumanın temelleri. - M: MIFI (TU), 1995

.Gorlova, I.I., ed. Bilgi özgürlüğü ve bilgi güvenliği: Uluslararası konferansın materyalleri. Bilim. konf., Krasnodar, 30-31 zhovt. 2001 r. -Krasnodar, 2001

.Grinsberg, AS ve devlet idaresinin bilgi kaynaklarının korunması. - M: UNITI, 2003

.Küresel bilgi hizmeti "INFOFORUM-5"in zihinleri için Rusya'nın bilgi güvenliği: Zb. 5. Tüm Rusya'nın materyalleri. conf., Moskova, 4-5 l. 2003 - M.: TOV Ed. dergi Rusya'da İş ve Güvenlik, 2003

.Bilgi güvenliği: Zb. yöntem. malzemeler M-çalışmak için Şek. Federasyon [ta ін]. - M: CNIIATOMINFORM, 2003

34.Bilgi teknolojileri // Yaşam ekonomisi. Sayı 25, 2001

35.Pazarlamada bilgi teknolojileri: Üniversiteler için el kitabı - M.: 2003

.Ekonomi ve yönetimde bilgi teknolojileri: Podruchnik / Kozirev A.A. - M .: Vid-vo Mikhailova V.A., 2005

.Lopatin, V.M. Rusya Dis'in bilgi güvenliği. ... Hukuk Doktoru. Bilimler: 12.00.01

.Lukashin, V.I. Bilgi Güvenliği. - M: Moskova. tutma Ekonomi, İstatistik ve Bilişim Üniversitesi

.Luchin, I.M., Zheldakov A.A., Kuznetsov N.A. Şifre korumasını kırmak // Kolluk kuvvetlerinin bilgilendirilmesi. M., 1996

.McClure, Stuart. Web'de hackleme. Saldırılar ve savunucular Stuart McClar, Saumil Shah, Shriray Shah. - M: Williams, 2003

.Malyuk, A.A. Veri işleme sistemlerinde bilgi güvenliği seviyesinin tahmine dayalı değerlendirmesinin resmileştirilmesinin teorik temeli. - M: MIFI, 1998SPb., 2000

.Bilgi güvenliği sistemlerinin ekonomik verimliliği. Chobotar P.P. – Moldova Ekonomi Akademisi, 2003

.Yakovlev, V.V. Bilgi güvenliği ve ulaşım taşımacılığının kurumsal sınırlarında bilgilerin korunması. - M., 2002

.Yarochkin, V.I. Bilgi Güvenliği. - M: Mir, 2003

.Yarochkin, V.I. Bilgi Güvenliği. - M: "Svit" Vakfı, 2003: Acad. Proje

.Yaseniv, V.M. Ekonomide otomatik bilgi sistemleri ve çevre güvenliğinin sağlanması: Temel kılavuz. – N. Novgorod, 2002

Benzer robotlar - Kişisel verilerin çevrimiçi bankacılık sistemlerinden korunması

Marina Prokhorova,"Kişisel Haraçlar" dergisinin editörü

Natalya Samoilova,"InfoTechnoProject" şirketinin avukatı

Kişisel verilerin işlenmesi alanında bugüne kadar geliştirilen düzenleyici çerçeve, kuruluşlarda kişisel verilerin korunmasından işlerin daha etkin organizasyonu için benimsenmesi gereken belgeler, bilgi hazırlamanın teknik yönleri, kişisel veri operatörlerinin değerli sistemleri - aynıları Pubblekatsii dergisinin gazetesi, Tsiy Statti'de yankılanan sorunlu Dani'nin, Bankacılık Bankacılığı'nın böyle bir yönü hakkında çığlık atmaya sıcak olduğu, Kişisel Dani'nin "Sinkish" Zahist'i olan Pubblekatsii dergisinin gazetesinin geri kalanında da sık sık ortalıkta dolaşıyordu. ve Organizasyonların TSI'sında İnşa Edilmesi.

Belirli bir örnek hakkında konuşalım

Adli inceleme, kişisel verilerin korunması, Chernya 2008'deki Oschadbank ihlalleri hakkında bir soru var. Geminin incelemesinin özü saldırıya indirgenmişti. Vatandaş ile banka arasında, görünüşe göre vatandaş, kredi sözleşmesi sorumluluğunu ihlal ettiği için banka huzuruna çıkma yükümlülüğünü kabul edene kadar bir kefalet sözleşmesi imzalandı. Kredi sözleşmesi hükümlerine uyulmaması nedeniyle, kefilin güvenilmez bir müşteri olduğuna ilişkin bilgiler Durdurma Listesi bankasının otomatik bilgi sistemine girildi ve bu da size verilen kredinin kullanılmasına temel oluşturdu. Bu durumda banka, kredi sözleşmesine ilişkin olarak müdürün görevini uygunsuz şekilde yerine getirdiği konusunda vatandaşa bilgi vermemiştir. Ayrıca kefalet sözleşmesinde, alacak sahibinin hukuka aykırı olması durumunda bankanın garantöre ilişkin bilgileri “Durdurma Listesi” bilgi sistemine girme hakkına sahip olacağı yönünde bir hüküm yer almıyordu. Bu şekilde bankanın, yeni Durdurma Listesi bilgi sistemine herhangi bir gerekçe göstermeksizin bilgi dahil ederek vatandaşın kişisel verilerini işlemesi, Kanunun 1. maddesinin yetkilerine aykırıdır. 27 Haziran 2006 tarih ve 152-FZ sayılı Federal Kanunun 9'u “Kişisel veriler hakkında”, kişisel verilerin konusunun, kişisel verilerinin sağlanmasına ilişkin bir karar vermesi ve bunların kendi iradesiyle ve kendi çıkarları doğrultusunda işlenmesine izin vermesidir. Kırım sırasıyla Sanatın 1. Bölümüne aktarıldı. Yasaya göre vatandaş, Durdurma Listesi bilgi sisteminde kendisi hakkında kayıtlı olan bilgilerden haberdar olma fırsatı vermek, bu kayıtları bloke etmek ve azaltmak için bankaya gitti. Memnun olan vatandaş bankayı ikna etti.

İnceleme sonuçları, Vladivostok Leninsky Bölge Mahkemesi tarafından incelendi ve Primorsky Bölgesi Roskomnaglyad İdaresi'nin Rusya'nın Oschadbank'ına vatandaş haklarının ihlalinin korunması ve bankanın bilgi alma talebi hakkındaki çağrıları yerine getirildi. vatandaş hakkında bilgi içeren "Durdurma listesi" sistemi.

Bu popoyu neden göstermeliyiz? Müşterilerinin önemli bir kısmının kişisel verilerini saklayan bankalar, bunları bir veri tabanından diğerine taşımaya çalışmamakta ve çoğu zaman kişisel verilerin konusu hakkında bilgi vermemekte, görünüşe göre bu menfaati elinden alacak olanlar hakkında bilgi vermemektedir. ondan kişisel veriler gibi şeyler. Elbette bankacılık faaliyetinin bir takım özellikleri vardır ve çoğu zaman müşterilerin kişisel verileri yalnızca bankanın anlaşmalarını onaylamak amacıyla değil, aynı zamanda bankanın müşterinin yükümlülükleri üzerinde etkili kontrolü için de toplanır. kişisel verilerin nasıl işlendiği, konuların gerekli sağlık durumu.

Karanlık bir durumda zorluk

Neden yasal olan kişisel verileri kullanarak herhangi bir işlem yapmıyorsunuz? Üçüncü taraf sahtecileri elde etmek her şeyden çok gerekli olan bir deliliktir, bu nedenle büyük bankaların hukuk departmanlarının avukatları birinci sınıf profesyonellerdir ve bu alandaki çalışmanın özgüllüğü nedeniyle kişisel verileri pratik olarak sıfırdan öğrenmeleri gerekiyor. Bu nedenle en iyi çıkış yolu, kişisel verileri korumak için hizmet sağlama konusunda uzmanlaşmış şirketlerden, kişisel verilerden iş organize etmeye kadar, teknik olmayan korumanın siz yaşarken yasa koyucuya uygunluk denetimi girişi yapanlar da dahil olmak üzere, kişisel verileri korumaya yönelik bir sistem organize etmekten iş almaktır. .

Analitik araştırmanın sonuçları, 152-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanun hükümlerine uygun olarak en büyük zorlukları oluşturanlar hakkında bilgi edinmemizi sağlar.

Bu düzenleyici belgenin 22. Maddesinin 1. Kısmına tabi olarak, talep operatörünün kişisel verilerin işlenmesi için ilgili makamı bilgilendirmesi gerekir. Suçlular arasında, kişisel verilerin işlenmesinin, tarafının kişisel verilerin konusu olduğu yerleşik sözleşmeyle olan bağlantıdan uzaklaştırılması durumunda bir kaza da vardır... ve aşağıdakiler de dahil olmak üzere operatörün ihlaline tabidir: 152 sayılı Federal Kanunun 22. maddesinin 2. kısmının 2. fıkrasının alt bölümüne atanan sözleşmenin belirlenmesi -FZ "Kişisel veriler hakkında. Tam da bu durumda faaliyet gösteren bankalar, kişisel verilerin işlenmesi hakkında bilgi sağlamamaktadır. ve çoğu operatör olarak kendilerine saygı duymuyor ki bu da temelde yanlış.

Ayrıca, sözleşmeye konu olan ve beklemede olan kişisel veri işleticisi bankalara yönelik bir kapsam daha uzatılmıştır. İstasyona teslimat. 6, kanuna göre, kişisel verilerin işlenmesi, taraflardan birinin taraf olduğu anlaşma yöntemine göre bu tür işlemenin sonuçları nedeniyle, kişisel verilerin konu olduğu yıl boyunca operatör tarafından gerçekleştirilebilir. kişisel verilerin konusu onlar. Dolayısıyla pek çok bankacılık düzenlemesi, kişisel veri konusunun varlığını böyle bir sözleşmeyle açıklamaktadır.

Ama bir düşünelim, bir operatör olan banka, örneğin yeni hizmetler hakkında bildirim göndermek, "Durdurma listeleri" tutmak için sözleşmenin imzalandığı sırada konunun kişisel verilerini neden almasın? ”? Ancak kişisel verilerin işlenmesi, sözleşmenin tamamlanması amacıyla ve bankalar için ticari çıkar teşkil eden diğer amaçlarla gerçekleştirilir ve ayrıca:

• bankaların kişisel verilerin işlenmesine ilişkin yetkili makama bildirimde bulunmaları gerekmektedir;
• Bankalar, kişisel verilerin yalnızca ilgili kişinin yararına işlenmesinden sorumludur.

Bu, bankaların müşterilerinin kişisel verileriyle, bu tür verilerin teknik olmayan bir şekilde korunmasını sağlamak amacıyla robotik bir sistem düzenleyebilecekleri anlamına geliyor.

Kişisel haraçların işlenmesi için hibe mektubu

Bu nedenle, kişisel verilerin konusunun kişisel verileri işlemesi gerekiyorsa, 152-FZ sayılı "Kişisel Verilere İlişkin" Federal Kanun, operatörlerin, kanunda öngörülen durumlar dışında, kişisel verilerin işlenmesine yönelik yazılı izni kısıtlamasını gerektirir. Aynı zamanda Sanatın 3. Bölümüne kadar. 9. Kişinin kişisel verilerinin işlenmesinden çıkarılmasını sağlama yükümlülüğü işletmeciye aittir. Dolayısıyla gerekirse bu tür delilleri toplayarak (örneğin delil ararken) bir saatinizi boşa harcamamanız için konuların yazılı formdan ayrılmasının daha doğru olacağını düşünüyoruz.

Kişisel verilerin yazılı şekline ilişkin bir argüman daha sunalım. Çoğu zaman bankaların faaliyetleri, verilerin (kişisel veriler) yabancı bir gücün topraklarına aktarılmasını içerir. 3. sürüş, bölüm 1, sanat. 152-FZ Sayılı Federal Kanunun 12'si “Kişisel Veriler Hakkında”, kişisel verilerin transkordon aktarımına başlamadan önce, iddiaların operatörünün, kişisel verilerin aktarımının gerçekleştiği bölgedeki yabancı güçle iletişime geçeceğini belirtir. kişisel konuların haklarının yeterli şekilde korunması haraç Söz konusu korumanın sağlanamaması durumunda, kişisel verilerin transkordon aktarımı ancak kişisel veri sahibinin yazılı rızasının alınmasından sonra mümkündür. Yabancı bankaların, müşterinin kişisel verilerinin işlenmesine ilişkin yazılı talebini reddetmesinin, yabancı bir güçte korumanın yeterliliğini tespit etmekten daha kolay olacağı varsayılabilir.

Bu yıldan itibaren yazılı olabilecek bilgilerin Madde 4'te yeniden düzenlendiğini saygılarımızla sunarız. Tanınmış Federal Yasanın 9'u ve bu fark önemlidir. Ve örneğin bir kredi sözleşmesinde şu ifadenin altındaki imza: 152-FZ sayılı "Kişisel Verilere İlişkin" Federal Kanuna göre "Kişisel verilerimi kurtarma yetkim var" ve bunları işleme hakkı yoktur!

Görünüşe göre yasada yalnızca birkaç nokta var ve geminin çağrılarına kadar ne kadar çok komplikasyon yanlış bir şekilde ifade edilebilir. Öznelerin kişisel verilerinin çeşitli yapıların rekabet mücadelesinde çoğu zaman bir meta haline geldiği günümüze kadar, bunların korunmasının başarılı bir şekilde sağlanması, bankacılık ve kredi kurumlarının bilgi sistemlerinin güvenliği, tasarruflar için bir güvence haline gelir. organizasyon.

İnsanlar her geçen gün kişisel verilerinin keşfedilmesinin olası olumsuz sonuçlarının daha fazla farkına varıyor ve bu da profil verilerinin ortaya çıkmasına neden oluyor. Çeşitli şirketlerin kaynaklarını keşfedin ve bilgi edinin. Bazıları genel olarak “bilgi güvenliği” kavramlarıyla ilgili geniş konu yelpazesini vurgularken, diğerleri teknik güvenliğin ilerlemesini ve özelliklerini incelemeye adanmıştır, ancak yine de teknik güvenlikle ilgili sorunlar hakkında da konuşurlar. teknik olmayan koruma. Yani kişisel verilerin korunmasına ilişkin bilgiler daha erişilebilir hale gelecek, bu da vatandaşların haklarının korunması konusunda daha bilgili olacağı anlamına geliyor.

Bankadaki kişisel verilerin güvenliği

Nedir bu özel haraçlar?

Federal yasaya tabi olarak, kişisel veriler, bir kişiye iletilen veya babasına, rik'ine, aya göre takma adı, adı da dahil olmak üzere fiziksel bir kişinin (kişisel verilerin konusu) bu tür bilgilerine dayanarak belirtilen herhangi bir bilgidir. , doğum tarihi ve yeri, adresler, aile, sosyal bilgiler, ilçe, eğitim, meslek, gelir, diğer bilgiler.

Kişisel veriler nerede?

Bankanın kişisel verileri (PDN) aşağıdaki sistemlerde mevcuttur:

Otomatik bankacılık sistemi (ABS);

Müşteri-Banka Sistemleri;

Kuruşların transferi için sistemler;

Muhasebe sistemleri;

İK sistemleri;

Kurumsal bilgi sistemi;

Dahili web portalı.

PDN kağıt belgelerde (sözleşmeler, formlar, talimatlar, talimatlar, anketler vb.) mevcut olabilir.

Kişisel verileri korumak için hangi belgeler kurulabilir?

Federal yasalar

27 Haziran 2006 tarih ve 149-FZ sayılı Federal Kanun “Bilgi, bilgi teknolojileri ve bilginin korunması hakkında”;

Siparişe Karar Verin

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Kararnamesi “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine ilişkin hükümlerin onaylanması hakkında”;

29 Nisan 2007 tarih ve 957 sayılı Rusya Federasyonu Kararnamesi “Şifreleme (kriptografik) yöntemleriyle ilgili belirli türdeki faaliyetlerin lisanslanmasının onaylanması hakkında”;

15 Haziran 2008 tarih ve 687 sayılı Rusya Federasyonu Kararnamesi “Otomasyon yöntemleri kullanılmadan çalışan kişisel verilerin işlenmesinin özelliklerine ilişkin hükümlerin onaylanması hakkında.”

Rusya'nın FSTEC'i

Rusya FSTEC, Rusya FSB ve Rusya İletişim Bakanlığı'nın 13 Şubat 2008 tarihli nihai emri. 55/86/20 sayılı “Kişisel veri bilgi sistemlerinin sınıflandırılmasına ilişkin usulün onaylanması hakkında”;

Rusya FSTEC'in temel belgesi “Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik temel tehdit modeli”;

Rusya FSTEC'in temel belgesi “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik mevcut tehditlerin belirlenmesine yönelik metodoloji”;

5 Şubat 2010 tarihli Rusya FSTEC Emri. Sayı 58 “Kişisel bilgilerde bilgilerin korunmasına ve yöntemlerine ilişkin düzenlemelerin onaylanması hakkında.”

Rusya FSB'si

13 Haziran 2001 tarihli FAPSI Emri No. 152 “Bilgiye müdahale etmemek için, paylaşılan erişime sahip bilgilerin kriptografik korunmasının çeşitli özellikleriyle bağlantılı olarak kanallar tarafından kaydedilmesi, işlenmesi ve iletilmesinin organizasyonu ve güvenliğine ilişkin talimatların onaylanması hakkında, ne oluşturulacağı hakkında egemen hapishane”;

Rusya Federasyonu FSB'nin 9 Şubat 2005 tarihli emri. No. 66 “Bilgilerin korunmasına yönelik şifreleme (kriptografik) özelliklerinin geliştirilmesi, geliştirilmesi, uygulanması ve işletilmesine ilişkin düzenlemelerin onaylanması hakkında (PKZ-2005'in oluşumu)”;

Rusya FSB'nin 21 Şubat 2008 tarihli resmi belgesi. Sayı 149/54-144 “Kişisel verilerin çeşitli otomasyon yöntemleri kullanılarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kriptografik yöntemler kullanılarak güvenliğinin sağlanmasına yönelik metodolojik öneriler”;

Rusya FSB'nin 21 Şubat 2008 tarihli resmi belgesi. 149/6/6-622 “Bilgilerin korunmasına yönelik, kayıtların yerinden çıkmaması ve aynı zamanda devlet sırrı haline getirilmesi amacıyla şifreleme (kriptografik) özelliklerinin düzenlenmesi ve işleyişinin sağlanmasına yönelik tipik yöntemler kişisel verilerinizin bilişim sistemlerinde işlenmesi sırasında kişisel verilerinizin güvenliğinin sağlanmasına yönelik bir rehberdir";

Rusya Standart Bankası

STO BR IBBS-1.0-2010 Rusya Federasyonu bankacılık sisteminin organizasyonunun bilgi güvenliği. Zagalni konumu";

STO BR IBBS-1.1-2007 Rusya Federasyonu bankacılık sisteminin organizasyonunun bilgi güvenliği. Bilgi güvenliği denetimi";

STO BR IBBS-1.2-2010 “Rusya Federasyonu bankacılık sisteminin organizasyonunun bilgi güvenliği. STO BR IBBS-1.0-20xx'i kullanarak Rusya Federasyonu bankacılık sisteminin organizasyonu tarafından bilgi güvenliğinin güvenilirliğinin değerlendirilmesine yönelik metodoloji";

RS BR IBBS-2.0-2007 “Rusya Federasyonu bankacılık sisteminin organizasyonunun bilgi güvenliği. Bilgi güvenliği alanındaki dokümantasyona yönelik metodolojik öneriler, STO BR IBBS-1.0'ın yetenekleriyle tutarlıdır";

RS BR IBBS-2.1-2007 “Rusya Federasyonu bankacılık sisteminin organizasyonunun bilgi güvenliği. STO BR IBBS-1.0'ı kullanarak Rusya Federasyonu bankacılık sisteminin organizasyonunda bilgi güvenliğinin güvenilirliğinin öz değerlendirmesine yönelik bir kılavuz;

RS BR IBBS-2.3-2010 “Rusya Federasyonu bankacılık sisteminin IB organizasyonunun güvenliği. Rusya Federasyonu bankacılık sisteminin organizasyonunun kişisel veri bilgi sistemlerinde kişisel verilerin güvenliği nasıl sağlanır?";

RS BR IBBS-2.4-2010 “Rusya Federasyonu bankacılık sisteminin IB organizasyonunun güvenliği. Galuzev'in, Rusya Federasyonu bankacılık sisteminin bankacılık organizasyonunun PD bilgi sistemlerinde işlendiği saat boyunca kişisel verilerin güvenliğine yönelik özel tehdit modeli";

Yasa koyucuların, Rusya Merkez Bankası, ARB ve Rusya Bölgesel Bankalar Birliği ("Ros Iya Derneği") tarafından ikiye ayrılan RF BS kuruluşlarındaki kişisel verileri işleyebilmelerini sağlamaya yönelik metodik öneriler.

Kişisel veriler nasıl korunur?

Tüm ISPDN türleri için gerekli olan PDN'nin korunmasına yönelik olası tüm metodolojik belgelere uygun olarak aşağıdaki alt sistemler:

Erişim kontrolü alt sistemi;

Kayıt ve depolama alt sistemi;

Bütünlük güvencesi alt sistemi;

Sınırlar arası güvenlik alt sistemi.

ISPD internete bağlıysa, aşağıdaki alt sistemlerin yeterli şekilde izlenmesi gerekir:

Anti-virüs güvenlik alt sistemi;

İzinsiz giriş tespit alt sistemi;

Güvenlik analizi alt sistemi.

Sahiplerin güvenilir bir şekilde tanımlanması ve kimlik doğrulaması için elektronik kilitlerin ve/veya elektronik anahtarların kullanılması da gereklidir.

ISPD, yetkisiz erişimi önlemek için ek bir şekilde dağıtıldığından, korunan bilgileri gizlice erişilmekten ayırmak için, kişisel verileri güvenli olmayan kanal bağlantısı üzerinden iletirken EDS'nin yanı sıra kriptografiyi doğrulamak için kriptografiyi vikorize etmek gerekir. verilerin doğruluğu.

Alt sistemlere bu şekilde bölünme ve bunların temelinde kalıplama, PDN'nin korunmasına yönelik ürünlerin aktarımı solunur ve çoğu durumda kullanılır.

Belirli verileri korumak neden gereklidir?

Veriler PDN'nin gizliliğinden korunuyorsa, yetkisiz erişimi engellemeye yönelik teknik özelliklere girilmesi ve/veya kullanılması gerekiyorsa, böyle bir ISPD standart hale gelir.

Ayrıca bütünlüğün, erişilebilirliğin ve benzerlerinin (görünmezlik, gizlilik, yeterlilik vb.) sağlanması gibi diğer bilgi güvenliği otoritelerinin de sağlanması mümkündür, bu doğrudur, o zaman böyle bir ISPD özel hale gelir. Çoğu durumda ISPD özel olacaktır, dolayısıyla PDN sınıflarına ek olarak koruma mekanizmalarının belirlenmesi amacıyla bu tehdit modeline yönelik bir çözüm oluşturmak gerekir.

Yak zmenshiti sınıfı PDN'si?

Değiştirmek ve affetmek için PDN'nin korumasına gidin, Bankalar hilelerin insafına kalmıştır. Aşağıda çeşitli koruma özelliklerini değiştirmenize olanak tanıyan tipik yöntemleri özetleyeceğim. Prote, Bankanın bilgi sistemlerinin “yeniden çizilmesi” başlı başına karmaşık ve emek yoğun görevlerle sonuçlanacaktır.

Maidan sayısında değişiklik

ISPD'nin bölünmüş olduğu gösterildiğinden, sonuna gelmeden olasılıklarda değişiklikler olur, bunları değiştirmek için ISPD'nin bölünmelerini ortadan kaldırmaya çalışmak gerekir.

ISPD dağıtımı yapılırken PDN'nin farklı platformlarda bulunması, PDN'nin Banka tarafından kontrol edilmeyen iletişim kanalları üzerinden ve gizli bir şekilde iletilmesi, PDN'nin kontrollü bölgeden çıkması veya mahrum kalması anlamına gelir. Daha sonra öncelikle kokacak Maidan sayısını değiştirerek PDN'yi yerelleştirmek gerekiyor. Bazı durumlarda bu pek mümkün olmuyor ama ABS’yi görebiliyorsanız o zaman böyle bir kapasite olmayacak, bu da her şey için daha iyi.

Sunucu sayısında değişiklik

ISPD yerel olduğundan ve Bankanın yerel sınırları içerisinde faaliyet gösterdiğinden, harcanan para miktarını değiştirmenin en kolay yolu, PDN'nin düzenlendiği sunucu ekipmanı miktarını değiştirmektir.

Otomatik iş istasyonları ve personel sayısındaki değişiklik

Herhangi bir ISPD türü için (otomatik bir işyeri biçiminde, yerel, dağıtılmış), PDN'nin uçtan uca işlenmesi genellikle Banka personeli tarafından gerçekleştirilir. Aşağıda tartışılacak olan terminal erişimini kullanmamanız halinde, kişisel verileri işleyen veya bunlara erişimi olan Banka personelinin sayısı değişebilir.

MSE'ye yardım için Podil ІС

PDN miktarını ve dolayısıyla koruma fonksiyonlarının kalitesini değiştirmek için en iyi yol, bilgiyi PDN'nin işlendiği segmentlere bölmektir. Bu amaçla, kenarlar arası ekranların kurulması, vikorizasyonu ve PDN'den herhangi bir izin portlarına segment eklenmesi gerekir. Çoğu zaman, tüm sunucular askerden arındırılmış bölgede, takviye, yasa dışı erişim ve sınır perdeleri arasındaki bankacılık bölümlerinde bulunur. Bu yöntem aynı zamanda bilgi sınırlarının doğasında olan "örtüşmeyi" de teşvik eder. Yöntem, istemci-istemci, istemci-sunucu, sunucu-sunucu kanallarının şifrelenmesi için "doğrusal şifreleme" adı verilen yöntemi temel alır. Birbirine bağlı trafiğin bu şekilde şifrelenmesi, özel güvenlik özellikleri veya standart IPSec teknolojisi kullanılarak uygulanabilir, ancak Rusya'nın FSB'si tarafından onaylanmamıştır ki bu esasen bir dezavantajdır.

ISPD'yi tüm ağ ölçeğinde uygulamanın bir başka yolu da sanal ağ teknolojisi olabilir - VLAN, aslında VLAN, ağ paketinin alanlarından yalnızca birinde yer alan bir tanımlayıcıdır ve bu teknolojiden şu şekilde bahsetmemize olanak tanır: " Bilişim teknolojisi". Dolayısıyla ikincil VLAN'ın bölünmesi, modern teknolojilerin kullanılması nedeniyle bilgi güvenliği ile sonuçlanmamaktadır.

Veritabanlarını parçalara ayırdım

Binlerce kayıttan oluşan bir veritabanı olduğunu varsayalım: P.I.B. katkıda bulunacak miktar.

İki veritabanı daha oluşturuyoruz. Ek benzersiz tanımlayıcınızı girin. Tabloyu iki parçaya bölelim, ilkine P.I.B alanlarını ve tanımlayıcıyı, diğerine tanımlayıcıyı ve yatırılan tutarı yerleştireceğiz.

Böylece bir kişi bu yeni veritabanlarından yalnızca birine erişebildiği için PDN koruması bir daha oluşturulmayacağı için tamamen unutulacaktır. Açıkçası, böyle bir veri tabanının değeri aslında daha düşüktür ve daha az erişilebilirdir. Soruna neden olan veritabanları en güvenli sunucuya aktarılacaktır. Aslında veri tabanında çok daha fazla alan var, dolayısıyla bu prensip pratik olarak cilt lezyonlarına uygulanabilir, çünkü Güvenlik açısından önemli olan alanların sayısı o kadar fazla değil, aksine daha dar. Sınırda, yerel ağa girmenize veya otomatik işlemlerden kaçınmanıza gerek kalmaması için anahtar türlerini bilgisayarınıza kaydedebilirsiniz.

Ayrı PDN

152-FZ hükümlerine tabi olarak, kişisel verilerin izolasyonu, kişisel verilerin belirli bir kişisel veri sahibine atfedilmesinin belirlenmesinin imkansız olduğu durumlar içindir. Bundan, kişisel verilerin sahipliğini belirlemek için kullanılamayan kişisel verilerin kaldırılmasının mümkün olduğu bir dizi yöntem ortaya çıkmaktadır. Örneğin, kokulu alanların kesin verileri işleme amaçları açısından önemli olmadığından, bunlar ya görüntülenemez ya da yalnızca kokunun tüketildiği aralıklarda görüntülenebilir. Örneğin, 20-30. yüzyıl, 30-40. yüzyıl vb. Adres bir bölgeye, okruga veya şehre "yuvarlanabilir": Tsaritsino, Pivdenny, Moskova. Elbette, PDN'nin izolasyonunun kaldırılması süreci pazarlık konusu olabilir veya pazarlık konusu olmayabilir. Kaçınılmaz olarak, daha fazla "yuvarlama" yöntemi vardır ve bunun tersi de örneğin şifrelemedir. Bana göre şifreleme (kodlama) verileri ayırmanın bir yolu olabilir ve bu amaçlarla kullanılabilir.

İnce istemciler ve terminal erişimi

Sunucularda ince istemci teknolojisi ve benzeri terminal erişim teknolojisinin kullanılması, veri kaybı riskinin önemli ölçüde azaltılmasını mümkün kılar. Sağda, "ince" istemcilerin kullanımı ve banka kullanıcılarının bilgisayarlarına terminal erişimi sayesinde, Bankanın veritabanlarının istemci bölümleri, ABS'nin istemci bölümleri vb. gibi özel yazılımlar yüklemesine gerek kalmaz. d. Üstelik Banka çalışanlarının bilgisayarlarına herhangi bir özel güvenlik özelliği yüklenmesine de gerek kalmıyor. Bu teknolojiler, sunucularda kayıtlı veritabanlarındaki bilgileri masaüstünüzde görüntülemenize ve kişisel verilerin işlenmesini yönetmenize olanak tanır. Bu teknolojiler öncelikli olarak güvenlidir, çünkü Terminal politikaları, terminal müşterilerinin (Banka personeli) PDN'yi kopyalama ve ardından genişletme olanaklarını kolayca sınırlar. "İnce istemci" ile sunucular ve bilgisayarlar arasındaki iletişim kanalı kolayca şifrelenebilir, böylece iletilen verilerin gizliliğini basit yollarla sağlayabilirsiniz.

Potansiyel veri akışlarının akışkanlığı, yalnızca kameranın veya video kameranın akışkanlığıyla gösterilen görsel kanalla birbirine bağlanır, ancak özel organizasyonel adımların uygulamaya konulmasıyla bu tür kopyalama daha da önemli hale gelir.

Özel haraçları nasıl çalabilirsin?

Yetkisiz erişime karşı güvenlik duygusu, karmaşık bir organizasyonel ve teknik adımları içerir. Bu oturum açma bilgileri, çeşitli düzeylerde yetkisiz erişimi önlemek için makul mekanizmalara tabidir:

Tanımlama ve kimlik doğrulama (ayrıca iki faktörlü veya katı). Bu (işletim sistemi, altyapı yazılımı, uygulama yazılımı, donanım, örneğin elektronik anahtarlar);

Kayıt ve görünüm. Bu, tüm aşırı sigorta sistemlerine, yazılımlarına ve süreçlerine kayıt (günlük kaydı, protokol) yapılarak yapılabilir;

Bütünlüğün güvence altına alınması. Bu, kontrol edilen dosyaların kontrol toplamlarının güvence altına alınmasını, yazılım bileşenlerinin bütünlüğünün sağlanmasını, kapalı yazılım ortamının korunmasını ve ayrıca güvenilir işletim sisteminin güvenliğinin sağlanmasını içerebilir);

Ağ geçidi ekranı gibi ara ekran ve yerel;

Anti-virüs güvenliği (en fazla üç savunma düzeyi, kademeli düzeyler veya çok satıcılı yaklaşımdan oluşur);

Kriptografi (OSI modelinin farklı seviyelerinde (arayüz, aktarım vb.) işlevsel olarak çalışır ve farklı işlevler sağlar).

NSD'nin işlevselliği nedeniyle özür dileyebilecek bir dizi karmaşık ürün bulunmaktadır. Hepsi durgunluk türleri, mülkiyet desteği, yazılım ve uygulama topolojisi ile farklılaşıyor.

İnternet kapsamına göre alt bölümlere ayrıldığında veya bağlandığında (İnternet, Rostelecom vb.) ISPD, güvenlik analizi ürünlerinin (Rusya Federasyonu'nda doğrudan rakipleri olmayan Positive Technologies'den MaxPatrol) ve ayrıca istilacı olmadığı tespit edildi (IDS/IPS) – ağ geçidine eşit ve uç düğüme eşittir.

Özel haraçları nasıl iletebilirim?

IPDN dağıtıldığı için bu, PDN'nin korumasız iletişim kanalları üzerinden iletilmesinin gerekli olduğu anlamına gelir. Konuşmaya, korumasız kanala “şoklar” var. PDn'yi güvence altına almak için kanalları bağlamak çeşitli şekillerde kullanılabilir:

İletişim kanalının şifrelenmesi. Ağ geçitleri arasında VPN, sunucular arasında VPN, iş istasyonları arasında VPN (InfoTecs ViPNet Custom, Informzakhist APKSH Continent vb.) gibi herhangi bir şekilde güvence altına alabilirsiniz;

MPLS paket anahtarlama. Paketlerin iletimi, sınırlara atanan işaretlere göre farklı şekillerde gerçekleştirilir. MPLS-Meshzhaza MAH Vidpovly Sertifikası, Merei Pacific Romatatsiy Koimogami, INformation Bezpeki FSTEK ROSICH, kaçırılan itaatin SO garantörü, Scho temel temele;

Belgelerin şifrelenmesi. Veri dosyalarının yanı sıra konteyner dosyalarını da şifrelemek için çeşitli güvenlik programları kullanılabilir (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt, vb.);

Arşivlerin şifrelenmesi. AES gibi kripto güvenli algoritmalar kullanarak dosyaları arşivlemenize ve şifrelemenize olanak tanıyan çeşitli arşivleyiciler olabilir. (WinRAR, WinZIP, 7-ZIP vb.).

Sertifikalı sağlık koruma hizmetleri almanız mı gerekiyor?

Bugün Rusya'nın FSTEC'inin kişisel veri koruma özelliklerini belgelendirmesinin tek bir faydası var. Bildirilmemiş yeteneklerin 4. seviyesi sorun yaşarsa, yemeğin geri kalanına üç puan vereceğim:

Güvenlik hizmetleri için sertifikasyon sistemi;

Yeterli visconati vimogi mevzuatı;

Kişisel veri bilgi sisteminin bir sicil ile tasdik edilmesine gerek yoktur.

Shauro Evgen