Bankalarda kişisel veri koruma sistemi. Şirkette kişisel verilerin korunması nasıl sağlanır? Teknik bir çözüm tasarlama
GİRİİŞ
Alaka düzeyi. Modern dünyada bilgi, ekonomik açıdan gelişmiş bir devletin temel zenginliklerinden biri olan stratejik bir kaynak haline geliyor. Rusya'da bilişimin hızla gelişmesi, bireyin, toplumun ve devletin hayati çıkarlarının tüm alanlarına nüfuz etmesi, şüphesiz avantajların yanı sıra bir dizi önemli sorunun ortaya çıkmasına neden oldu. Bunlardan biri bilgiyi koruma ihtiyacıydı. Şu anda ekonomik potansiyelin giderek daha fazla bilgi yapısının gelişmişlik düzeyi tarafından belirlendiği göz önüne alındığında, ekonominin bilgi etkilerine karşı potansiyel kırılganlığı orantılı olarak artmaktadır.
Bilgisayar sistemlerinin yaygınlaşması, iletişim ağlarına entegrasyonu, bunlara elektronik giriş olasılığını arttırmaktadır. Dünyanın tüm ülkelerinde bilişim suçları sorunu, coğrafi konumu ne olursa olsun, bu tür suçlarla mücadelenin örgütlenmesi konusunda kamuoyunun giderek daha fazla ilgi ve çaba göstermesini gerekli kılmaktadır. Otomatik bankacılık sistemleri ve e-ticaretteki suçlar özellikle yaygınlaştı. Yabancı verilere göre, bilgisayar suçları nedeniyle bankalarda yaşanan kayıplar yıllık olarak milyarlarca doları buluyor. Rusya'da en yeni bilgi teknolojilerinin uygulamaya geçme düzeyi çok önemli olmasa da bilgisayar suçları her geçen gün kendini daha fazla hissettiriyor, devleti ve toplumu bunlardan korumak yetkili makamlar için süper bir görev haline geldi.
Hiç kimse kişisel verilerin korunması konusunun öneminden şüphe duymuyor. Her şeyden önce bu, kişisel veri bilgi sistemlerini (PDIS) 27 Temmuz 2006 tarihli 152-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanun ile uyumlu hale getirmek için belirlenen süreden kaynaklanmaktadır. Bu son tarih amansız bir şekilde yaklaşıyor ve aynı zamanda düzenleyici kuralların gerekliliklerini karşılamanın bariz zorluğu, pek çok tartışmaya ve belirsiz yorumlara yol açıyor. Aynı zamanda bazı yol gösterici belgelerin gizliliği, yasal statülerinin belirsiz olması ve diğer bazı konular sorunun çözümüne katkı sağlamamaktadır. Bütün bunlar, düzenleyici çerçevenin nihai olarak tanımlanmadığı ve artık yasanın gerekliliklerine uymanın gerekli olduğu bir durum yaratıyor.
Mayıs 2009'da ARB'de kişisel verilerle ilgili çalışma grubunun ilk toplantısı yapıldı. Etkinlikte, açık bir tartışma sırasında bankacılık camiasını ilgilendiren sorun alanları oldukça açık bir şekilde belirlendi. Bunlar esas olarak kişisel verilerin teknik olarak korunması ve finansal kurumlar ile FSTEC arasındaki gelecekteki etkileşimle ilgiliydi. Rusya Bankası temsilcileri konuşmalarında "Kişisel Veriler Hakkında" kanunun uygulanmasının düzenlenmesi açısından gelişmeleri duyurdular. Temelde yeni ve önemli olan, Rusya Merkez Bankası'nın bankacılık camiası için teknik gereklilikleri formüle etme konusunda düzenleyicilerle uzlaşmaya yönelik girişimleridir. Rusya Federasyonu Merkez Bankası'nın Rusya FSTEC ile çalışma konusundaki faaliyetine özellikle dikkat çekmek isterim. FSTEC yönergelerinin gerekliliklerini karşılamadaki tüm büyük zorlukları göz önünde bulundurarak, Rusya Merkez Bankası, şu anda FSTEC ile tutarlı olan kendi belgelerini (taslak belgeler) hazırlamaya karar verdi. Kişisel verilere ilişkin finansal kuruluşlar için yeni bir endüstri standardının ortaya çıkma ihtimalinin yüksek olduğu varsayılabilir.
Ders çalışmasının amacı, çevrimiçi bankacılık sistemlerinde kişisel verileri korumanın yollarını incelemektir.
Hedefe ulaşmak için aşağıdaki görevler çözüldü:
yaklaşımların incelenmesi, güvenliğin temel ilkeleri;
güvenliği sağlama yöntem ve araçlarının belirlenmesi;
çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğini sağlama özelliklerinin belirlenmesi;
İnternet bankacılığı sistemlerinde kişisel verilerin güvenliğinin sağlanmasına yönelik tedbirlerin geliştirilmesi.
Araştırma çalışmasının amacı bilgi bankacılığı sistemleridir.
Çalışmanın konusu internet bankacılığı sistemlerinde kişisel bilgilerin güvenliğidir.
Çalışmanın teorik ve metodolojik temeli teorik hükümler, bilim adamlarının çalışmaları ve bilgi sağlama alanındaki uzmanların araştırmalarıydı.
Ders çalışmasının metodolojik temeli, güvenlik konularının incelenmesine sistematik bir yaklaşımdı.
Mantıksal, karşılaştırmalı hukuk, sistem analizi kullanıldı. Ayrıca kullanılan yapısal analiz yöntemi, incelenen olgunun bireysel bileşenlerinin gerekli titizlikle incelenmesine ve bu öğelerin hem birbirleriyle hem de genel bütünle olan ilişkilerinin analiz edilmesine olanak sağlar.
1. Çevrimiçi bankacılık sistemlerinde kişisel verilerin korunmasının teorik yönleri
1.1 Yaklaşımlar, güvenlik ilkeleri
Bilgi sistemlerinin güvenliği kapsamında, bilgi sistemini çalışma modlarına kazara veya kasıtlı müdahalelerden koruyan önlemleri anlayın.
Bilgisayar güvenliğine iki temel yaklaşım vardır.
Bunlardan ilki parçalıdır, çerçevesinde belirli koşullar altında (örneğin, özel anti-virüs araçları, bağımsız şifreleme araçları vb.) kesin olarak tanımlanmış tehditlere karşı koymaya odaklanılmıştır. Yaklaşımın, kesin olarak tanımlanmış bir sorun açısından yüksek düzeyde seçicilik öneren avantajları ve korumanın parçalı olduğunu öne süren dezavantajları vardır; iyi tanımlanmış unsurlar.
Bilgi güvenliği yönetimi süreci, Şekil 2'de gösterilen bileşenleri içerir. 1.
İkinci yaklaşım sistemiktir, özelliği, kendi çerçevesinde bilgi korumasının daha büyük ölçekte ele alınmasıdır - heterojen yöntemleri ve tehditlere karşı koyma araçlarını birleştiren bilgilerin işlenmesi, depolanması ve iletilmesi için güvenli bir ortam yaratılır: yazılım ve donanım, yasal, organizasyonel ve ekonomik. Söz konusu güvenli ortam sayesinde otomatik bilgi sisteminin belirli bir düzeyde güvenliği garanti edilebilmektedir.
Bilgi güvenliğine sistematik bir yaklaşım aşağıdaki metodolojik ilkelere dayanmaktadır:
nihai hedef - nihai (küresel) hedefin mutlak önceliği;
birlik - sistemin bir bütün olarak ve bir dizi parça (unsur) olarak ortak değerlendirilmesi;
bağlantı - sistemin herhangi bir parçasının çevreyle olan bağlantılarıyla birlikte dikkate alınması;
modüler yapı - modüllerin sistemdeki tahsisi ve bunun bir modül seti olarak değerlendirilmesi;
hiyerarşiler - parçaların (öğelerin) hiyerarşisini ve bunların sıralamasını tanıtmak;
işlevsellik - işlevin yapıya göre önceliği ile yapı ve işlevin ortak olarak değerlendirilmesi;
geliştirme - sistemin değişkenliği, geliştirme, genişletme, parçaları değiştirme, bilgi biriktirme yeteneği dikkate alınarak;
ademi merkeziyetçilik - merkezileşme ve ademi merkeziyetçiliğin kararları ve yönetimindeki kombinasyonlar;
belirsizlik - sistemdeki belirsizliklerin ve rastgeleliğin muhasebeleştirilmesi.
Modern araştırmacılar aşağıdaki metodolojik konuları birbirinden ayırmaktadır:
Bilgi (bilgisayar dahil) güvenliğinin organizasyonel ve uygulama ilkeleri.
Kanunilik ilkesi. Bilgi güvenliği alanındaki güncel mevzuatın takip edilmesinden oluşur.
Belirsizlik ilkesi Konunun davranışının belirsizliği nedeniyle ortaya çıkar, yani. Korunan nesnenin güvenliğini kim, ne zaman, nerede ve nasıl ihlal edebilir?
İdeal bir koruma sistemi oluşturmanın imkansızlığı ilkesi. Bu fonların belirsizliği ve sınırlı kaynakları ilkesinden kaynaklanmaktadır.
Minimum risk ve minimum hasar ilkeleri, ideal bir koruma sistemi oluşturmanın imkansızlığından kaynaklanmaktadır. Buna göre, koruma nesnesinin herhangi bir anda varlığına ilişkin özel koşulların dikkate alınması gerekir.
Güvenli zaman ilkesi Mutlak zamanın dikkate alınmasını içerir, yani. koruma nesnelerinin korunmasının gerekli olduğu; ve göreceli zaman, yani Kötü niyetli eylemlerin tespit edildiği andan itibaren saldırganın hedefe ulaşmasına kadar geçen süre.
"Herkesin herkesten korunması" ilkesi. Belirsizlik ilkesinin bir sonucu olarak, korunan nesnelere yönelik her türlü tehdide karşı koruyucu önlemlerin düzenlenmesini içerir.
Kişisel sorumluluk ilkeleri. İşletme, kurum ve kuruluştaki her çalışanın, yetkileri, fonksiyonel görevleri ve güncel talimatları çerçevesinde güvenlik rejimine uyum konusunda kişisel sorumluluğunu üstlenir.
Yetkilerin sınırlandırılması ilkesi.İşlevsel görevlerinin normal şekilde yerine getirilmesi için erişimin gerekli olmadığı bilgilere aşina olmak için konunun yetkilerinin sınırlandırılmasını ve ayrıca nesnelere ve bölgelere erişim yasağı getirilmesini içerir. faaliyetinin niteliği gereği orada kalması gerekli değildir.
Etkileşim ve işbirliği ilkesi. Dahili bir tezahür olarak, güvenlikten sorumlu çalışanlar (bilgi güvenliği dahil) ile personel arasında güvene dayalı ilişkilerin geliştirilmesini içerir. Dış tezahürde - ilgili tüm kuruluşlar ve kişilerle (örneğin kolluk kuvvetleri) işbirliği kurmak.
Karmaşıklık ve bireysellik ilkesi: Korunan nesnenin güvenliğinin herhangi bir önlemle sağlanmasının imkansızlığını, ancak yalnızca belirli koşullara bireysel referansla uygulanan bir dizi karmaşık, birbirine bağlı ve birbirini kopyalayan önlemlerle sağlanmasını ifade eder.
Ardışık güvenlik hatları ilkesi: Koruyucu ekipmanın erken alarmının güvenlikten sorumlu çalışanlara güvenlikten sorumlu çalışanlara bilgi sağlama olasılığını artırmak amacıyla, belirli bir koruma nesnesinin güvenliğine yönelik bir ihlalin veya başka bir olumsuz olayın mümkün olan en erken bildirimini varsayar. alarmın nedenini zamanında belirleme ve etkili karşı önlemleri organize etme fırsatı.
Savunma hatlarının eşit gücü ve eşit gücü ilkeleri. Eşit güç, koruma sınırları içerisinde korunmasız alanların bulunmaması anlamına gelir. Eşdeğerlik, koruma nesnesine yönelik tehditlerin derecesine göre savunma hatlarının nispeten eşit düzeyde korunması anlamına gelir.
İşletmede bilgi güvenliğinin sağlanmasına yönelik yöntemler şunlardır:
Engel - bir saldırganın korunan bilgilere (ekipmana, depolama ortamına vb.) giden yolunu fiziksel olarak engelleme yöntemi.
Erişim kontrolü, bir işletmenin otomatik bilgi sisteminin tüm kaynaklarının kullanımını düzenleyerek bilgileri koruma yöntemidir. Erişim kontrolü aşağıdaki güvenlik özelliklerini içerir:
bilgi sisteminin kullanıcılarının, personelinin ve kaynaklarının tanımlanması (her nesneye kişisel bir tanımlayıcının atanması);
kendilerine sunulan tanımlayıcı tarafından nesnenin veya konunun kimlik doğrulaması (kimlik doğrulaması);
Yetkinin doğrulanması (haftanın gününün, günün saatinin, talep edilen kaynakların ve prosedürlerin belirlenen düzenlemelere uygunluğunun kontrol edilmesi);
korunan kaynaklara yapılan çağrıların kaydedilmesi;
yanıt (alarm, kapatma, işin gecikmesi, yetkisiz eylemlere teşebbüs edildiğinde talebin reddedilmesi).
Maskeleme, bir işletmenin otomatik bilgi sistemindeki bilgileri kriptografik kapatma yoluyla koruma yöntemidir.
Düzenleme, bilginin otomatik olarak işlenmesi, saklanması ve iletilmesi için, ona yetkisiz erişim olasılığının en aza indirileceği koşulları yaratan, bilgiyi koruma yöntemidir.
Zorlama, kullanıcıların ve sistem personelinin maddi, idari ve cezai sorumluluk tehdidi altında korunan bilgilerin işlenmesi, aktarılması ve kullanılmasına ilişkin kurallara uymaya zorlandığı bir bilgi koruma yöntemidir.
Motivasyon, kullanıcıları ve sistem personelini yerleşik ahlaki ve etik standartlara uyarak yerleşik kuralları ihlal etmemeye teşvik eden bir bilgi koruma yöntemidir.
Bilgi güvenliğini sağlamaya yönelik yukarıdaki yöntemler, aşağıdaki sabit varlıklar kullanılarak uygulanır: fiziksel, donanım, yazılım, donanım-yazılım, kriptografik, organizasyonel, yasal ve ahlaki ve etik.
Fiziksel koruma araçları, nesnelerin topraklarının harici olarak korunmasına, bir işletmenin otomatik bilgi sisteminin bileşenlerinin korunmasına yöneliktir ve otonom cihazlar ve sistemler şeklinde uygulanır.
Donanım koruma araçları, doğrudan bir otomatik bilgi sisteminin bloklarına yerleştirilen veya bağımsız cihazlar olarak tasarlanan ve bu bloklarla arayüz oluşturan elektronik, elektromekanik ve diğer cihazlardır. Bilgisayar tesislerinin ve sistemlerinin yapısal elemanlarının dahili koruması için tasarlanmıştır: terminaller, işlemciler, çevre birimleri, iletişim hatları vb.
Yazılım koruma araçları, mantıksal ve entelektüel koruma işlevlerini yerine getirmek üzere tasarlanmıştır ve otomatik bir bilgi sisteminin yazılımına veya kontrol ekipmanı araçlarına, komplekslerine ve sistemlerine dahil edilir.
Bilgi koruma yazılımı, aşağıdaki olumlu özelliklere sahip olan en yaygın koruma türüdür: çok yönlülük, esneklik, uygulama kolaylığı, değişim ve gelişme olasılığı. Bu durum onları aynı zamanda kurumsal bilgi sisteminin korunmasında en savunmasız unsurlar haline getirmektedir.
Donanım-yazılım koruma araçları, yazılım (ürün yazılımı) ve donanım parçalarının tamamen birbirine bağlı ve ayrılamaz olduğu araçlardır.
Kriptografik araçlar - bilgileri dönüştürerek koruma araçları (şifreleme).
Organizasyonel araçlar - personelin davranışlarını düzenlemek için organizasyonel, teknik ve organizasyonel ve yasal önlemler.
Yasama araçları - sınırlı erişim bilgilerinin kullanımı, işlenmesi ve iletilmesine ilişkin kuralları düzenleyen ve bu kuralların ihlali konusunda sorumluluk belirleyen ülkenin yasal düzenlemeleri.
Ahlaki ve etik araçlar - toplumdaki normlar, gelenekler, örneğin: ABD'deki Bilgisayar Kullanıcıları Birliği Üyeleri için Mesleki Davranış Kuralları.
1.2 Güvenlik yöntemleri ve araçları
Güvenlik önlemlerini uygulamak için çeşitli şifreleme mekanizmaları kullanılmaktadır, bu yöntemler ne için kullanılır? Başlangıçta veri (metin, konuşma veya çizim) gönderilirken korunmazlar veya uzmanların dediği gibi açıktırlar. Açık veriler diğer kullanıcılar tarafından (kasıtlı olsun ya da olmasın) kolaylıkla ele geçirilebilir. Belirli bilgilerin üçüncü kişilere ulaşmasını engellemek gibi bir amaç varsa bu veriler şifrelenir. Belirtilen bilginin hedeflendiği kullanıcı daha sonra kriptogramın ters dönüşümünü kullanarak şifreyi çözer ve verileri ihtiyaç duyduğu biçimde alır.
Şifreleme simetriktir (şifreleme için bir gizli anahtar kullanılır) ve asimetriktir (şifreleme için bir ortak anahtar kullanılır ve şifre çözme için diğeri kullanılır, bunlar birbirine bağlı değildir - yani biri biliniyorsa diğeri belirlenemez) ).
Güvenlik mekanizmaları şunları içerir:
) Dijital elektronik imza mekanizmaları asimetrik şifreleme algoritmalarına dayalıdır ve iki prosedür içerir: imzanın gönderen tarafından oluşturulması ve imzanın alıcı tarafından tanımlanması. Gönderen tarafından imza oluşturulması, veri bloğunu şifreler veya onu bir kriptografik sağlama toplamıyla tamamlar ve her iki durumda da gönderenin gizli anahtarı kullanılır. Kimlik doğrulama için ortak anahtar kullanılır.
) Erişim kontrol mekanizmaları, programların ve kullanıcıların ağ kaynaklarına erişim yetkisini kontrol eder. Bir kaynağa bağlantı üzerinden erişildiğinde, kontrol hem başlangıç noktasında, hem ara noktalarda hem de bitiş noktasında gerçekleştirilir.
) Veri bütünlüğü mekanizmaları bireysel bloğa ve veri akışına uygulanır. Gönderen, iletilen bloğu kriptografik bir miktarla tamamlar ve alıcı bunu, alınan bloğa karşılık gelen kriptografik değerle karşılaştırır. Uyumsuzluk, bloktaki bilgilerin bozulduğunu gösterir.
) Trafiği düzenlemek için mekanizmalar. AIS nesneleri tarafından blok oluşturulmasına, bunların şifrelenmesine ve ağ kanalları üzerinden iletimin organizasyonuna dayanırlar. Bu, iletişim kanalları boyunca dolaşan akışların dış özelliklerini izleyerek bilgi edinme olasılığını etkisiz hale getirir.
) Yönlendirme kontrol mekanizmaları, gizli bilgilerin güvenli olmayan, fiziksel olarak güvenilmez kanallar üzerinden aktarılmasını engelleyecek şekilde, bilginin bir iletişim ağı üzerinden taşınması için bir yol seçimi sağlar.
) Tahkim mekanizmaları, kuruluşlar arasında üçüncü bir kişi tarafından aktarılan verilerin özelliklerinin doğrulanmasını sağlar. Bunu yapmak için, nesneler tarafından gönderilen veya alınan bilgiler hakemden geçer ve bu da onun daha sonra bahsedilen özellikleri doğrulamasına olanak tanır.
Ekonomik nesnelerin güvenlik sisteminin ana dezavantajları şunlardır:
-nesne güvenliği sorununun dar, sistematik olmayan anlayışı; -tehditlerin önlenmesini ihmal etmek, "Bir tehdit ortaya çıktı - onu ortadan kaldırmaya başlıyoruz" ilkesine göre çalışmak; -güvenlik ekonomisinde beceriksizlik, maliyet ve sonuçları karşılaştıramama; -Yönetim ve güvenlik hizmeti uzmanlarının "teknokrasisi", tüm görevlerin kendilerine tanıdık gelen alanın dilinde yorumlanması. Çalışmamızın ilk bölümünün sonuç olarak aşağıdakileri tanımlıyoruz. Bilgi sistemlerinin güvenliğinin sağlanmasına, bilgi sistemini çalışma modlarına kazara veya kasıtlı müdahalelerden korudukları belirli önlemler denir. Güvenliği sağlamak için iki ana yaklaşım sunulmaktadır: 1) belirli tehditlerin belirli koşullar altında karşılandığı parçalı yaklaşım; ve 2) tehditlere karşı koymanın çeşitli yöntem ve araçlarını birleştiren, bilginin işlenmesi, saklanması ve iletilmesi için güvenli bir ortamın oluşturulduğu sistemik.Bilgiyi korumak için çeşitli araç ve mekanizmalar kullanılır. Araçlar şunları içerir: şifreleme, dijital elektronik kayıt, erişim kontrolü, trafik ayarı vb. bankacılık çevrimiçi güvenlik sistemi 2. Çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğini sağlamanın özellikleri 2.1. Çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğinin sağlanmasına ilişkin genel koşullar Kişisel bilgilerin korunması, bilgilerin ve onu destekleyen altyapının (bilgisayarlar, iletişim hatları, güç kaynağı sistemleri vb.), bu bilgilerin sahiplerine veya kullanıcılarına zarar verebilecek kazara veya kasıtlı etkilerden korunma durumudur. Ayrıca, kimlik bilgilerinin bilgi güvenliği şu şekilde anlaşılmaktadır: bilgisayar işletiminin güvenilirliğinin sağlanması; değerli kimlik bilgilerinin güvenliği; kişisel bilgilerin yetkisiz kişiler tarafından yapılan değişikliklere karşı korunması; belgelenmiş kimlik bilgilerinin elektronik iletişimde korunması. Muhasebede bilgi güvenliğinin nesneleri, ticari sırlar ve gizli bilgiler olarak sınıflandırılan bilgileri içeren bilgi kaynaklarıdır; bilgileştirme araçları ve sistemlerinin yanı sıra. Bilgi kaynaklarının, bilgi sistemlerinin, teknolojilerin ve bunların destek araçlarının sahibi, belirtilen nesnelerin sahibi olan ve bunları kullanan ve yasaların belirlediği sınırlar dahilinde elden çıkarma yetkisini kullanan bir kuruluştur. Bilgi kullanıcısı, ihtiyaç duyduğu bilgiyi elde etmek için bir bilgi sistemine veya aracıya başvuran ve bunu kullanan kişidir. Bilgi kaynakları, bilgi sistemlerindeki ayrı belgeler ve ayrı belge dizileri, belgeler ve belge dizileridir. Bilgi güvenliği tehdidi, kişisel sistemin bileşenleri üzerindeki etki yoluyla bilgi kaynaklarının sahiplerine veya sistem kullanıcılarına zarar verebilecek potansiyel olarak olası bir eylemden oluşur. Bilgi kaynaklarının yasal rejimi aşağıdakileri belirleyen kurallarla belirlenir: bilgilerin belgelenmesine ilişkin prosedür; bireysel belgelerin ve bireysel dizilerin sahipliği bilgi sistemlerinde belgeler, belgeler ve belge dizileri; erişim düzeyine göre bilgi kategorisi; bilgilerin yasal olarak korunması emri. Muhasebede bilgi tehdidinin uygulanması sırasında ihlal edilen temel ilke, bilginin belgelenmesi ilkesidir. Otomatik muhasebe bilgi sisteminden alınan muhasebe belgesi, bir yetkili tarafından Rusya Federasyonu mevzuatında öngörülen şekilde imzalandıktan sonra yasal güç kazanır. Muhasebedeki potansiyel tehditlerin tamamı, oluşumlarının doğası gereği iki sınıfa ayrılabilir: doğal (nesnel) ve yapay. Doğal tehditler, kural olarak muhasebeciye bağlı olmayan, muhasebe departmanının bileşenleriyle birlikte tamamen veya kısmen tahrip olmasına yol açan nesnel nedenlerden kaynaklanmaktadır. Bu tür doğal olaylar şunları içerir: depremler, yıldırım çarpmaları, yangınlar vb. İnsan yapımı tehditler insan faaliyetleriyle ilişkilidir. Çalışanların dikkatsizlik, yorgunluk, hastalık vb. nedeniyle hata yapabilmesinden kaynaklanan kasıtsız (kasıtsız) olanlara ayrılabilirler. Örneğin, bir muhasebeci bir bilgisayara bilgi girerken yanlış tuşa basabilir, programda kasıtsız hatalar yapabilir, virüs bulaştırabilir veya yanlışlıkla şifreleri ifşa edebilir. Kasıtlı (kasıtlı) tehditler, kasıtlı olarak güvenilmez belgeler oluşturan davetsiz misafirlerin bencil arzularıyla ilişkilidir. Güvenlik tehditleri yönleri itibarıyla aşağıdaki gruplara ayrılabilir: kimlik bilgileri veritabanlarından ve bunların işlenmesi için bilgisayar programlarından verilerin sızması ve okunması tehditleri; Kimlik bilgilerinin güvenliğine yönelik tehditler, ödeme belgelerinin (ödeme talepleri, talimatlar vb.) tahrif edilmesi de dahil olmak üzere kimlik bilgilerinin imha edilmesine veya değiştirilmesine yol açabilir; bir kullanıcı kimlik bilgilerine erişemediğinde ortaya çıkan veri kullanılabilirliği tehditleri; bir kullanıcı diğerine mesaj gönderdiğinde ve daha sonra iletilen verileri onaylamadığında işlemleri gerçekleştirmeyi reddetme tehdidi. Bilgi süreçleri – bilginin toplanması, işlenmesi, biriktirilmesi, saklanması, aranması ve dağıtılması süreçleri. Bilgi sistemi - organizasyonel olarak sıralanmış bir belge kümesi (bilgisayar teknolojisinin kullanımı ve bilgi süreçlerini uygulayan iletişim dahil olmak üzere belge ve bilgi teknolojileri dizileri). Bilgilerin belgelenmesi, ofis işlerini düzenlemek, belgelerin ve dizilerinin standardizasyonu ve Rusya Federasyonu'nun güvenliğinden sorumlu devlet yetkilileri tarafından belirlenen şekilde gerçekleştirilir. Tehditlerin kaynağına bağlı olarak iç ve dış olarak ikiye ayrılabilirler. İç tehditlerin kaynağı kuruluş personelinin faaliyetleridir. Dış tehditler dışarıdan diğer kuruluşların çalışanlarından, bilgisayar korsanlarından ve diğerlerinden gelir. Dış tehditler şu şekilde sınıflandırılabilir: davetsiz misafirin kuruluşun topraklarına girmesini ve ayrı bir bilgisayara veya yerel ağa erişim kazanmasını içeren yerel; Uzaktan tehditler, küresel ağlara (İnternet, SWIFT uluslararası bankacılık sistemi vb.) bağlı sistemler için tipiktir. Bu tür tehlikeler çoğunlukla tedarikçilerin alıcılarla olan yerleşim yerlerinde elektronik ödeme sisteminde, yerleşim yerlerinde internet ağlarının kullanımında ortaya çıkar. Bu tür bilgi saldırılarının kaynakları binlerce kilometre uzakta bulunabilir. Üstelik yalnızca bilgisayarlar değil, muhasebe bilgileri de etkileniyor. Muhasebe riskinin artmasına neden olan muhasebede kasıtlı ve kasıtsız hatalar şunlardır: Kimlik bilgilerinin kaydedilmesinde hatalar; yanlış kodlar, yetkisiz muhasebe işlemleri; kontrol limitlerinin ihlali; kaçırılan hesaplar; veri işleme veya çıktıdaki hatalar; dizinlerin oluşumunda veya düzeltilmesinde hatalar; tamamlanmamış hesaplar; kayıtların dönemlere göre yanlış atanması; veri tahrifatı; düzenleyici mevzuat gerekliliklerinin ihlali; kişisel politika ilkelerinin ihlali; Hizmet kalitesinin kullanıcıların ihtiyaçları ile tutarsızlığı. Ticari sır oluşturan ve kişisel ve raporlama bilgilerine (ortaklara, müşterilere, bankalara ilişkin veriler, piyasa faaliyetlerine ilişkin analitik bilgiler) ilişkin bilgiler özellikle tehlikelidir. Bu ve benzeri bilgilerin korunması için muhasebe departmanları, mali hizmetler ve diğer ekonomi departmanlarının çalışanları ile kamuya açıklanmayan bilgilerin bir listesini içeren anlaşmaların yapılması gerekmektedir. Otomatik muhasebe sistemlerinde bilgilerin korunması aşağıdaki temel ilkelere dayanmaktadır. Gizli ve gizli olmayan bilgilerin işlenmesine yönelik alanların fiziksel olarak ayrılmasının sağlanması. Bilgilerin kriptografik korunmasının sağlanması. Abonelerin ve abone ayarlarının kimlik doğrulamasının sağlanması. Konuların bilgiye erişim ve süreçlerinin farklılaştırılması. Belgesel mesajların iletişim kanalları üzerinden iletilmesi sırasında doğruluk ve bütünlüğünün sağlanması. Sistemin ekipman ve teknik araçlarının, bulundukları tesislerin, gizli bilgilerin teknik kanallardan sızmasına karşı korunmasını sağlamak. Şifreleme teknolojisi, ekipman, donanım ve yazılımların donanım ve yazılım hataları nedeniyle bilgi sızıntısından korunmasını sağlamak. Otomasyon sisteminin yazılım ve bilgi kısmının bütünlük kontrolünün sağlanması. Yalnızca ev içi koruma mekanizmaları olarak kullanın Rusya Federasyonu'nun devlet bilgi kaynakları açıktır ve kamuya açıktır. Bunun istisnası, kanunen sınırlı erişim olarak sınıflandırılan belgelenmiş bilgilerdir. Yasal rejiminin şartlarına göre erişimi sınırlı olan belgelenmiş bilgiler, devlet sırrı ve gizli olarak sınıflandırılan bilgiler olarak ikiye ayrılır. Gizli bilgilerin listesi, özellikle ticari faaliyetlerle ilgili bilgiler, 6 Mart 1997 tarih ve 188 sayılı (Ek No.) Rusya Federasyonu Cumhurbaşkanı Kararnamesi ile oluşturulmuştur. Örgütsel ve rejim koruma önlemlerinin sağlanması. Sistemde iletişim güvenliğinin sağlanması için ek önlemlerin kullanılması tavsiye edilir. Bilgi alışverişinin yoğunluğu, süresi ve trafiği hakkındaki bilgilerin korunmasının organizasyonu. Bilginin iletilmesi ve işlenmesi için, müdahaleyi zorlaştıran kanalların ve yöntemlerin kullanılması. Bilginin yetkisiz erişime karşı korunması, korunan bilginin üç ana özelliğini oluşturmayı amaçlamaktadır: gizlilik (gizli bilgiler yalnızca amaçlanan kişi tarafından erişilebilir olmalıdır); bütünlük (önemli kararların alındığı temeldeki bilgiler güvenilir, doğru olmalı ve olası kasıtsız ve kötü niyetli bozulmalara karşı tamamen korunmalıdır); hazırlıklı olma (bilgi ve ilgili bilgi hizmetleri mevcut olmalı, ihtiyaç duyulduğunda ilgili taraflara hizmet vermeye hazır olmalıdır). Kişisel bilgilerin korunmasını sağlamaya yönelik yöntemler şunlardır: engeller; erişim kontrolü, maskeleme, düzenleme, zorlama, teşvik. Engel, saldırganın korunan kişisel bilgilere ulaşma yolunu fiziksel olarak engelleyen bir yöntem olarak değerlendirilmelidir. Bu yöntem, girişte güvenliğin bulunması, yetkisiz kişilerin muhasebe departmanına, kasaya vb. Giden yolunun engellenmesi de dahil olmak üzere işletmenin erişim sistemi tarafından uygulanır. Erişim kontrolü, aşağıdakiler yoluyla uygulanan, kişisel bilgileri ve raporlama bilgilerini koruma yöntemidir: kimlik doğrulama - kendilerine sunulan tanımlayıcıyla bir nesnenin veya konunun doğruluğunun belirlenmesi (girilen tanımlayıcıyı bilgisayarın belleğinde depolananla karşılaştırarak gerçekleştirilir); Yetki kontrolleri - talep edilen kaynakların ve gerçekleştirilen operasyonların tahsis edilen kaynaklara ve izin verilen prosedürlere uygunluğunun kontrol edilmesi; korunan kaynaklara yapılan çağrıların kaydedilmesi; Yetkisiz eylem girişimlerini bilgilendirmek ve bunlara yanıt vermek. (Kriptografi, bilgi dönüşümü (şifreleme) yoluyla bir koruma yöntemidir). BEST-4 kompleksinde bilgiye erişimin farklılaştırılması bireysel alt sistemler düzeyinde gerçekleştirilir ve ayrı erişim şifreleri belirlenerek sağlanır. İlk kurulum sırasında veya programla çalışırken herhangi bir zamanda sistem yöneticisi bir veya daha fazla şifreyi ayarlayabilir veya değiştirebilir. Alt sisteme her giriş yaptığınızda şifre istenir. Ek olarak, bazı modüllerin bilgiye erişim kontrolü için kendi sistemleri vardır. Her menü öğesini özel şifrelerle koruma olanağı sağlar. Şifreler aynı zamanda birincil belgelerin bireysel alt kümelerine erişimi de koruyabilir: örneğin, AWP "Depodaki stokların muhasebesi" ve "Mallar ve ürünlerin muhasebesi"nde, AWP'de her depoya ayrı ayrı erişim şifreleri ayarlama olanağı vardır. "Nakit işlemler için muhasebe" - her kasaya erişim için şifreler, AWS'de "Banka ile hesaplaşmalar için muhasebe" - her banka hesabına erişim için şifreler. Bilgiye erişimi etkili bir şekilde kısıtlamak için, öncelikle belirli bloklara erişim için şifre belirleme modlarının şifrelerle korunmasının gerekli olduğu özellikle not edilmelidir. 1C.Enterprise, sürüm 7.7'de kendi bilgi koruması - erişim hakları vardır.Kişisel bir bilgisayar ağında 1C.Enterprise sistemi ile çalışırken kullanıcının bilgilere erişimini entegre etmek ve ayırmak için, sistem yapılandırıcısı hakları ayarlamanıza olanak tanır Her kullanıcının bilgi işlem sistemiyle çalışması için. Haklar oldukça geniş bir aralıkta ayarlanabilir - yalnızca belirli belge türlerini görüntüleme yeteneğinden, her türlü veriyi girme, görüntüleme, düzeltme ve silme haklarına kadar. Bir kullanıcıya erişim haklarının atanması 2 aşamada gerçekleştirilir. İlk aşamada, bilgiyle çalışmaya yönelik standart haklar kümesi oluşturulur ve bunlar, kural olarak sağlanan erişim fırsatlarının genişliğine göre farklılık gösterir. İkinci aşamada kullanıcıya bu standart haklardan biri atanır. Standart hak kümeleri oluşturmaya ilişkin tüm çalışmalar "Yapılandırma" penceresinin "Haklar" sekmesinde gerçekleştirilir. Bu pencere, programın ana menüsünün "Konfigürasyon" menüsünden "konfigürasyonu aç" öğesi seçilerek ekranda çağrılır. 2.2 Çevrimiçi bankacılık sistemlerinde kişisel verilerin güvenliğini sağlamaya yönelik bir dizi önlem ISPD'de kişisel verilerin güvenliğini sağlamaya yönelik bir dizi önlemin gerekçesi, tehdit riskinin değerlendirilmesi ve ISPD sınıfının "Güvenliğini organize etmek ve teknik olarak sağlamak için temel önlemler" temelinde belirlenmesinin sonuçları dikkate alınarak gerçekleştirilir. Kişisel veri bilgi sistemlerinde işlenen kişisel veriler". Aynı zamanda aşağıdakiler için önlemler tanımlanmalıdır: ISPD'de PD sızıntısının teknik kanallarının belirlenmesi ve kapatılması; PD'nin yetkisiz erişime ve yasa dışı eylemlere karşı korunması; koruma araçlarının kurulumu, yapılandırılması ve kullanımı. ISPD'deki PD sızıntısının teknik kanallarını tespit etmeye ve kapatmaya yönelik önlemler, PD güvenliğine yönelik tehditlerin analizi ve değerlendirilmesine dayalı olarak formüle edilir. Kişisel verilerin ISPD'de işlenmesi sırasında yetkisiz erişime ve yasa dışı eylemlere karşı korunmasına yönelik önlemler şunları içerir: giriş kontrolu; kayıt ve muhasebe; bütünlüğün sağlanması; bildirilmemiş yeteneklerin yokluğunun kontrolü; anti-virüs koruması; ISPD'lerin güvenli ara bağlantısının sağlanması; güvenlik analizi; izinsiz giriş tespiti. Erişim kontrolü, kayıt ve muhasebe alt sisteminin, yetkisiz eylemlerin, sinyal vermenin ve kaydın engellenmesine yönelik yazılım araçları temelinde uygulanması tavsiye edilir. Bunlar, işletim sistemlerinin kendisini korumaya yönelik özel yazılım ve donanım ve yazılım araçları, elektronik PD veritabanları ve herhangi bir işletim sisteminin çekirdeğinde yer almayan uygulama programlarıdır. Koruma işlevlerini bağımsız olarak veya diğer koruma araçlarıyla birlikte gerçekleştirirler ve bir kullanıcı veya davetsiz misafir tarafından ISPD için tehlikeli olan eylemleri ortadan kaldırmayı veya gerçekleştirmeyi zorlaştırmayı amaçlarlar. Bunlar, teşhis, kayıt, imha, sinyal verme ve taklit işlevlerini uygulayan özel yardımcı programları ve güvenlik yazılım sistemlerini içerir. Tanılama araçları, dosya sistemi ve PD veritabanlarının testini gerçekleştirir, bilgi güvenliği alt sistemi öğelerinin işleyişi hakkında sürekli bilgi toplar. İmha araçları, kalan verileri yok etmek için tasarlanmıştır ve sistem tarafından engellenemeyen bir kurcalama tehdidi durumunda verilerin acil olarak yok edilmesini sağlayabilir. Sinyalleme araçları, operatörleri korumalı PD'ye eriştiklerinde uyarmayı ve PD'ye yetkisiz erişim gerçeği ve ISPD'nin normal çalışma modunun ihlaline ilişkin diğer gerçekler tespit edildiğinde yöneticiyi uyarmayı amaçlamaktadır. Simülasyon araçları, korumalı PD'ye veya yazılıma erişim girişiminde bulunulduğunda ihlalcilerle çalışmayı simüle eder. Taklit, özellikle coğrafi olarak dağıtılmış ağlarda önemli olan UA'nın konumunu ve niteliğini belirleme süresini artırmanıza ve korunan PD'nin konumu hakkında suçluyu yanlış bilgilendirmenize olanak tanır. Bütünlük alt sistemi öncelikle işletim sistemleri ve veritabanı yönetim sistemleri tarafından uygulanır. İletilen verilerin bütünlüğünü ve işletim sistemlerinde ve veritabanı yönetim sistemlerinde yerleşik işlemlerin güvenilirliğini arttırma ve sağlama araçları, sağlama toplamlarının hesaplanmasına, bir mesaj paketinin iletimindeki bir hatanın bildirilmesine ve kabul edilmeyen bir mesajın yeniden iletilmesine dayanır. paket. Bildirilmemiş yeteneklerin yokluğunu izlemeye yönelik alt sistem çoğu durumda veritabanı yönetim sistemleri, bilgi koruma araçları ve anti-virüs bilgi koruma araçları temelinde uygulanır. PD'nin ve bu bilgileri işleyen ISPD donanım ve yazılım ortamının güvenliğini sağlamak için aşağıdakileri gerçekleştiren özel anti-virüs koruma araçlarının kullanılması önerilir: PD'nin yanı sıra PD'nin işlenmesini uygulayan sistem çapında ve uygulama yazılımı üzerindeki yıkıcı virüs etkilerinin tespiti ve (veya) engellenmesi; bilinmeyen virüslerin tespiti ve kaldırılması; Bu anti-virüs aracı başlatıldığında kendi kendini kontrol etmesinin (enfeksiyon önleme) sağlanması. Anti-virüs korumasını seçerken aşağıdaki faktörlerin dikkate alınması önerilir: bu araçların standart ISPD yazılımıyla uyumluluğu; ISPD'nin ana amacına yönelik işleyişinin performansındaki azalma derecesi; ISPD'deki bilgi güvenliği yöneticisinin işyerinden anti-virüs korumasının işleyişinin merkezi yönetimine yönelik araçların mevcudiyeti; program-matematiksel etkilerin (PMI) tezahürüne ilişkin tüm olaylar ve gerçekler hakkında ISPD'deki bilgi güvenliği yöneticisini derhal bilgilendirme yeteneği; anti-virüs korumasının işleyişine ilişkin ayrıntılı belgelerin mevcudiyeti; anti-virüs korumasını periyodik olarak test etme veya kendi kendine test etme yeteneği; ISPD'nin performansında önemli kısıtlamalar olmaksızın ve diğer koruma araçlarıyla "çatışma" olmaksızın, PMA'ya karşı koruma araçlarının bileşimini yeni ek araçlarla artırma olasılığı. Antivirüs koruma araçlarının kurulması, yapılandırılması, yapılandırılması ve yönetilmesi prosedürünün bir açıklamasının yanı sıra, bir virüs saldırısı veya programatik ve matematiksel etkilere karşı koruma gerekliliklerinin diğer ihlalleri durumunda yapılacak işlemlere ilişkin prosedür de dahil edilmelidir. ISPD'deki bilgi güvenliği yöneticisi kılavuzunda. Ağlar arası iletişim sırasında ISPD kaynaklarına erişimi farklılaştırmak için, yazılım ve donanım-yazılım güvenlik duvarları (ME) tarafından uygulanan güvenlik duvarı kullanılır. Güvenlik duvarı, dahili ağ adı verilen korumalı bir ağ ile harici ağ arasına kurulur. Güvenlik duvarı, korunan ağın bir parçasıdır. Bunun için, ayarlar aracılığıyla, dahili ağdan harici ağa erişimi kısıtlayan ve bunun tersi de geçerli olan kurallar ayrı ayrı ayarlanır. Sınıf 3 ve 4'teki ISPD'lerde güvenli ağlar arası etkileşimi sağlamak için en az beşinci güvenlik düzeyindeki bir ME'nin kullanılması önerilir. ISPD sınıf 2'de ağlar arası güvenli etkileşimi sağlamak için dördüncü güvenlik seviyesinden daha düşük olmayan ME kullanılması önerilir. ISPD sınıf 1'de ağlar arası güvenli etkileşimi sağlamak için üçüncü güvenlik seviyesinden daha düşük olmayan ME'nin kullanılması önerilir. Güvenlik analizi alt sistemi, bilgi güvenliğinin test araçlarının (güvenlik analizi) ve kontrolünün (denetimi) kullanımına dayalı olarak uygulanır. Güvenlik analizi araçları, iş istasyonlarındaki ve sunuculardaki işletim sistemlerinin koruma ayarlarını kontrol etmek ve davetsiz misafirlerin ağ ekipmanına saldırı olasılığını değerlendirmeyi, yazılım güvenliğini kontrol etmeyi mümkün kılmak için kullanılır. Bunu yapmak için ağ topolojisini inceler, güvenli olmayan veya yetkisiz ağ bağlantılarını arar ve güvenlik duvarı ayarlarını kontrol ederler. Bu analiz, güvenlik ayarlarındaki (örneğin, anahtarlar, yönlendiriciler, güvenlik duvarları) veya işletim sistemlerindeki veya uygulama yazılımındaki güvenlik açıklarının ayrıntılı açıklamalarına dayanmaktadır. Güvenlik analizi aracının sonucu, bulunan güvenlik açıkları hakkındaki bilgileri özetleyen bir rapordur. Güvenlik açığı tespit araçları ağ düzeyinde (bu durumda "ağ tabanlı" olarak adlandırılırlar), işletim sistemi düzeyinde ("ana bilgisayar tabanlı") ve uygulama düzeyinde ("uygulama tabanlı") çalışabilir. Tarama yazılımını kullanarak mevcut tüm ISDN düğümlerini hızlı bir şekilde haritalandırabilir, her birinde kullanılan hizmetleri ve protokolleri tanımlayabilir, ana ayarlarını belirleyebilir ve UA olasılığı hakkında varsayımlarda bulunabilirsiniz. Sistemler, taramanın sonuçlarına göre tespit edilen eksikliklerin giderilmesine yönelik öneriler ve önlemler geliştirir. Saldırı tespit sistemleri, ağlar arası etkileşim yoluyla UA tehditlerinin tanımlanması amacıyla kullanılmaktadır. Bu tür sistemler, saldırıların uygulanmasının özellikleri, gelişim aşamaları dikkate alınarak oluşturulmuştur ve saldırıları tespit etmek için bir dizi yönteme dayanmaktadır. Üç grup saldırı tespit yöntemi vardır: imza yöntemleri; anormallik tespit yöntemleri; kombine yöntemler (imza yöntemlerinde ve anormallik tespit yöntemlerinde tanımlanan algoritmaların birlikte kullanılması). Sınıf 3 ve 4'teki ISPD'lere izinsiz girişleri tespit etmek için imza analiz yöntemlerini kullanan ağ saldırısı tespit sistemlerinin kullanılması önerilir. Sınıf 1 ve 2'deki ISPD'lere izinsiz girişleri tespit etmek için, imza analiz yöntemlerinin yanı sıra anormallik tespit yöntemlerini kullanan ağ saldırısı tespit sistemlerinin kullanılması önerilir. PD'yi teknik kanallar yoluyla sızıntıya karşı korumak için, akustik (konuşma), görsel bilgi sızıntısının yanı sıra sahte elektromanyetik radyasyon ve parazit nedeniyle bilgi sızıntısını önlemek için organizasyonel ve teknik önlemler alınır. Çalışmamızın ikinci bölümünde sonuç olarak aşağıdaki sonuçları çıkarıyoruz. Kişisel bilgilerin korunması, bilgilerin ve onu destekleyen altyapının, bu bilgilerin sahiplerine veya kullanıcılarına zarar verebilecek, doğal veya yapay nitelikteki kazara veya kasıtlı etkilerden korunma durumudur.Muhasebede bilgi güvenliğinin nesneleri tanımlanır. şu şekilde: ticari sır olarak sınıflandırılan bilgileri içeren bilgi kaynakları ve bilişim araçları ve sistemleri. Bilgi koruması çerçevesinde kullanılan başlıca yöntemler şunlardır: tespit etme ve doğrudan koruma. ÇÖZÜM Ekonomik nesnelerin bilgi güvenliği sorunu çok yönlüdür ve daha fazla çalışmaya ihtiyaç duymaktadır. Modern dünyada bilişim, ekonomik açıdan gelişmiş bir devletin temel zenginliklerinden biri olan stratejik bir ulusal kaynak haline geliyor. Rusya'da bilişimin hızla gelişmesi, inkar edilemez avantajların yanı sıra bireyin, toplumun ve devletin hayati çıkarlarının tüm alanlarına nüfuz etmesi bir takım önemli sorunların ortaya çıkmasına neden oldu. Bunlardan biri bilgiyi koruma ihtiyacıydı. Şu anda ekonomik potansiyelin gittikçe daha fazla bilgi altyapısının gelişmişlik düzeyi tarafından belirlendiği göz önüne alındığında, ekonominin bilgi etkilerine karşı potansiyel kırılganlığı da orantılı olarak artmaktadır. Bilgi güvenliğine yönelik tehditlerin uygulanması, bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin ihlalidir. Bilgi korumasına sistematik bir yaklaşım açısından bakıldığında, ekonomik bir nesnenin tüm yapısal öğelerinde ve teknolojik bilgi işleme döngüsünün tüm aşamalarında mevcut koruma araçlarının tüm cephaneliğinin kullanılması gerekmektedir. Koruma yöntemleri ve araçları, korunan sırlara yasadışı erişimin olası yollarını güvenilir bir şekilde engellemelidir. Bilgi güvenliğinin etkinliği, uygulama maliyetlerinin bilgi tehditlerinin uygulanmasından kaynaklanan olası kayıpları aşmaması gerektiği anlamına gelir. Bilgi güvenliği planlaması, her hizmet tarafından ayrıntılı bilgi güvenliği planlarının geliştirilmesi yoluyla gerçekleştirilir. Kullanıcıların belirli türdeki bilgilere erişim yetki ve haklarının kullanılmasında, koruyucu ekipmanların kontrolünün sağlanmasında ve arızalarına anında müdahale edilmesinde netliğe ihtiyaç vardır. KAYNAKÇA 1.Bankacılıkta otomatik bilgi teknolojileri / ed. prof. G.A. Titorenko. - M.: Finstatinform, 2007 2.Ekonomide Otomatik Bilgi Teknolojileri / Ed. prof. G.A. Titorenko. - M.: UNITI, 2010 .Ageev AS Organizasyonu ve modern bilgi koruma yöntemleri. - M .: "Banka. İş Merkezi" endişesi, 2009 .Adzhiev, V. Yazılım Güvenliği Efsaneleri: Ünlü Felaketlerden Dersler. - Açık Sistemler, 199. No. 6 .Alekseev, V.I. Belediyelerin bilgi güvenliği. - Voronej: VGTU Yayınevi, 2008. .Alekseev, V.M. Bilgi teknolojisinin güvenliğini değerlendirmek için uluslararası kriterler ve bunların pratik uygulamaları: Ders Kitabı. - Penza: Penz Yayınevi. durum üniversite, 2002 .Alekseev, V.M. Yetkisiz erişime karşı bilgi korumasının düzenleyici sağlanması. - Penza: Penz Yayınevi. durum üniversite, 2007 .Alekseev, V.M. Yazılım geliştirmede bilgi güvenliğinin sağlanması. - Penza: Penz Yayınevi. durum üniversite, 2008 .Aleshin, L.I. Bilginin Korunması ve Bilgi Güvenliği: L. I. Aleshin'in Konuşmaları; Moskova durum Kültür Üniversitesi. - M.: Mosk. durum Kültür Üniversitesi, 2010 .Akhramenka, N.F. vb. Elektronik belgelerle ödeme sisteminde suç ve ceza// Bilgi güvenliği yönetimi, 1998 .Bankalar ve bankacılık işlemleri. Ders Kitabı / Ed. E.F. Zhukov. - M.: Bankalar ve borsalar, UNITI, 2008 .Barsukov, V.S. Güvenlik: teknolojiler, araçlar, hizmetler. - M.: Kudits - Obraz, 2007 .Baturin, Yu.M. Bilgisayar hukukunun sorunları. - M.: Yurid. yanıyor, 1991 .Baturin, Yu.M. Bilgisayar suçları ve bilgisayar güvenliği. M.: Yur.lit., 2009 .Bezrukov, N.N. Bilgisayar virolojisine giriş. M5-005'teki en yaygın virüslerin genel işleyişi, sınıflandırılması ve kataloğu. K., 2005 .Bykov, V.A. Elektronik iş ve güvenlik / V. A. Bykov. - M.: Radyo ve iletişim, 2000 .Varfolomeev, A.A. Bilgi Güvenliği. Kriptolojinin matematiksel temelleri. Bölüm 1. - M.: MEPhI, 1995 .Vekhov, V.B. Bilgisayar suçları: İşleme ve ifşa yöntemleri. - M.: Hukuk ve Hukuk, 1996 .Volobuev, S.V. Bilgi güvenliğine giriş. - Obninsk: Güncelleme. Atom Enerjisi Enstitüsü, 2001 .Volobuev, S.V. Otomatik sistemlerin bilgi güvenliği. - Obninsk: Güncelleme. Atom Enerjisi Enstitüsü, 2001 .Tüm Rusya bilimsel ve pratik konferansı "Yükseköğretim sisteminde bilgi güvenliği", 28-29 Kasım. 2000, NSTU, Novosibirsk, Rusya: IBVSh 2000. - Novosibirsk, 2001 23.Galatenko, V.A. Bilgi Güvenliği: V. A. Galatenko'dan Pratik Bir Yaklaşım; Ed. V. B. Betelina; Ros. akad. Bilimler, Nauch.-issled. in-t sistemler. araştırma - M.: Nauka, 1998 .Galatenko, V.A. Bilgi güvenliğinin temelleri: bir ders dersi. - M .: İnternet-Un-t bilgilendirmek. teknolojiler, 2003 .Gennadieva, E.G. Bilişimin ve bilgi güvenliğinin teorik temelleri. - M.: Radyo ve iletişim, 2000 .Ghica, Sebastian Narchis. BMP formatındaki grafik dosyalarındaki bilgilerin gizlenmesi Dis. ... canı gönülden. teknoloji. Bilimler: 05.13.19 - St. Petersburg, 2001 .Gika, S.N. BMP formatındaki grafik dosyalarındaki bilgilerin gizlenmesi: Tezin özeti. dis. ... canı gönülden. teknoloji. Bilimler: 05.13.19 St. Petersburg. durum in-t toch. mekanik ve optik. - St.Petersburg, 2001 .Golubev, V.V. Güvenlik Yönetimi. - St.Petersburg: Peter, 2004 .Gorbatov, V.S. Bilgi Güvenliği. Yasal korumanın temelleri. - M.: MEPhI (TU), 1995 .Gorlova, I.I., kırmızı. Bilgi özgürlüğü ve bilgi güvenliği: Uluslararası Bildiriler. ilmi Konf., Krasnodar, 30-31 Ekim. 2001 - Krasnodar, 2001 .Grinsberg, AS ve diğer Kamu yönetiminin bilgi kaynaklarının korunması. - M.: UNITI, 2003 .Küresel bilgi toplumu "INFOFORUM-5" bağlamında Rusya'nın bilgi güvenliği: Cumartesi. 5. Tüm Rusya'nın materyalleri. konf., Moskova, 4-5 Şubat. 2003 - M.: OOO Kırmızı. dergi Rusya'nın İş Dünyası ve Güvenliği, 2003 .Bilgi güvenliği: Cumartesi. yöntem. Malzemeler Milli Eğitim Bakanlığı Ros. Federasyonlar [ve diğerleri]. - M.: TsNIATOMINFORM, 2003 34.Bilgi teknolojileri // Ekonomi ve yaşam. Sayı 25, 2001 35.Pazarlamada bilgi teknolojileri: Üniversiteler için ders kitabı - M.: 2003 .Ekonomi ve yönetimde bilgi teknolojileri: Ders Kitabı / Kozyrev A.A. - M .: Mikhailov V.A. yayınevi, 2005 .Lopatin, V.N. Rusya Dis'in bilgi güvenliği. ... Dr. Bilimler: 12.00.01 .Lukashin, V.I. Bilgi Güvenliği. - M.: Mosk. durum Ekonomi, İstatistik ve Bilişim Üniversitesi .Luchin, I.N., Zheldakov A.A., Kuznetsov N.A. Şifre korumasının hacklenmesi // Kolluk kuvvetleri sistemlerinin bilgilendirilmesi. M., 1996 .McClure, Stuart. Web hackleme. Saldırılar ve savunma Stuart McClure, Saumil Shah, Srirai Shah. - M.: Williams, 2003 .Malyuk, A.A. Veri işleme sistemlerinde bilgi güvenliği seviyesinin tahmine dayalı değerlendirmesinin resmileştirilmesinin teorik temelleri. - M.: MEPhI, 1998 SPb., 2000 .Bilgi güvenliği sistemlerinin ekonomik verimliliği. Chebotar P.P. - Moldova Ekonomi Akademisi, 2003 .Yakovlev, V.V. Demiryolu taşımacılığının kurumsal ağlarında bilgi güvenliği ve bilgilerin korunması. - M., 2002 .Yarochkin, V.I. Bilgi Güvenliği. - M.: Mir, 2003 .Yarochkin, V.I. Bilgi Güvenliği. - M .: Fon "Mir", 2003: Acad. Proje .Yasenev, V.N. Ekonomide otomatik bilgi sistemleri ve güvenliği: Ders kitabı. - N.Novgorod, 2002Şuna benzer işler: - Çevrimiçi bankacılık sistemlerinde kişisel verilerin korunması
1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN TEORİK TEMELLERİ
1.1 Rusya Federasyonu'nda kişisel verilerin korunmasına ilişkin yasal çerçeve
1.3.1 Kişisel verilere ilişkin bilgi sistemindeki yetkisiz erişim tehditlerinin kaynaklarının genel açıklaması.
1.3.2 Kişisel veri bilgi sisteminin işletim ortamına doğrudan erişim tehditlerinin genel özellikleri
1.3.3 Ağlar arası iletişim protokolleri kullanılarak uygulanan kişisel veri güvenliği tehditlerinin genel özellikleri
1.4 Bankanın Özellikleri ve Faaliyetleri
1.5 Kişisel veri tabanları
1.5.1 Kuruluş çalışanlarının kişisel verilerine ilişkin bilgi sistemi
1.5.2 Erişim kontrol ve yönetim sisteminin kişisel veri bilgi sistemi
1.5.3 Otomatik bankacılık sisteminin kişisel veri bilgi sistemi
1.6 Bankanın yerel alan ağının yapısı ve tehditleri
1.7 Bilgi güvenliği araçları
2.2 Yazılım ve donanım korumaları
2.3 Temel güvenlik politikası
2.3.1 Çalışanlar için bilgi güvenliği farkındalık sistemi
2.3.4 Çalışanlar e-postayla nasıl çalışır?
2.3.5 Bankanın Şifre Politikası
3. PROJENİN EKONOMİK GEREKÇESİ
ÇÖZÜM
Uygulamalar.
GİRİİŞ
20. yüzyılın sonlarında başlayan yaygın bilgisayarlaşma günümüze kadar devam etmektedir. İşletmelerde süreçlerin otomasyonu çalışanların verimliliğini artırır. Bilgi sistemleri kullanıcıları, görevlerini yerine getirmek için gerekli verileri hızlı bir şekilde elde edebilirler. Aynı zamanda verilere erişimin kolaylaşmasının yanı sıra bu verilerin güvenliği konusunda da sorunlar yaşanmaktadır. Çeşitli bilgi sistemlerine erişime sahip olan saldırganlar, bunları kişisel kazanç için kullanabilir: karaborsada satmak için veri toplamak, kuruluşun müşterilerinden para çalmak, kuruluşun ticari sırlarını çalmak.
Bu nedenle kuruluşlar için kritik öneme sahip bilgilerin korunması sorunu çok ciddidir. Finansal kuruluşların bilgi sistemlerini hackleyerek para çalmanın çeşitli teknikleri veya yöntemleri medyada giderek daha fazla biliniyor. Kişisel verilere ilişkin bilgi sistemlerine erişim sağlayan bir saldırgan, finansal kuruluşların müşterilerinin verilerini çalabilir, finansal işlemleriyle ilgili bilgileri yayabilir ve banka müşterisine hem finansal hem de itibar açısından zarar verebilir. Ayrıca müşteri hakkındaki verileri öğrenen dolandırıcılar, banka çalışanı gibi davranarak ve dolandırıcılık yaparak, sosyal mühendislik tekniklerini kullanarak müşteriyi doğrudan arayabilir, uzak bankacılık sistemlerinden şifreleri öğrenebilir ve müşterinin hesabından para çekebilir.
Ülkemizde kişisel verilerin çalınması ve yasa dışı dağıtımı sorunu oldukça ciddidir. İnternette, çalınan kişisel veri tabanlarını içeren çok sayıda kaynak vardır; bunların yardımıyla, örneğin cep telefonu numarasına göre, bir kişi hakkında pasaport verileri, ikamet adresleri, fotoğraflar da dahil olmak üzere çok ayrıntılı bilgiler bulabilirsiniz. ve daha fazlası.
Bu mezuniyet projesinde PJSC Citibank'ta kişisel veri koruma sistemi oluşturma sürecini araştırıyorum.
1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN ESASLARI
1.1 Kişisel verilerin korunmasının yasal dayanağı
Bugün Rusya'da kişisel verilerin güvenliğinin sağlanması alanında devlet düzenlemesi yapılmaktadır. Rusya Federasyonu'ndaki kişisel veri koruma sistemini düzenleyen ana yasal düzenlemeler, Rusya Federasyonu Anayasası ve 27 Temmuz 2006 tarih ve 152-FZ sayılı “Kişisel Verilere İlişkin Federal Kanun” dur. Bu iki ana yasal düzenleme, Rusya Federasyonu'ndaki kişisel verilerle ilgili ana tezleri oluşturmaktadır:
Her vatandaşın mahremiyet, kişisel ve aile sırları, onurunun ve iyi isminin korunması hakkı vardır;
Herkes yazışmaların, telefon konuşmalarının, posta, telgraf ve diğer iletişimlerin gizliliği hakkına sahiptir. Bu hakkın kısıtlanmasına yalnızca mahkeme kararıyla izin verilir;
Bir kişinin özel hayatına ilişkin bilgilerin rızası olmadan toplanması, saklanması, kullanılması ve yayılmasına izin verilmez;
Kişisel verilerin işlenmesi hukuka uygun ve adil bir şekilde gerçekleştirilmelidir;
Kişisel verilerin işlenmesi belirli, önceden belirlenmiş ve meşru amaçların gerçekleştirilmesiyle sınırlı olmalıdır. Kişisel veri toplama amaçlarıyla bağdaşmayan kişisel verilerin işlenmesine izin verilmez.
Birbiriyle bağdaşmayan amaçlarla işlenen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.
Yalnızca işlenme amaçlarına uygun olan kişisel veriler işleme tabi tutulur.
Kişisel verilerin işlenmesinde, kişisel verilerin doğruluğu, yeterliliği ve gerekiyorsa kişisel veri işleme amaçlarına uygunluğunun sağlanması gerekmektedir. İşletmeci, eksik veya yanlış verilerin kaldırılması veya açıklığa kavuşturulması için gerekli önlemleri almalı veya bunların alınmasını sağlamalıdır.
Kişisel verilerin saklanması, kişisel verilerin saklanma süresi federal yasa tarafından belirlenmedikçe, kişisel verilerin işlenme amaçlarının gerektirdiği süreden daha uzun olmayan, kişisel verilerin konusunu belirlemeye izin veren bir biçimde gerçekleştirilmelidir. kişisel veri sahibinin taraf, lehdar veya garantör olması. İşlenen kişisel veriler, federal yasa tarafından aksi belirtilmedikçe, işleme hedeflerine ulaşıldığında veya bu hedeflere ulaşma ihtiyacının kaybolması durumunda imha veya duyarsızlaştırmaya tabidir.
Rusya Federasyonu bankacılık sektörünün kuruluşlarında kişisel verilerin korunması alanında hukuki etkisi olan diğer düzenlemeler şunlardır:
Rusya Federasyonu'nun 27 Temmuz 2006 tarihli ve 149 sayılı FZ Federal Kanunu “Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında”;
Rusya Federasyonu İş Kanunu (Bölüm 14);
Rusya Federasyonu Hükümeti'nin 1 Kasım 2012 tarih ve 1119 sayılı Kararı “Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması hakkında”;
Rusya FSTEC'in 18 Şubat 2013 tarihli ve 21 sayılı Emri “Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamaya yönelik organizasyonel ve teknik önlemlerin Bileşimi ve içeriğinin onaylanması hakkında”.
Mevzuatta kullanılan ana tanımları göz önünde bulundurun.
Kişisel veriler - doğrudan veya dolaylı olarak tanımlanmış veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) ilgili her türlü bilgi.
Kişisel veri operatörü - bir devlet organı, belediye organı, tüzel kişi veya birey, bağımsız olarak veya diğer kişilerle birlikte kişisel verilerin işlenmesini organize eden ve (veya) yürüten, ayrıca kişisel verilerin işlenme amaçlarını, kişisel bileşimini belirleyen işlenecek veriler, kişisel verilerle gerçekleştirilen işlemler (işlemler);
Kişisel verilerin işlenmesi - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma dahil olmak üzere kişisel verilerle otomasyon araçları kullanılarak veya kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem). kişisel verilerin kullanılması, aktarılması (dağıtım, provizyon, erişim), duyarsızlaştırılması, engellenmesi, silinmesi, imha edilmesi;
Kişisel verilerin otomatik olarak işlenmesi - kişisel verilerin bilgisayar teknolojisi kullanılarak işlenmesi;
Kişisel verilerin yayılması - kişisel verilerin belirsiz bir kişi grubuna ifşa edilmesini amaçlayan eylemler;
Kişisel verilerin sağlanması - kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;
Kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak askıya alınması (kişisel verilerin açıklığa kavuşturulması için işlem gerekli olmadığı sürece);
Kişisel verilerin imhası - kişisel verilerin içeriğinin kişisel veri bilgi sistemine geri yüklenmesinin imkansız hale geldiği ve (veya) kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;
Kişisel verilerin kişiselleştirilmesi - ek bilgi kullanılmadan, kişisel verilerin belirli bir kişisel veri konusuna ait olduğunu belirlemenin imkansız hale geldiği eylemler;
Kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde bulunan bir dizi kişisel veri ve bunların işlenmesini sağlayan teknik araçlar;
Kişisel verilerin sınır ötesi aktarımı - kişisel verilerin yabancı bir devletin topraklarına, yabancı bir devletin makamına, yabancı bir kişiye veya yabancı bir tüzel kişiye aktarılması.
Biyometrik kişisel veriler - bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden, kimliğinin (biyometrik kişisel veriler) belirlenmesinin mümkün olduğu ve operatör tarafından kişisel verilerin konusunu tanımlamak için kullanılan bilgiler.
Kişisel verilerin güvenliği - kullanıcıların, teknik araçların ve bilgi teknolojilerinin, kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlama yeteneği ile karakterize edilen kişisel verilerin korunma durumu
1.2 Kişisel verilerin bilgi güvenliğine yönelik tehditlerin sınıflandırılması.
Bilgi güvenliği tehdidi, bilgi güvenliği özelliklerinin (bir kuruluşun bilgi varlıklarının kullanılabilirliği, bütünlüğü veya gizliliği) ihlali tehdidi olarak anlaşılmaktadır.
Tehditlerin listesi, uygulanma olasılıklarının değerlendirilmesi ve davetsiz misafir modeli, tehdit riskini analiz etmek ve otomatik sistem koruma sistemi için gereksinimleri formüle etmek için temel oluşturur. Olası tehditlerin belirlenmesinin yanı sıra, belirlenen tehditlerin bir takım özelliklere göre sınıflandırılmalarına göre analiz edilmesi gerekmektedir. Her bir sınıflandırma özelliğine karşılık gelen tehditler, bu özelliğin yansıttığı gereksinimi hassaslaştırmanıza olanak tanır.
Modern AS'de depolanan ve işlenen bilgiler çok sayıda faktöre maruz kaldığından, tüm tehditleri tanımlama görevini resmileştirmek imkansız hale gelir. Bu nedenle, korunan bir sistem için genellikle tehditlerin bir listesi değil, tehdit sınıflarının bir listesi belirlenir.
AS'nin bilgi güvenliğine yönelik olası tehditlerin sınıflandırılması aşağıdaki temel özelliklere göre yapılabilir:
Oluşumun doğası gereği:
Nesnel fiziksel süreçlerin veya doğal afetlerin nükleer santral üzerindeki etkisinden kaynaklanan doğal tehditler;
Nükleer santral güvenliğine yönelik insan faaliyetlerinden kaynaklanan yapay tehditler.
Tezahürün niyetlilik derecesine göre:
Koruyucu ekipmanın yanlış kullanımı, verilerin işlenmesindeki ihmal gibi insan hatası veya ihmalinden kaynaklanan tehditler;
Davetsiz misafirler tarafından otomatik bir sistemin hacklenmesi, işverene misilleme yapmak amacıyla verilerin kuruluş çalışanları tarafından imha edilmesi gibi kasıtlı eylem tehditleri.
Tehditlerin doğrudan kaynağına göre:
Doğal afetler, insan kaynaklı afetler gibi doğal afetler;
İnsani tehditler, örneğin: bilgilerin imhası, gizli verilerin ifşa edilmesi;
Fiziksel donanım arızası, yazılım hataları, yazılım çakışmaları gibi izin verilen ürün yazılımı;
Yetkisiz yazılım ve donanım, örneğin donanım hatalarının, yazılım hatalarının tanıtılması.
Tehdit kaynağının konumuna göre:
Kontrollü alanın dışında, örneğin iletişim kanalları üzerinden iletilen verilere müdahale edilmesi;
O kontrollü alan içerisinde, örneğin bilgilerin izinsiz kopyalanması, korunan alana yetkisiz erişim;
Doğrudan otomatik bir sistemde, örneğin AS kaynaklarının yanlış kullanımı.
AS aktivitesine bağımlılık derecesine göre:
AU'nun faaliyeti ne olursa olsun, örneğin depolama ortamının fiziksel hırsızlığı;
Yalnızca kötü amaçlı yazılım bulaşması gibi veri işleme sırasında.
AC üzerindeki etki derecesine göre:
Uygulandığında AS'nin yapısında ve içeriğinde hiçbir şeyi değiştirmeyen tehlikeli tehditler, örneğin gizli verilerin kopyalanması tehdidi;
Açığa çıktıklarında AS'nin yapısında ve içeriğinde değişiklik yapan, örneğin verilerin silinmesi, değiştirilmesi gibi aktif tehditler.
Kullanıcıların veya programların kaynaklara erişim aşamalarına göre:
AS kaynaklarına erişim aşamasında kendini gösteren tehditler, örneğin: AS'ye yetkisiz erişim tehditleri;
AS kaynaklarına erişime izin verildikten sonra ortaya çıkan tehditler (örneğin, AS kaynaklarının yanlış kullanımı).
AS kaynaklarına erişim yoluyla:
AS kaynaklarına standart erişim yolu kullanılarak gerçekleştirilen tehditler
AS kaynaklarına standart dışı gizli bir erişim yolu kullanılarak gerçekleştirilen tehditler; örneğin: yüklü yazılımın belgelenmemiş özelliklerini kullanarak AS kaynaklarına yetkisiz erişim.
AS'de saklanan ve işlenen bilgilerin mevcut konumuna göre:
Harici depolama aygıtlarında bulunan bilgilere erişim tehditleri; örneğin: gizli bilgilerin depolama ortamından kopyalanması;
RAM'de bulunan bilgilere erişim tehditleri, örneğin: RAM'den kalan bilgilerin okunması, uygulama programları aracılığıyla RAM'in sistem alanına erişim;
İletişim hatlarında dolaşan bilgilere erişim tehditleri; örneğin: bilgileri kaldırmak için iletişim hatlarına yasa dışı bağlantı yapılması, değiştirilmiş verilerin gönderilmesi;
Otomatik bir sistem üzerindeki tehlikeli etkiler kazara ve kasıtlı olarak ikiye ayrılır.
Nükleer santralin işletilmesi sırasında kazara meydana gelen etkilerin nedenleri şunlar olabilir:
Doğal afetler ve elektrik kesintilerinden kaynaklanan acil durumlar;
Hizmet reddi;
Yazılım hataları;
Servis personelinin ve kullanıcıların çalışmalarındaki hatalar;
Çevresel etkiler nedeniyle iletişim hatlarında parazit.
Yazılım hatalarının kullanılması, bilgi sistemlerinin bilgi güvenliğini ihlal etmenin en yaygın yoludur. Yazılımın karmaşıklığına bağlı olarak hata sayısı artar. Saldırganlar bu güvenlik açıklarını bulabilir ve bunlar aracılığıyla kuruluşun bilgi sistemine erişim sağlayabilir. Bu tehditleri en aza indirmek için yazılım versiyonlarının sürekli güncel tutulması gerekmektedir.
Kasıtlı tehditler, davetsiz misafirlerin hedeflenen eylemleriyle ilişkilidir. Saldırganlar ikiye ayrılır: İç saldırgan ve dış saldırgan. Dahili bir davetsiz misafir, otomatik sistemin kontrollü bölgesindeyken yasa dışı eylemlerde bulunur ve otomatik sisteme yetkili erişim için resmi yetkiyi kullanabilir. Dışarıdan bir saldırganın kontrollü bölgeye erişimi yoktur ancak hedeflerine ulaşmak için dahili bir saldırganla aynı anda hareket edebilir.
Doğrudan korunan bilgilere yönelik üç ana bilgi güvenliği tehdidi vardır:
Gizliliğin ihlali - gizli bilgiler değiştirilmez, ancak bu bilgilere erişmelerine izin verilmeyen üçüncü şahısların kullanımına sunulur. Bu tehdit gerçekleştiğinde, saldırganın çalınan bilgileri ifşa etme olasılığı yüksektir ve bu durum mali veya itibar kaybına yol açabilir. Korunan bilgilerin bütünlüğünün ihlali - bilgilerin bozulması, değiştirilmesi veya imha edilmesi. Bilginin bütünlüğü kasıtlı olarak değil, işletme çalışanının beceriksizliği veya ihmali sonucu ihlal edilebilir. Dürüstlük, bir saldırganın kendi hedeflerine ulaşmak için de ihlal edilmesi mümkündür. Örneğin, bir saldırganın hesabına para aktarmak amacıyla otomatik bankacılık sistemindeki hesap ayrıntılarının değiştirilmesi veya müşterinin kuruluşla işbirliği hakkında bilgi edinmek amacıyla bir kuruluşun müşterisinin kişisel verilerinin değiştirilmesi.
Korunan bilgilerin kullanılabilirliğinin ihlali veya hizmet reddi - yetkili bir kullanıcının aşağıdaki gibi nedenlerle korunan bilgilere erişemediği eylemler: donanım, yazılım arızası, yerel alan ağının arızası.
Otomatik sistemlerin tehditlerini değerlendirdikten sonra kişisel veri bilgi sistemine yönelik tehditlerin analizine geçebilirsiniz.
Kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde bulunan bir dizi kişisel veri ve bunların işlenmesini sağlayan teknik araçlar.
Kişisel veri bilgi sistemleri, kişisel verilerin işlenmesinde kullanılan bilgi ve yazılım ve donanım unsurlarının yanı sıra bilgi teknolojilerinden oluşan bir bütündür.
ISPD'nin ana unsurları şunlardır:
Veritabanlarında yer alan kişisel veriler;
PD işlenmesinde kullanılan bilgi teknolojileri;
Teknik, kişisel verileri işleyen anlamına gelir (bilgisayar ekipmanı, bilgi ve bilgisayar sistemleri ve ağları, kişisel verileri iletmek, almak ve işlemek için araçlar ve sistemler, ses kaydı, ses yükseltme, ses çoğaltma, belge üretme, çoğaltma araçları ve diğer araçlar ve sistemler) teknik, konuşma, grafik, video ve alfasayısal bilgilerin işlenmesi anlamına gelir);
Yazılım (işletim sistemleri, veri tabanı yönetim sistemleri, vb.);
Bilgi koruma araçları ISPDn;
Yardımcı teknik araçlar ve sistemler - kişisel verilerin işlenmesine yönelik olmayan ancak ISPD'nin bulunduğu tesislerde bulunan teknik araçlar ve sistemler, bunların iletişimleri.
Kişisel verilerin güvenliğine yönelik tehditler - kişisel verilere kazara erişim de dahil olmak üzere, kişisel verilerin imhası, değiştirilmesi, engellenmesi, kopyalanması, dağıtılmasıyla sonuçlanabilecek yetkisiz erişim tehlikesi yaratan bir dizi koşul ve faktör. bilgi kişisel veri sisteminde işlenmesi sırasında diğer yetkisiz eylemler.
UBPD'nin ortaya çıkmasına neden olan kişisel veri bilgi sisteminin özellikleri arasında kişisel veri bilgi sisteminde işlenen kişisel verilerin kategorisi ve hacmi, kişisel veri bilgi sisteminin yapısı, ISPD'nin kamu iletişim ağlarına bağlantılarının varlığı ve (veya) uluslararası bilgi alışverişi ağları, ISPD'de işlenen kişisel verilerin alt sistem güvenliğinin özellikleri, kişisel verileri işleme modları, ISPD kullanıcılarının erişim haklarının farklılaşma modları, ISPD teknik araçlarının yerleştirilmesine ilişkin konum ve koşullar.
Korunan bilgileri içeren bilgilendirici sinyallerin yayılma ortamının özellikleri, PD'nin dağıtıldığı fiziksel ortamın türü ile karakterize edilir ve UBPD'yi uygulama olasılığı değerlendirilirken belirlenir. UBPD kaynaklarının yetenekleri, PD'ye yetkisiz ve/veya kazara erişim yöntemlerinin bir kombinasyonu ile belirlenir; bunun sonucunda PD'nin gizliliği (kopyalama, yasa dışı dağıtım), bütünlüğü (imha, değişiklik) ve kullanılabilirliği (engelleme) ihlal edilmek.
Kişisel verilerin güvenliğine yönelik tehdit, tehdidin kaynağı ile PD'nin taşıyıcısı (kaynağı) arasında UBPD'nin uygulanması için bir kanalın oluşturulması sonucunda gerçekleştirilir ve bu, PD'nin güvenliğinin ihlali için koşullar yaratır. Polis.
UBPD uygulama kanalının ana unsurları (Şekil 1):
UBPD'nin kaynağı - UBPD'yi yaratan bir konu, maddi nesne veya fiziksel fenomen;
Bir fiziksel alanın, sinyalin, verinin veya programların yayılabileceği ve kişisel verilerin korunan özelliklerini etkileyebileceği PD dağıtım ortamı veya etkileri;
Kişisel veri taşıyıcısı - PD'nin semboller, görüntüler, sinyaller, teknik çözümler ve süreçler, fiziksel büyüklüklerin niceliksel özellikleri biçiminde yansıtıldığı fiziksel bir alan da dahil olmak üzere bir birey veya maddi bir nesne.
Şekil 1. Kişisel verilerin güvenliğine yönelik tehditlerin uygulanmasına yönelik kanalın genel şeması
PD taşıyıcıları aşağıdaki formlarda sunulan bilgileri içerebilir:
Kişisel veri bilgi sisteminde PD'nin ses girişi işlevini yerine getirdiğinde ISPD kullanıcısının sözlü konuşmasında doğrudan yer alan veya ISPD'nin akustik araçlarıyla çoğaltılan akustik (konuşma) bilgileri (bu işlevler PD işleme teknolojisi tarafından sağlanıyorsa) ) ve ayrıca akustik bilgilerin dönüşümü nedeniyle ortaya çıkan elektromanyetik alanlar ve elektrik sinyallerinde bulunur;
ISPD'nin bir parçası olan bilgisayar ekipmanının, bilgi ve bilgi işlem sistemlerinin çeşitli bilgi görüntüleme cihazlarının, grafik, video ve alfanümerik bilgilerin işlenmesine yönelik teknik araçların metin ve görüntüleri şeklinde sunulan bilgileri (VI) görüntüleyin;
ISPD'de elektriksel, elektromanyetik, optik sinyaller biçiminde işlenen (dolaşan) bilgiler;
ISPD'de işlenen, bitler, baytlar, dosyalar ve diğer mantıksal yapılar biçiminde sunulan bilgiler.
ISPD'lerde işlenmeleri sırasında UBPD'lerin sistematik bir listesini oluşturmak ve belirli bir ISPD türüyle ilgili olarak bunlara dayalı özel modellerin geliştirilmesi için tehditler aşağıdaki özelliklere göre sınıflandırılır (Şekil 2):
PD içeren, UBPD'den korunan bilgilerin türüne göre;
UBPD'nin olası kaynaklarının türlerine göre;
UBPD'nin uygulanmasının yönlendirildiği ISPD türüne göre;
UBPD'nin uygulanma yöntemine göre;
İhlal edilen bilginin türüne göre (PD ile gerçekleştirilen yetkisiz eylemlerin türü);
Güvenlik açığından yararlanılarak;
Etki nesnesine göre.
UBPD'nin olası kaynaklarının türlerine göre aşağıdakiler ayırt edilir:
Tehdit sınıfları:
Tehditleri doğrudan ISPD'de uygulayan kişisel veri bilgi sistemi kullanıcıları da dahil olmak üzere, ISPD'ye erişimi olan kişilerin kasıtlı veya kasıtsız eylemleriyle ilişkili tehditler (iç ihlalci);
ISPD'ye erişimi olmayan kişilerin kasıtlı veya kasıtsız eylemleriyle ilişkili tehditler, harici kamusal iletişim ağlarından ve/veya uluslararası bilgi alışverişi ağlarından (harici davetsiz misafir) gelen tehditler.
Ayrıca, donanım hatalarının ve kötü amaçlı yazılımların ortaya çıkması nedeniyle tehditler ortaya çıkabilir.
UBPD'nin uygulanmasının amaçlandığı ISPD türüne göre aşağıdaki tehdit sınıfları ayırt edilir:
UBPD, otonom bir iş istasyonu (AWP) temelinde ISPD'de işlenir;
UBPD, kamu ağına (uluslararası bilgi alışverişi ağına) bağlı otomatik bir işyeri temelinde ISPD'de işlenir;
UBPD, kamu ağına (uluslararası bilgi alışverişi ağına) bağlantısı olmayan yerel bilgi sistemleri temelinde ISPD'de işlenir;
UBPD, kamu ağına (uluslararası bilgi alışverişi ağına) bağlantısı olan yerel bilgi sistemlerine dayalı olarak ISPD'de işlenir;
UBPD, kamu ağına (uluslararası bilgi alışverişi ağına) bağlantısı olmayan dağıtılmış bilgi sistemleri temelinde ISPD'de işlenir;
UBPD, halka açık bir ağa (uluslararası bilgi alışverişi ağına) bağlı dağıtılmış bilgi sistemlerine dayalı olarak ISPD'de işlenir.
UBPD uygulama yöntemlerine göre aşağıdaki tehdit sınıfları ayırt edilir:
UA'dan PD'ye kadar olan tehditler (kötü amaçlı yazılım bulaştırma tehditleri dahil);
Bilgi sızıntısının teknik kanalları yoluyla kişisel verilerin sızması tehditleri;
ISPD üzerinde özel etki tehditleri.
PD ile gerçekleştirilen yetkisiz eylemlerin türüne göre aşağıdaki tehdit sınıfları ayırt edilir:
Uygulanması bilgilerin içeriğini doğrudan etkilemeyen PD'nin gizliliğinin ihlaline (kopyalama veya izinsiz dağıtım) yol açan tehditler;
Bilgi içeriğinin kazara da dahil olmak üzere izinsiz olarak etkilenmesine ve bunun sonucunda PD'nin değiştirilmesine veya imha edilmesine yol açan tehditler;
ISPD'nin yazılım veya donanım-yazılım öğeleri üzerinde kazara da dahil olmak üzere yetkisiz etkiye yol açan ve bunun sonucunda PD'nin engellenmesine yol açan tehditler.
Aşağıdaki tehdit sınıfları, yararlanılan güvenlik açığına göre ayırt edilir:
Sistem yazılımı açıkları kullanılarak uygulanan tehditler;
Uygulama yazılımı açıkları kullanılarak uygulanan tehditler;
AS'de bir donanım sekmesinin bulunmasından kaynaklanan bir güvenlik açığının kullanılmasından kaynaklanan tehditler;
Ağ iletişim protokolleri ve veri iletim kanallarındaki güvenlik açıkları kullanılarak uygulanan tehditler;
NSD'den VBI organizasyonundaki eksikliklerin neden olduğu bir güvenlik açığının istismar edilmesinden kaynaklanan tehditler;
Bilgi sızıntısı için teknik kanalların varlığına neden olan güvenlik açıkları kullanılarak uygulanan tehditler;
Bilgi güvenliği açıkları kullanılarak uygulanan tehditler.
Etki nesnesine göre aşağıdaki tehdit sınıfları ayırt edilir:
İş istasyonunda işlenen PD'nin güvenliğine yönelik tehditler;
Özel işleme araçlarında (yazıcılar, çiziciler, çiziciler, uzak monitörler, video projektörleri, ses çoğaltma araçları vb.) işlenen PD'nin güvenliğine yönelik tehditler;
İletişim ağları üzerinden iletilen PD'nin güvenliğine yönelik tehditler;
PD'yi işleyen uygulama programlarına yönelik tehditler;
ISPD'nin çalışmasını sağlayan sistem yazılımına yönelik tehditler.
Listelenen sınıfların UBPD'lerinden birinin veya bunların kombinasyonunun uygulanması, PD konuları için aşağıdaki türde sonuçlara yol açabilir:
Parkinson hastaları için önemli olumsuz sonuçlar;
Parkinson hastaları için olumsuz sonuçlar;
Parkinson hastaları için önemsiz olumsuz sonuçlar.
Kişisel verilerin teknik kanallar yoluyla sızma tehditleri, bilgi kaynağının, dağıtım ortamının ve bilgilendirici sinyalin alıcısının özellikleriyle açık bir şekilde tanımlanır, yani PD sızıntısının teknik kanalının özellikleriyle belirlenir.
Yetkisiz erişim tehditleri (UAH), olası UA tehdit kaynakları, ISPD yazılımı ve donanım güvenlik açıkları, tehditleri uygulama yöntemleri, etki nesneleri (korunan bilgi taşıyıcıları, dizinler, dizinler, PD veya PDN içeren dosyalar) içeren bir dizi genelleştirilmiş sınıf olarak sunulur. ) ve olası yıkıcı eylemler. Böyle bir gösterim aşağıdaki resmileştirilmiş gösterimle tanımlanmaktadır (Şekil 2).
1.3 Kişisel veri bilgi sistemlerinde tehdit kaynaklarının genel özellikleri
ISPD'de UA'ya yazılım, yazılım ve donanım kullanımıyla yönelik tehditler, kazara erişim de dahil olmak üzere yetkisiz erişim gerçekleştiğinde uygulanır ve bunun sonucunda PD'nin gizliliği, bütünlüğü ve kullanılabilirliği ihlal edilir ve şunları içerir:
Standart yazılım (işletim sistemi araçları veya genel uygulama programları) kullanılarak bilgisayarın işletim ortamına yetkisiz erişim tehditleri;
Yazılımın (yazılım ve donanım) anormal çalışma modlarını yaratma tehdidi, hizmet verilerindeki kasıtlı değişiklikler nedeniyle, normal koşullar altında sağlanan işlenen bilgilerin bileşimi ve özellikleri üzerindeki kısıtlamaların göz ardı edilmesi, verilerin kendisinin bozulması (değiştirilmesi), vesaire.;
Şekil 2 Kişisel veri bilgi sistemlerinde işlenen UBPD'nin sınıflandırılması
Kötü amaçlı programlar sunma tehditleri (yazılım-matematiksel etki).
ISPD'deki bilgilere yönelik UA tehditlerinin tanımındaki unsurların bileşimi Şekil 3'te gösterilmektedir.
Ayrıca bu tehditlerin birleşimi olan birleşik tehditler de mümkündür. Örneğin, kötü amaçlı programların tanıtılması nedeniyle, geleneksel olmayan bilgi erişim kanallarının oluşturulması da dahil olmak üzere bir bilgisayarın işletim ortamına yetkisiz erişim için koşullar yaratılabilir.
Standart yazılım kullanılarak ISPD işletim ortamına yetkisiz erişim tehditleri, doğrudan ve uzaktan erişim tehditleri olarak ikiye ayrılır. Doğrudan erişim tehditleri, bilgisayarın yazılım ve ürün yazılımı G / Ç'si kullanılarak gerçekleştirilir. Uzaktan erişim tehditleri ağ iletişim protokolleri kullanılarak uygulanır.
Bu tür tehditler ISPD ile ilgili olarak hem kamusal iletişim ağına dahil olmayan otomatikleştirilmiş bir işyeri temelinde hem de kamusal iletişim ağlarına ve uluslararası bilgi alışverişi ağlarına bağlı tüm ISPD'ye ilişkin olarak uygulanmaktadır.
Şekil 3 Kişisel veri bilgi sistemlerinde işlenen UBPD'nin sınıflandırılması
1.3.1 Kişisel verilere ilişkin bilgi sistemindeki yetkisiz erişim tehditlerinin kaynaklarının genel açıklaması.
Kişisel veri bilgi sistemindeki tehdit kaynakları şunlar olabilir:
Davetsiz misafir;
Kötü amaçlı bir programın taşıyıcısı;
Donanım yer imi.
Donanım hatalarının ortaya çıkmasıyla ilişkili PD güvenlik tehditleri, Rusya Federasyonu Federal Güvenlik Hizmetinin düzenleyici belgelerine uygun olarak, kendisi tarafından belirlenen şekilde belirlenir.
ISPD'nin kontrollü bölgesine kalıcı veya tek seferlik erişim hakkının varlığına göre ihlal edenler iki türe ayrılır:
ISPD'ye erişimi olmayan, dış kamusal iletişim ağlarından ve/veya uluslararası bilgi alışverişi ağlarından gelen tehditlerin farkına varan ihlalciler, dış ihlalcilerdir;
Tehditleri doğrudan ISPD'de uygulayan ISPD kullanıcıları da dahil olmak üzere, ISPD'ye erişimi olan ihlalciler, iç ihlalcilerdir.
Dış davetsiz misafirler şunlar olabilir:
Rakip kuruluşlar;
vicdansız ortaklar;
Dış konular (bireyler).
Dışarıdan bir davetsiz misafir aşağıdaki yeteneklere sahiptir:
Ofis binalarının dışına çıkan iletişim kanallarına yetkisiz erişim sağlamak;
Kamu iletişim ağlarına ve/veya uluslararası bilgi alışverişi ağlarına bağlı iş istasyonları aracılığıyla yetkisiz erişim gerçekleştirin;
Yazılım virüsleri, kötü amaçlı yazılımlar, algoritmik veya yazılım yer imleri aracılığıyla özel yazılım eylemlerini kullanarak bilgilere yetkisiz erişim gerçekleştirmek;
Yaşam döngüleri boyunca (modernizasyon, bakım, onarım, imha) kontrollü alanın dışında kalan kişisel verilere bilgi sistemi tarafından bilgi altyapısı unsurları aracılığıyla yetkisiz erişim sağlamak;
ISPD'ye bağlı olduklarında etkileşim halindeki departman, kurum ve kuruluşların bilgi sistemleri üzerinden yetkisiz erişim gerçekleştirmek.
Dahili potansiyel ihlalciler, erişim yöntemine ve PD'ye erişim yetkisine bağlı olarak sekiz kategoriye ayrılır.
İlk kategori, ISPD'ye erişim yetkisi olan ancak PD'ye erişimi olmayan kişileri içerir. Bu tür suçlular, ISPD'nin normal işleyişini sağlayan yetkilileri içerir.
PD içeren ve dahili ISPD iletişim kanalları aracılığıyla dağıtılan bilgi parçalarına erişim sahibi olmak;
ISPD'nin topolojisi ve kullanılan iletişim protokolleri ve hizmetleri hakkında bilgi parçalarına sahip olmak;
Kayıtlı kullanıcıların adlarına sahip olmak ve şifrelerinin tanımlanmasını sağlamak;
ISPD donanımının yapılandırmasını değiştirin, yazılım ve donanım yer imlerini buna girin ve ISPD donanımına doğrudan bağlantı kullanarak bilgi erişimi sağlayın.
Birinci kategorideki kişilerin tüm yeteneklerine sahiptir;
En az bir yasal erişim adını biliyor;
Belirli bir PD alt kümesine erişim sağlayan tüm gerekli özelliklere sahiptir;
Erişim sahibi olduğu gizli verilere sahiptir.
Belirli bir PD alt kümesine erişimi, kimlik doğrulaması ve erişim hakları, ilgili erişim kontrol kuralları tarafından düzenlenmelidir.
Birinci ve ikinci kategorideki kişilerin tüm yeteneklerine sahiptir;
Erişimin sağlandığı yerel ve/veya dağıtılmış bir bilgi sistemine dayalı ISPD topolojisi ve ISPD teknik araçlarının bileşimi hakkında bilgiye sahiptir;
ISPD teknik araçlarının parçalarına doğrudan (fiziksel) erişim olanağına sahiptir.
ISPD segmentinde (parça) kullanılan sistem ve uygulama yazılımı hakkında tam bilgiye sahiptir;
ISPD segmentinin (parça) teknik araçları ve konfigürasyonu hakkında tam bilgiye sahiptir;
Bilgi güvenliği ve günlük tutma araçlarının yanı sıra ISPD segmentinde (parça) kullanılan ayrı ayrı öğelere erişime sahiptir;
ISPD segmentinin (parça) tüm teknik araçlarına erişime sahiptir;
ISPD segmentinin (parça) teknik araçlarının bazı alt kümelerini yapılandırma ve yönetme haklarına sahiptir.
ISPD sistem yöneticisinin yetkileri.
Önceki kategorilerdeki kişilerin tüm yeteneklerine sahiptir;
ISPD'nin sistemi ve uygulama yazılımı hakkında eksiksiz bilgiye sahiptir;
ISPD'nin teknik araçları ve konfigürasyonu hakkında tam bilgiye sahiptir;
Bilgi işlemenin tüm teknik araçlarına ve ISPD verilerine erişimi vardır;
ISPD teknik araçlarının yapılandırılması ve yönetimsel ayarı haklarına sahiptir.
Sistem yöneticisi, korunan nesnenin güvenliğinden sorumlu ekipman da dahil olmak üzere yazılım ve ekipmanı yapılandırır ve yönetir: kriptografik bilgilerin korunması, izlenmesi, kaydedilmesi, arşivlenmesi, yetkisiz erişime karşı koruma araçları.
Önceki kategorilerdeki kişilerin tüm yeteneklerine sahiptir;
ISPD hakkında tam bilgiye sahiptir;
Bilgi güvenliği ve günlük tutma araçlarına ve ISPD'nin bazı temel öğelerine erişimi vardır;
Kontrol (denetim) donanımları dışında, ağ donanımını yapılandırmaya yönelik erişim hakları yoktur.
ISPD'ye ilişkin bilgilerin işlenmesine yönelik algoritmalar ve programlar hakkında bilgiye sahiptir;
Geliştirme, uygulama ve bakım aşamasında ISPD yazılımına hatalar, bildirilmemiş özellikler, yazılım yer imleri ve kötü amaçlı yazılım ekleme yeteneğine sahiptir;
ISPD'nin topolojisi ve ISPD'de işlenen PD'nin işlenmesi ve korunmasına ilişkin teknik araçlar hakkında herhangi bir bilgi parçasına sahip olabilir.
ISPD'nin teknik araçlarında geliştirme, uygulama ve bakım aşamasında yer imleri oluşturma yeteneğine sahiptir;
ISPD'nin topolojisi ve ISPD'deki bilgilerin işlenmesi ve korunmasına ilişkin teknik araçlar hakkında herhangi bir bilgi parçasına sahip olabilir.
Kötü amaçlı bir programın taşıyıcısı, bir bilgisayarın donanım öğesi veya bir yazılım kabı olabilir. Kötü amaçlı programın herhangi bir uygulama programıyla ilişkili olmaması durumunda aşağıdakiler onun taşıyıcısı olarak kabul edilir:
Yabancılaştırılabilir ortam, yani disket, optik disk, flash bellek;
Yerleşik depolama ortamı (sabit sürücüler, RAM yongaları, işlemci, anakart yongaları, sistem birimine gömülü aygıt yongaları - video bağdaştırıcısı, ağ kartı, ses kartı, modem, manyetik sabit ve optik sürücülerin giriş / çıkış aygıtları, güç kaynağı , vb. .p., doğrudan bellek erişim yongaları, veri yolları, giriş / çıkış bağlantı noktaları);
Harici cihazların yongaları (monitör, klavye, yazıcı, modem, tarayıcı vb.).
Kötü amaçlı bir program herhangi bir uygulama programıyla, belirli uzantılara veya başka niteliklere sahip dosyalarla, ağ üzerinden iletilen mesajlarla ilişkilendirilirse, bu programın taşıyıcıları şunlardır:
Bir bilgisayar ağı üzerinden iletilen mesaj paketleri;
Dosyalar (metin, grafik, çalıştırılabilir vb.).
1.3.2 Kişisel veri bilgi sisteminin işletim ortamına doğrudan erişim tehditlerinin genel özellikleri
Bilgisayarın işletim ortamına yetkisiz erişim ve PD'ye yetkisiz erişim tehditleri aşağıdakilere erişimle ilişkilidir:
ISPD'nin temel G/Ç sisteminde saklanan bilgi ve komutlara, işletim sisteminin yüklenmesinin kontrolünün ele geçirilmesi ve güvenilir bir kullanıcının haklarının elde edilmesi olasılığı;
İşletim ortamında, yani, işletim sisteminin düzenli programlarını çağırarak veya bu tür eylemleri uygulayan özel olarak tasarlanmış programları başlatarak yetkisiz erişim gerçekleştirme olasılığı ile ISPD'nin ayrı bir teknik aracının yerel işletim sisteminin işleyişi ortamında. ;
Uygulama programlarının işleyişine yönelik ortama (örneğin, yerel bir veritabanı yönetim sistemine);
Doğrudan kullanıcı bilgilerine (elektronik veritabanlarındaki dosyalara, metinlere, ses ve grafik bilgilerine, alanlara ve kayıtlara) ve gizliliğinin, bütünlüğünün ve kullanılabilirliğinin ihlali olasılığına bağlıdır.
Bu tehditler, ISPD'ye veya en azından ISPD'ye bilgi girme araçlarına fiziksel erişim sağlanması durumunda uygulanabilir. Uygulama şartlarına göre üç gruba ayrılabilirler.
İlk grup, işletim sisteminin yüklenmesi sırasında uygulanan tehditleri içerir. Bu bilgi güvenliği tehditleri, parolaların veya tanımlayıcıların ele geçirilmesini, temel giriş/çıkış sisteminin yazılımını değiştirmeyi, ISPD işletim ortamında UA'yı almak için gerekli teknolojik bilgileri değiştirerek indirme kontrolünü engellemeyi amaçlamaktadır. Çoğu zaman, bu tür tehditler yabancılaşmış medya kullanılarak uygulanmaktadır.
İkinci grup, kullanıcı tarafından hangi uygulama programının başlatıldığına bakılmaksızın, işletim ortamı yüklendikten sonra uygulanan tehditlerdir. Bu tehditler genellikle bilgiye doğrudan yetkisiz erişim gerçekleştirmeyi amaçlamaktadır. Davetsiz misafir, işletim ortamına erişim elde ederken, hem işletim sisteminin standart işlevlerini hem de bazı genel uygulama programlarını (örneğin, veritabanı yönetim sistemleri) ve yetkisiz erişim gerçekleştirmek için özel olarak oluşturulmuş programları kullanabilir, örneğin:
Kayıt defteri görüntüleyicileri ve değişiklikleri;
Metin dosyalarındaki metinleri anahtar kelimelere göre aramak ve kopyalamak için programlar;
Veritabanlarındaki kayıtları görüntülemek ve kopyalamak için özel programlar;
Grafik dosyalarını hızlı bir şekilde görüntülemek, düzenlemek veya kopyalamak için programlar;
Yazılım ortamının yeniden yapılandırılması olanaklarını destekleyen programlar (suçlunun yararına ISPD ayarları).
Son olarak üçüncü grup, uygulanması kullanıcı tarafından hangi uygulama programlarının başlatıldığına veya uygulama programlarından herhangi birinin başlatıldığına göre belirlenen tehditleri içerir. Bu tehditlerin çoğu kötü amaçlı yazılım yerleştirme tehditleridir.
1.3.3 Ağlar arası iletişim protokolleri kullanılarak uygulanan kişisel veri güvenliği tehditlerinin genel özellikleri
ISPD, yerel veya dağıtılmış bir bilgi sistemi temelinde uygulanıyorsa, bilgi güvenliği tehditleri, ağlar arası protokoller kullanılarak bu sisteme uygulanabilir. Aynı zamanda PD'ye NSD sağlanabilir veya hizmet reddi tehdidi gerçekleştirilebilir. ISPD, kamu ağlarına ve/veya uluslararası bilgi alışverişi ağlarına bağlı dağıtılmış bir bilgi sistemi olduğunda tehditler özellikle tehlikelidir. Ağ üzerinden uygulanan tehditlerin sınıflandırma şeması Şekil 4'te gösterilmektedir. Aşağıdaki yedi temel sınıflandırma özelliğine dayanmaktadır.
Şekil 4 Ağlar arası iletişim protokollerini kullanan tehditlerin sınıflandırma şeması
1. Tehdidin niteliği. Bu temelde tehditler pasif ve aktif olabilir. Pasif tehdit, uygulanması ISPD'nin çalışmasını doğrudan etkilemeyen bir tehdittir, ancak PD'ye veya ağ kaynaklarına erişimi kısıtlamak için belirlenen kurallar ihlal edilebilir. Bu tür tehditlere bir örnek, iletişim kanallarını dinlemeyi ve iletilen bilgilere müdahale etmeyi amaçlayan "Ağ trafiği analizi" tehdididir. Aktif tehdit, uygulanması sistemin çalışmasını doğrudan etkileyen (yapılandırma değişikliği, performansın bozulması vb.) ISPD kaynakları üzerindeki etkiyle ilişkili ve PD'ye erişimi kısıtlamak için belirlenmiş kuralları ihlal eden bir tehdittir veya ağ kaynakları. Bu tür tehditlere bir örnek, "TCP istek fırtınası" olarak pazarlanan Hizmet Reddi tehdididir.
2. Tehdidin uygulanma amacı. Bu temelde, tehditler bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini ihlal etmeyi (ISPD'nin veya unsurlarının çalışabilirliğinin ihlal edilmesi dahil) hedefleyebilir.
3. Tehdidin uygulanması sürecinin başlatılmasının koşulu. Bu temelde bir tehdit gerçekleştirilebilir:
Tehdidin uygulandığı nesnenin talebi üzerine. Bu durumda davetsiz misafir, yetkisiz erişimin başlatılmasının koşulu olacak belirli türde bir talebin iletilmesini beklemektedir;
Tehdidin uygulandığı tesiste beklenen bir olayın meydana gelmesi üzerine. Bu durumda davetsiz misafir, ISPD işletim sisteminin durumunu sürekli olarak izler ve bu sistemde belirli bir olay meydana gelirse yetkisiz erişim başlar;
Koşulsuz etki. Bu durumda yetkisiz erişim uygulamasının başlaması, erişimin amacına bağlı olarak koşulsuzdur, yani tehdidin anında ve sistemin durumuna bakılmaksızın gerçekleşmesi söz konusudur.
4. ISPD'den geri bildirimin varlığı. Bu temelde, bir tehdidin uygulanma süreci geri bildirimli veya geri bildirimsiz olabilir. Kişisel veri bilgi sisteminden geri bildirim alınması durumunda gerçekleştirilen tehdidin özelliği, ISPD'ye iletilen bazı taleplerin ihlalcinin yanıt almasını gerektirmesidir. Sonuç olarak, ihlalci ile kişisel veri bilgi sistemi arasında, ihlalcinin ISPD'de meydana gelen tüm değişikliklere yeterli düzeyde yanıt vermesine olanak tanıyan bir geri bildirim vardır. Kişisel veri bilgi sisteminden geri bildirim alınarak uygulanan tehditlerden farklı olarak, geri bildirim olmadan tehditler uygulanırken ISPD'de meydana gelen herhangi bir değişikliğe yanıt verilmesi gerekli değildir.
5. Davetsiz misafirin ISPD'ye göre konumu. Bu işarete uygun olarak tehdit hem segment içi hem de segmentler arası olarak gerçekleşmektedir.
Ağ bölümü - ana bilgisayarların fiziksel bir birleşimi (bir ağ adresine sahip ISPD donanımı veya iletişim öğeleri). Örneğin, kişisel veri bilgi sisteminin bir bölümü, "ortak veri yolu" şemasına göre sunucuya bağlı bir dizi ana bilgisayar oluşturur. Segment içi bir tehdidin mevcut olması durumunda, davetsiz misafirin ISPD donanım öğelerine fiziksel erişimi vardır. Bölümler arası bir tehdit varsa, o zaman suçlu ISPD'nin dışında yer alır ve tehdidin başka bir ağdan veya kişisel veri bilgi sisteminin başka bir bölümünden geldiğini fark eder.
6. Tehdidin uygulandığı açık sistem etkileşimi (ISO/OSI) referans modelinin düzeyi. Bu temelde ISO/OSI modelinin fiziksel, kanal, ağ, aktarım, oturum, sunum ve uygulama düzeylerinde bir tehdit uygulanabilir.
7. İhlal edenlerin ve tehdidin uygulandığı ISPD unsurlarının sayısının oranı. Bu temelde, bir tehdit, bir davetsiz misafirin bir ISPD teknik aracına ("bire bir" tehdit), birkaç ISPD teknik aracına aynı anda ("bire çok" tehdit) karşı uyguladığı bir tehdit olarak sınıflandırılabilir veya ISPD'nin bir veya birkaç teknik aracına (dağıtılmış veya birleşik tehditler) göre farklı bilgisayarlardan birkaç davetsiz misafir tarafından.
Yapılan sınıflandırmayı dikkate alarak, kişisel veri bilgi sistemine yönelik ana saldırı türlerini ayırıyoruz:
1. Ağ trafiğinin analizi.
Bu tehdit, bir ağ bölümü üzerinden iletilen tüm paketleri yakalayan ve bunlar arasında kullanıcı kimliğinin ve parolanın iletildiği paketleri ayıran özel paket yoklama yazılımı kullanılarak uygulanır. Tehdidin uygulanması sırasında davetsiz misafir ağın mantığını inceler - yani sistemde meydana gelen olaylar ile ana bilgisayarların meydana geldiği sırada gönderdiği komutlar arasında bire bir yazışma elde etmeye çalışır. bu olaylar. Gelecekte bu, saldırganın, uygun komutların atanmasına dayanarak, sistemde hareket etmek için ayrıcalıklı haklar elde etmesine veya sistemdeki yetkilerini genişletmesine, ağ işletim sisteminin bileşenleri arasında alınıp verilen iletilen veri akışını engellemesine olanak tanır. Gizli veya kimlik bilgilerinin çıkarılması, değiştirilmesi ve değiştirilmesi amacıyla.
2.Ağ taranıyor.
Tehdit uygulama sürecinin özü, ISPD ana bilgisayarlarının ağ hizmetlerine istek göndermek ve onlardan gelen yanıtları analiz etmektir. Amaç, kullanılan protokolleri, ağ hizmetlerinin mevcut bağlantı noktalarını, bağlantı tanımlayıcılarının oluşturulmasına ilişkin yasaları, aktif ağ hizmetlerinin tanımını, kullanıcı tanımlayıcılarının ve şifrelerinin seçimini belirlemektir.
3. Parolanın açığa çıkması tehdidi.
Tehdidin uygulanmasındaki amaç şifre korumasını aşarak UA elde etmektir. Saldırgan, basit kaba kuvvet, özel sözlükler kullanarak kaba kuvvet, parolayı ele geçirmek için kötü amaçlı yazılım yükleme, güvenilir bir ağ nesnesini yanıltma ve paket koklama gibi çeşitli yöntemleri kullanarak bir tehdit uygulayabilir. Temel olarak, tehdidi uygulamak için, parolaları art arda tahmin ederek ana bilgisayara erişmeye çalışan özel programlar kullanılır. Başarılı olursa, saldırgan kendisi için gelecekteki erişim için bir giriş noktası oluşturabilir ve bu, ana bilgisayardaki erişim şifresi değiştirilse bile geçerli kalacaktır.
4.Güvenilen bir ağ nesnesinin değiştirilmesi ve erişim haklarının atanması ile onun adına iletişim kanalları aracılığıyla mesajların iletilmesi.
Böyle bir tehdit, ana bilgisayarları ve kullanıcıları tanımlamak ve doğrulamak için zayıf algoritmaların kullanıldığı sistemlerde etkili bir şekilde uygulanır. Güvenilir nesne, sunucuya yasal olarak bağlı bir ağ nesnesidir (bilgisayar, güvenlik duvarı, yönlendirici vb.). Bu tehdidi uygulama sürecinin iki çeşidi ayırt edilebilir: sanal bağlantı kurularak ve kurulmadan. Sanal bir bağlantının kurulmasıyla ilgili uygulama süreci, davetsiz misafirin güvenilen bir konu adına bir ağ nesnesiyle oturum yürütmesine izin veren, güvenilir bir etkileşim konusunun haklarının atanmasından oluşur. Bu tür bir tehdidin uygulanması, mesaj tanımlama ve kimlik doğrulama sisteminin aşılmasını gerektirir. İletilen mesajları yalnızca gönderenin ağ adresine göre tanımlayan ağlarda, sanal bağlantı kurulmadan tehdit uygulanması işlemi gerçekleşebilmektedir. İşin özü, yönlendirme ve adres verilerinin değiştirilmesiyle ilgili ağ kontrol cihazları adına (örneğin yönlendiriciler adına) servis mesajlarının iletilmesinde yatmaktadır.
Tehdidin uygulanmasının bir sonucu olarak, ihlal eden kişi, kullanıcı tarafından ISPD teknik aracına güvenilen abone için belirlenen erişim haklarını alır.
5. Yanlış bir ağ rotası uygulamak.
Bu tehdit iki yoldan biriyle gerçekleştirilir: bölüm içi veya bölümler arası dayatma yoluyla. Yanlış bir rota uygulama olasılığı, yönlendirme algoritmalarının doğasında bulunan eksikliklerden kaynaklanmaktadır (özellikle ağ kontrol cihazlarını tanımlama sorunu nedeniyle), bunun sonucunda örneğin bir ana bilgisayara veya bir saldırganın ağına ulaşabilirsiniz. ISPD'nin bir parçası olarak teknik bir aracın işletim ortamına girebileceğiniz yer. Tehdidin uygulanması, yönlendirme tablolarında değişiklik yapmak için yönlendirme ve ağ kontrol protokollerinin yetkisiz kullanımına dayanmaktadır. Bu durumda davetsiz misafirin ağ kontrol cihazı (örneğin bir yönlendirici) adına bir kontrol mesajı göndermesi gerekir.
6. Sahte bir ağ nesnesinin tanıtılması.
Bu tehdit, uzaktan arama algoritmalarındaki zayıflıklardan yararlanmaya dayanmaktadır. Ağ nesnelerinin başlangıçta birbirleri hakkında adres bilgileri yoksa, ağ üzerinden özel isteklerin iletilmesinden ve bunlara gerekli bilgilerle yanıtların alınmasından oluşan çeşitli uzaktan arama protokolleri kullanılır. Bu durumda, ihlalcinin arama sorgusunu ele geçirmesi ve ona yanlış bir yanıt vermesi mümkündür; bunun kullanımı yönlendirme ve adres verilerinde gerekli değişikliğe yol açacaktır. Gelecekte kurban nesneyle ilişkili tüm bilgi akışı sahte ağ nesnesinden geçecek
7. Hizmet reddi.
Bu tehditler, ağ yazılımındaki kusurlara ve davetsiz misafirin, işletim sisteminin gelen paketleri işleyemediği koşullar yaratmasına olanak tanıyan güvenlik açıklarına dayanmaktadır. Bu tür tehditlerin çeşitli türleri ayırt edilebilir:
ISPD kaynaklarının bir kısmının, bir saldırgan tarafından iletilen paketlerin işlenmesi için iletişim kanallarının bant genişliğinde bir azalma, ağ cihazlarının performansı ve istek işleme süresi gereksinimlerinin ihlali ile dahil edilmesinden kaynaklanan gizli hizmet reddi. Bu tür tehditlerin uygulanmasına ilişkin örnekler şunlardır: ICMP protokolü aracılığıyla yönlendirilmiş bir yankı istekleri fırtınası, TCP bağlantıları kurmaya yönelik bir istek fırtınası, bir FTP sunucusuna yönelik bir istek fırtınası;
Bir saldırgan tarafından iletilen paketleri işlerken ISPD kaynaklarının tükenmesinden kaynaklanan açık bir hizmet reddi (iletişim kanallarının tüm bant genişliğinin işgal edilmesi, hizmet istek kuyruklarının taşması), yasal isteklerin kullanılamaması nedeniyle ağ üzerinden iletilmemesi iletim ortamının taşması veya taşan istek kuyrukları, bellek disk alanı vb. nedeniyle bakım sırasında reddedilmesi. Bu tür tehditlere örnek olarak ICMP yayın yankı isteği fırtınası, yönlendirilmiş fırtına, posta sunucusu mesaj fırtınası;
Suçlunun ağ cihazları adına kontrol mesajları göndermesi ve yönlendirme ve adres verilerinde veya kimlik ve kimlik doğrulama bilgilerinde değişikliğe yol açması durumunda, ISPD'nin teknik araçları arasındaki mantıksal bağlantının ihlalinden kaynaklanan açık hizmet reddi;
Ağ değişim protokollerini uygulayan programlarda hatalar olması koşuluyla, standart dışı niteliklere sahip veya izin verilen maksimum boyutu aşan bir uzunluğa sahip paketler ileten bir saldırganın neden olduğu, istekleri işlemeye katılan ağ cihazlarının arızalanmasına yol açabilen açık bir hizmet reddi . Bu tehdidin uygulanmasının sonucu, ISPD'deki PD'ye uzaktan erişim sağlamaya yönelik ilgili hizmetin performansında bir kesinti, ISPD'nin bir parçası olarak teknik tesise bağlantı için aynı sayıda talebin bir adresten aktarılması, trafiği mümkün olduğu kadar işleyebilen, bu da istek kuyruğunun taşmasına ve ağ hizmetlerinden birinin başarısız olmasına veya sistemin istekleri işleme dışında herhangi bir şey yapamaması nedeniyle bilgisayarın tamamen kapanmasına neden olur.
8.Uygulamaların uzaktan başlatılması.
Tehdit, ISPD ana bilgisayarında önceden yerleştirilmiş çeşitli kötü amaçlı yazılımları çalıştırma arzusunda yatmaktadır: yer imleri, virüsler, "ağ casusları"; bunların asıl amacı gizliliği, bütünlüğü, bilgilerin kullanılabilirliğini ve işleyişi üzerinde tam kontrolü ihlal etmektir. Göçebe. Ayrıca, saldırgan için gerekli verilerin yetkisiz olarak elde edilmesi, uygulama programı tarafından kontrol edilen süreçlerin başlatılması vb. için kullanıcı uygulama programlarının yetkisiz başlatılması mümkündür. Bu tehditlerin üç alt sınıfı vardır:
Yetkisiz yürütülebilir kod içeren dosyaların dağıtımı;
Uygulama sunucularının ara belleğinin taşması yoluyla uygulamanın uzaktan başlatılması;
Gizli yazılım ve donanım sekmeleri tarafından sağlanan uzaktan sistem yönetimi yeteneklerini veya standart araçları kullanarak uygulamanın uzaktan başlatılması.
Bu alt sınıflardan ilkinin tipik tehditleri, dağıtılmış dosyalara yanlışlıkla erişildiğinde etkinleştirilmesine dayanır. Bu tür dosyalara örnek olarak şunlar verilebilir: makro biçiminde yürütülebilir kod içeren dosyalar (Microsoft Word, Excel belgeleri), ActiveX denetimleri biçiminde yürütülebilir kod içeren html belgeleri, Java uygulamaları, yorumlanmış komut dosyaları (örneğin, kötü amaçlı JavaScript); yürütülebilir program kodlarını içeren dosyalar.
Dosyaların dağıtımı için e-posta, dosya aktarımı, ağ dosya sistemi hizmetleri kullanılabilir.
İkinci alt sınıfın tehditleri, ağ hizmetlerini uygulayan programların eksikliklerini (özellikle arabellek taşması kontrolünün eksikliği) kullanır. Sistem kayıtlarını ayarlayarak, bazen arabellek taşmasının neden olduğu bir kesinti sonrasında işlemciyi, arabellek sınırı dışında bulunan kodun yürütülmesine değiştirmek mümkündür.
Üçüncü alt sınıfın tehditlerinde, davetsiz misafir, bilgisayar ağlarını yönetmek ve idare etmek için gizli bileşenler veya standart araçlar tarafından sağlanan uzaktan sistem kontrol yeteneklerini kullanır. Kullanımları sonucunda ağdaki istasyon üzerinde uzaktan kontrol sağlamak mümkündür. Şematik olarak bu programların çalışmasının ana aşamaları şu şekildedir: belleğe kurulum; bir istemci programını çalıştıran uzak bir ana bilgisayardan bir istek beklemek ve onunla hazırlık mesajları alışverişinde bulunmak; ele geçirilen bilgilerin müşteriye aktarılması veya saldırıya uğrayan bilgisayar üzerinde kontrolün ona verilmesi. Çeşitli sınıflardaki tehditlerin uygulanmasından kaynaklanan olası sonuçlar Tablo 1'de gösterilmektedir.
Tablo 1. Çeşitli sınıflardaki tehditlerin uygulanmasının olası sonuçları
|
№
p/p |
Saldırı türü | Olası sonuçlar | |
| 1 | Ağ trafiği analizi | Ağ trafiği özelliklerinin incelenmesi, kullanıcı kimlikleri ve şifreler dahil iletilen verilere müdahale edilmesi | |
| 2 | Ağ Taraması | Protokollerin tanımı, ağ hizmetlerinin mevcut bağlantı noktaları, bağlantı tanımlayıcıları oluşturma kuralları, aktif ağ hizmetleri, kullanıcı kimlikleri ve parolalar | |
| 3 | "Şifre" saldırısı | Yetkisiz erişim elde etmekle ilgili herhangi bir yıkıcı eylemin gerçekleştirilmesi | |
| 4 | Güvenilir bir ağ nesnesini taklit etme | Mesajların yolunun değiştirilmesi, yönlendirme ve adres verilerinin yetkisiz olarak değiştirilmesi. Ağ kaynaklarına yetkisiz erişim, yanlış bilgilerin empoze edilmesi | |
| 5 | Yanlış bir rota empoze etmek | Yönlendirme ve adres verilerinin izinsiz değiştirilmesi, iletilen verilerin analizi ve değiştirilmesi, yanlış mesajların empoze edilmesi | |
| 6 | Sahte ağ nesnesinin eklenmesi | Trafiğin durdurulması ve görüntülenmesi. Ağ kaynaklarına yetkisiz erişim, yanlış bilgilerin empoze edilmesi | |
| 7 | Hizmet Reddi | Kısmi kaynak tükenmesi | İletişim kanallarının bant genişliğinin azalması, ağ cihazlarının performansı. Sunucu uygulamalarının performansında azalma. |
| Kaynakların tamamen tükenmesi | İletim ortamına erişim eksikliği nedeniyle mesajların iletilmesinin imkansızlığı, bağlantı kurmayı reddetme. Hizmet reddi. | ||
| Nitelikler, veriler, nesneler arasındaki mantıksal bağlantının ihlali | Yönlendirme ve adres verilerinin doğru olmaması nedeniyle mesaj gönderilememesi. Tanımlayıcıların, şifrelerin vb. izinsiz değiştirilmesi nedeniyle hizmet alınamaması. | ||
| Programlardaki hataları kullanma | Ağ cihazlarının arızası. | ||
| 8 | Uzaktan uygulama başlatma | Yıkıcı yürütülebilir kod içeren dosyalar göndererek virüs bulaşması. | Bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin ihlali. |
| Sunucu uygulamasının arabellek taşması ile | |||
| Gizli yazılım ve donanım sekmelerinin veya kullanılan standart araçların sağladığı uzaktan sistem yönetimi yeteneklerini kullanarak | Gizli sistem yönetimi. | ||
Tehdit gerçekleştirme süreci genel olarak dört aşamadan oluşur:
Bilgi toplanması;
İzinsiz girişler (işletim ortamına sızma);
Yetkisiz erişimin uygulanması;
Yetkisiz erişim izlerinin ortadan kaldırılması.
Bilgi toplama aşamasında ihlalci, aşağıdakiler de dahil olmak üzere ISPD ile ilgili çeşitli bilgilerle ilgilenebilir:
Sistemin çalıştığı ağın topolojisi hakkında. Bu, ağın etrafındaki alanı keşfedebilir (örneğin, davetsiz misafir güvenilir ancak daha az güvenli ana bilgisayarların adresleriyle ilgilenebilir). Kısa sürede ana bilgisayar kullanılabilirliği için adres alanının geniş bir alanını tarayabilen paralel ana bilgisayar kullanılabilirliği araçları vardır;
ISPD'deki işletim sisteminin (OS) türü hakkında. İşletim sistemi türünü belirleme yöntemi, Telnet uzaktan erişim protokolü aracılığıyla bağlantı kurmaya yönelik en basit istek olarak not edilebilir, bunun sonucunda ana bilgisayarın işletim sistemi türü, yanıtın "görünümü" ile belirlenebilir. Belirli hizmetlerin varlığı aynı zamanda ana bilgisayar işletim sistemi türünün ek bir göstergesi olarak da kullanılabilir;
Ana makinelerde çalışan hizmetler hakkında. Bir ana bilgisayarda çalışan hizmetlerin tanımı, bir ana bilgisayarın kullanılabilirliği hakkında bilgi toplamak için "açık bağlantı noktaları" yöntemine dayanmaktadır.
İstila aşamasında, sistem hizmetlerinde tipik güvenlik açıklarının veya sistem yönetimindeki hataların varlığı araştırılır. Güvenlik açıklarının başarılı bir şekilde kullanılması, genellikle bir saldırganın işleminin ayrıcalıklı yürütme modu kazanması (işlemcinin ayrıcalıklı yürütme moduna erişim), sisteme yasa dışı bir kullanıcı hesabı eklemesi, bir parola dosyası ele geçirmesi veya saldırıya uğrayan ana bilgisayarı kesintiye uğratmasıyla sonuçlanır.
Tehdidin gelişiminin bu aşaması kural olarak çok aşamalıdır. Tehdit uygulama sürecinin aşamaları örneğin şunları içerebilir: tehdidin uygulandığı ana bilgisayarla bağlantı kurulması; güvenlik açığı tespiti; güçlendirme vb. amacıyla kötü niyetli bir programın tanıtılması.
İzinsiz giriş aşamasında uygulanan tehditler, kullanılan izinsiz giriş mekanizmasına bağlı olarak ağ, aktarım veya uygulama düzeyinde oluşturulduğu için TCP/IP protokol yığınının katmanlarına ayrılır. Ağ ve aktarım düzeylerinde uygulanan tipik tehditler aşağıdakileri içerir:
Güvenilen bir nesneyi değiştirmeyi amaçlayan bir tehdit;
Ağda yanlış rota oluşturmayı amaçlayan bir tehdit;
Uzaktan arama algoritmalarının eksikliklerini kullanarak sahte nesne oluşturmaya yönelik tehditler;
Hizmet reddi tehditleri.
Uygulama düzeyinde uygulanan tipik tehditler, uygulamaların yetkisiz başlatılmasını amaçlayan tehditleri, uygulanması yazılım hatalarının ortaya çıkmasıyla, bir ağa veya belirli bir ana bilgisayara erişim şifrelerinin tespit edilmesiyle ilişkili tehditleri vb. içerir. Tehdidin uygulanması, ihlal eden kişiye sistemdeki en yüksek erişim haklarını sağlamadıysa, bu hakların mümkün olan en üst seviyeye genişletilmesine yönelik girişimlerde bulunulması mümkündür. Bunun için sadece ağ servislerinin zafiyetlerinden değil aynı zamanda ISPDN hostlarının sistem yazılımlarındaki zafiyetlerden de yararlanılabilir.
Yetkisiz erişimin uygulanması aşamasında, tehdidin uygulanması hedefine ulaşılır:
Gizliliğin ihlali (kopyalama, yasa dışı dağıtım);
Bütünlüğün ihlali (yıkım, değişim);
Kullanılabilirliğin ihlali (engelleme).
Aynı aşamada, bu eylemlerden sonra, kural olarak, belirli bir limana hizmet veren ve davetsiz misafirin komutlarını yerine getiren hizmetlerden biri şeklinde "arka kapı" adı verilen bir kapı oluşturulur. "Arka kapı", şunları sağlamak amacıyla sistemde bırakılmıştır: yönetici, tehdidi başarılı bir şekilde uygulamak için kullanılan güvenlik açığını ortadan kaldırsa bile, ana makineye erişim sağlama yeteneği; ana bilgisayara mümkün olduğunca gizli bir şekilde erişme yeteneği; ana bilgisayara hızlı bir şekilde erişim sağlama yeteneği (tehdidi uygulama sürecini tekrarlamadan). "Arka kapı", bir saldırganın bir ağa veya belirli bir ana bilgisayara kötü amaçlı bir program, örneğin bir "parola analizörü" (yüksek düzey protokoller çalışırken ağ trafiğinden kullanıcı kimliklerini ve parolalarını çıkaran bir program) yerleştirmesine olanak tanır. Kötü amaçlı yazılım yerleştirme hedefleri, kimlik doğrulama ve tanımlama programları, ağ hizmetleri, işletim sistemi çekirdeği, dosya sistemi, kitaplıklar vb. olabilir.
Son olarak, tehdidin uygulanmasına ilişkin izlerin ortadan kaldırılması aşamasında, davetsiz misafirin eylemlerinin izleri yok edilmeye çalışılır. Bu, bilgilerin toplandığı gerçeğine ilişkin kayıtlar da dahil olmak üzere, ilgili girişleri tüm olası denetim günlüklerinden kaldırır.
1.4 Bankanın Özellikleri ve Faaliyetleri
PJSC Citibank, Rusya Federasyonu Bankacılık Sisteminin para ve menkul kıymetlerle finansal işlemler yürüten bir finans ve kredi kuruluşudur. Banka, bireylere ve tüzel kişilere finansal hizmetler sunmaktadır.
Ana faaliyetler tüzel kişilere ve bireylere borç verme, kurumsal müşterilerin hesaplarına hizmet verme, mevduatlardaki nüfustan fon çekme, döviz ve bankalar arası piyasalardaki işlemler, tahvil ve bono yatırımlarıdır.
Banka, mali faaliyetlerini 1 Ağustos 1990 tarihinden itibaren Rusya Merkez Bankası'nın 356 sayılı bankacılık faaliyetlerine ilişkin Genel Lisansına dayanarak yürütmektedir.
Bankanın üç adet kişisel veri bilgi sistemi bulunmaktadır:
Banka çalışanlarının kişisel verilerine ilişkin bilgi sistemi - 243 kişisel veri konusunun belirlenmesine olanak tanır;
Erişim kontrolü ve yönetim sisteminin kişisel veri bilgi sistemi - 243 kişisel veri konusunu tanımlamanıza olanak tanır;
Otomatik bankacılık sisteminin kişisel verilerinin bilgi sistemi - 9681 kişisel veri konusunu tanımlamanıza olanak tanır.
1.5 Kişisel veritabanları
Bankanın aynı anda birden fazla bilgilendirici kişisel veriyi koruması gerekmektedir:
Banka çalışanlarının kişisel verilerinin bilgi sistemi;
Erişim kontrolü ve yönetim sisteminin kişisel verilerinin bilgi sistemi;
Otomatik bankacılık sisteminin kişisel verilerinin bilgi sistemi.
1.5.1 Kuruluş çalışanlarının kişisel verilerine ilişkin bilgi sistemi
Banka çalışanlarının ISPD'si, Banka çalışanlarına maaş ödemek, personel departmanı çalışanlarının işlerini otomatikleştirmek, Bankanın muhasebe departmanı çalışanlarının işlerini otomatikleştirmek ve diğer personel ve muhasebe sorunlarını çözmek için kullanılır. 1C "Maaş ve personel yönetimi" veritabanından oluşur, işyerine ağ üzerinden bağlanabilme özelliğine sahip ayrı bir iş istasyonunda bulunur. İş istasyonu İK departmanının ofisinde bulunmaktadır. İş istasyonu Microsoft Windows XP işletim sistemini çalıştırıyor. İş istasyonunda İnternet bağlantısı yok.
Ad Soyad;
Doğum tarihi;
Pasaportun serisi ve numarası;
Telefon numarası;
1C "Maaş ve personel yönetimi" yazılımı ve kişisel veri veritabanıyla çalışma hakkı:
Baş Muhasebeci;
Baş muhasebeci yardımcısı;
İnsan Kaynakları Bölüm Başkanı;
Banka çalışanlarının maaş bordrosundan sorumlu çalışan.
Manuel veri değişikliği;
1.5.2 Erişim kontrol ve yönetim sisteminin kişisel veri bilgi sistemi
Erişim kontrol ve yönetim sisteminin kişisel veri bilgi sistemi, Bankanın çeşitli tesislerine erişimi olan Banka çalışanlarının ve ziyaretçilerinin kişisel verilerinin saklanması için kullanılmaktadır. Erişim kontrol ve yönetim sisteminin ISDN'si Banka güvenlik departmanı tarafından kullanılmaktadır. ISPD veritabanı, güvenlik departmanının güvenlik odasında bulunan iş istasyonuna kurulur. ISPD iş istasyonuna Microsoft Windows 7 işletim sistemi kuruludur, veritabanı yönetim sistemi olarak Microsoft SQL Server 2012 DBMS kullanılır.ISPD iş istasyonunun yerel ağa erişimi yoktur ve ayrıca İnternet erişimi yoktur.
ISPD aşağıdaki kişisel verileri saklar:
Ad Soyad;
Bir çalışanın fotoğrafı.
ISPDn erişim kontrol ve yönetim sistemleriyle çalışma hakkı:
Bankanın Güvenlik Dairesi Başkanı;
Bankanın Güvenlik Dairesi Başkan Yardımcısı;
Bankanın güvenlik departmanı çalışanları.
Erişim kontrolü ve yönetim sisteminin otomatik çalışma alanına erişim:
Sistem yöneticileri, iş istasyonunu ve 1C "Maaş ve personel yönetimi" yazılımını ve kişisel veri veritabanını yönetmek için;
AWP bilgi koruma sistemini yönetecek, Bankanın bilgi güvenliğinden sorumlu bölüm çalışanları.
Banka çalışanları için ISPD'de aşağıdaki işlevler gerçekleştirilebilir:
Kişisel verilerin otomatik olarak silinmesi;
Kişisel verilerin manuel olarak silinmesi;
Manuel veri değişikliği;
Kişisel verilerin manuel olarak eklenmesi;
Kişisel veriler için otomatik arama.
Kişisel veri bilgi sistemi, Banka'nın 243 çalışanının kimlik tespitine olanak sağlayan verileri saklamaktadır.
Çalışanın kişisel verilerinin işlenmesi hedeflerine ulaşıldıktan sonra kişisel verileri ISPD'den silinir.
1.5.3 Otomatik bankacılık sisteminin kişisel veri bilgi sistemi
Otomatik bankacılık sisteminin kişisel veri bilgi sistemi, çoğu banka çalışanının işini otomatikleştirmek için tasarlanmıştır. Çalışanların verimliliğini artırır. Otomatik bir bankacılık sistemi olarak, "Finansal Teknolojiler Merkezi" şirketler grubu tarafından üretilen "CFT-Bank" yazılım ürünleri kompleksi kullanılmaktadır. Veritabanı yönetim sistemi olarak Oracle yazılımı kullanılmaktadır. Banka sunucusunda ISPD kurulu olup, sunucuda kurulu işletim sistemi Microsoft Windows Server 2008 R2'dir. Otomatik bankacılık sisteminin ISPD'si bankanın yerel bilgisayar ağına bağlıdır ancak internet erişimi yoktur. Kullanıcılar, özel sanal terminallerden CFT-Bank yazılım ürünlerini kullanarak ISPD veritabanına bağlanır. ISPD'de her kullanıcının kendi kullanıcı adı ve şifresi vardır.
ISPD'de işlenen kişisel veriler:
Ad Soyad;
Doğum tarihi;
Pasaportun serisi ve numarası;
Telefon numarası;
Aşağıdaki kişiler CFT-Bank yazılımı ve kişisel veri veritabanı ile çalışma hakkına sahiptir:
Muhasebe personeli;
Kredi memurları;
Risk yönetimi departmanı çalışanları;
Teminat departmanı çalışanları;
Kişisel yöneticiler;
Müşteri yöneticileri;
Güvenlik personeli.
İş istasyonuna aşağıdaki kişiler erişebilir:
Sunucuyu, kişisel veri veritabanını ve CFT-Bank yazılımını yönetmek için sistem yöneticileri;
Bankanın bilgi güvenliğinden sorumlu bölüm çalışanları, sunucuyu, kişisel veri tabanını ve CFT-Bank yazılımını yönetecek.
Banka çalışanları için ISPD'de aşağıdaki işlevler gerçekleştirilebilir:
Kişisel verilerin otomatik olarak silinmesi;
Kişisel verilerin manuel olarak silinmesi;
Kişisel verilerin manuel olarak eklenmesi;
Manuel veri değişikliği;
Kişisel veriler için otomatik arama.
Kişisel veri bilgi sistemi, Banka'nın 243 çalışanının ve Banka'nın 9.438 müşterisinin kimlik bilgilerinin saklanmasına olanak sağlamaktadır.
Çalışanın kişisel verilerinin işlenmesi hedeflerine ulaşıldıktan sonra kişisel verileri ISPD'den silinir.
1.6 Bankanın yerel alan ağının yapısı ve tehditleri
Bankanın istemci-sunucu ağı bulunmaktadır. Kullanıcıların iş istasyonlarının bulunduğu alan adının adı vitabank.ru'dur. Toplamda bankada 243 otomatik kullanıcı iş istasyonunun yanı sıra 10 sanal sunucu ve 15 sanal iş istasyonu bulunmaktadır. Sistem yönetimi departmanı ağ performansını izler. Ağ esas olarak Cisco ağ ekipmanı üzerine kurulmuştur. Ek ofislerle iletişim, İnternet sağlayıcısının aktif ve yedek kanalları üzerinden interneti kullanan VPN kanalları kullanılarak sürdürülür. Merkez Bankası ile bilgi alışverişi, geleneksel iletişim kanallarının yanı sıra özel bir kanal aracılığıyla da gerçekleşmektedir.
Tüm kullanıcıların yerel iş istasyonlarından İnternet'e erişimi vardır, ancak Bankanın belge ve bilgi sistemleriyle çalışma yalnızca İnternet erişiminin sınırlı olduğu ve yalnızca Bankanın yerel kaynaklarının yüklü olduğu sanal iş istasyonları kullanılarak gerçekleştirilmektedir.
Yerel iş istasyonlarından İnternet'e erişim, erişim grupları tarafından sınırlandırılmıştır:
Minimum erişim - yalnızca federal hizmetlerin kaynaklarına, Rusya Bankası'nın web sitesine erişim;
Normal erişim - eğlence, sosyal ağlar, video izleme ve dosya indirme dışındaki tüm kaynaklara izin verilir.
Tam erişim - tüm kaynaklara ve dosya yüklemelerine izin verilir;
Erişim gruplarına göre kaynak filtreleme, proxy sunucusu tarafından uygulanır.
Aşağıda PJSC Citibank'ın ağının bir diyagramı bulunmaktadır (Şekil 5).
1.7 Bilgi güvenliği araçları
Bilgi güvenliği araçları, bir dizi mühendislik, elektrik, elektronik, optik ve diğer cihaz ve cihazlar, cihazlar ve teknik sistemlerin yanı sıra sızıntının önlenmesi ve korunan bilgilerin güvenliğinin sağlanması da dahil olmak üzere çeşitli bilgi güvenliği sorunlarını çözmek için kullanılan diğer unsurlardır.
Kasıtlı eylemlerin önlenmesi açısından bilgi güvenliği araçları, uygulama yöntemine bağlı olarak gruplara ayrılabilir:
Teknik (donanım) anlamına gelir. Bunlar, donanımla bilgi koruma sorunlarını çözen çeşitli tiplerde (mekanik, elektromekanik, elektronik vb.) Cihazlardır. Bilgiye erişimi maskelemek de dahil olmak üzere engellerler. Donanım şunları içerir: gürültü oluşturucular, ağ filtreleri, tarama radyoları ve potansiyel bilgi sızıntısı kanallarını "engelleyen" veya bunların tespit edilmesine olanak tanıyan diğer birçok cihaz. Teknik araçların avantajları, güvenilirlikleri, öznel faktörlerden bağımsız olmaları ve değişikliğe karşı yüksek dirençleriyle ilgilidir. Zayıf Yönler - esneklik eksikliği, nispeten büyük hacim ve ağırlık, yüksek maliyet.
Şekil 5 PJSC Citibank ağ şeması
Yazılım araçları, kullanıcı tanımlama, erişim kontrolü, bilgi şifreleme, geçici dosyalar gibi artık (çalışan) bilgilerin silinmesi, koruma sisteminin test kontrolü vb. için programlar içerir. Yazılım araçlarının avantajları çok yönlülük, esneklik, güvenilirlik, kurulum kolaylığıdır. , değiştirme ve geliştirme yeteneği. Dezavantajları - ağın sınırlı işlevselliği, dosya sunucusu ve iş istasyonlarının kaynaklarının bir kısmının kullanımı, kazara veya kasıtlı değişikliklere karşı yüksek hassasiyet, bilgisayar türlerine (donanımlarına) olası bağımlılık.
Karma donanım ve yazılım, donanım ve yazılımla aynı işlevleri ayrı ayrı uygular ve ara özelliklere sahiptir.
Bankanın tüm ofis binaları, erişim kontrol ve yönetim sisteminin yanı sıra video gözetim sistemi kullanılarak güvenlik hizmeti tarafından izlenmektedir. Bankanın ofis binalarına girişler, erişim kontrol ve yönetim sisteminde uygun izinler alınarak gerçekleştirilmektedir. Bir çalışana, iş başvurusunda bulunurken veya Banka ziyaretçisine, Banka'nın ofis binasına erişmesi gerekiyorsa, kullanıcı tanımlayıcının kaydedildiği ve ofise erişmeye çalışırken bu tanımlayıcının kaydedildiği temassız Proximity kartları verilir. Erişim kontrol ve yönetim sistemine iletilir. Sistem, kart kullanıcısının girmesine izin verilen oda listesini, girmek istediği odayla karşılaştırarak odaya erişime izin verir veya erişimi kısıtlar.
Bankanın iş istasyonlarında 25 Kasım 2019 tarihine kadar geçerli olan 3025 sayılı Rusya FSTEC uyumluluk sertifikasına sahip Kaspersky Endpoint Security 10 antivirüs yazılımı kurulu olup, virüs imza veritabanları merkezi olarak sunucu kısmı tarafından güncellenmektedir. Bankada bulunan sunucuya antivirüs kuruludur.
Merkez Bankası ile elektronik belge yönetimini organize etmek için Bankadaki yetkililer özel bir iletişim hattı oluşturdu.
Elektronik imza, federal hizmetlerle (Federal Vergi Hizmeti, Rusya Emeklilik Fonu, Finansal İzleme Hizmeti vb.) Elektronik belge yönetimini düzenlemek için kullanılır. Federal hizmetlerle belge yönetiminden sorumlu sanatçıların yerel iş istasyonlarında elektronik imzayla çalışmak için özel yazılım kurulur:
Kripto-Pro CSP;
Kripto-ARM;
CIPF Verba-OW;
CIPF Doğrulaması;
Sinyal-COM CSP.
Yüklenici tarafından belirli yazılımların kullanılması, belirli bir Federal kurumun gereksinimlerine bağlıdır.
Bankanın yerel ağının ucunda Cisco Corporation tarafından üretilen Cisco ASA 5512 güvenlik duvarı kuruludur. Ayrıca kritik bankacılık sistemleri (Bank of Russia Müşterisinin İş İstasyonu, SWIFT, Bankanın ISPD'si) ayrıca Cisco güvenlik duvarları ile Bankanın yerel ağından ayrılmıştır. Ek bir ofisle iletişim için VPN tünelleri Cisco güvenlik duvarları kullanılarak düzenlenir.
1.8 Organizasyonel önlemler
İngiliz denetim ve danışmanlık şirketi Ernst & Yong'un 2014 yılında yaptığı araştırmaya göre araştırmaya katılan şirketlerin yüzde 69'u, şirket çalışanlarını bilgi güvenliği tehditlerinin ana kaynağı olarak görüyor.
Şirket çalışanları bilgisizlikten veya bilgi güvenliği alanındaki yetersizliklerinden dolayı, kuruluşa yönelik hedefli saldırıların gerçekleştirilmesi için gerekli olan kritik bilgileri ifşa edebilir. Saldırganlar ayrıca çalışanın iş yerinin kontrolünü ele geçirmesine ve bu iş yerinden Bankanın bilgi sistemlerine saldırmasına olanak tanıyan gömülü kötü amaçlı yazılım içeren phishing mesajları da göndermektedir.
Bu nedenle Banka'da bilgi güvenliği departmanı, Banka çalışanlarına bilgi güvenliğinin temel ilkeleri konusunda eğitim vermek, işyerinde çalışırken güvenlik gerekliliklerine uyumu izlemek ve Banka çalışanlarını karşılaşabilecekleri yeni bilgi güvenliği tehditleri konusunda bilgilendirmekle yükümlüdür. .
PJSC Citibank'ta tüm çalışanlar işe alımla ilgili bir tanıtım brifinginden geçmektedir. Ayrıca yeni çalışanlar, diğer yapısal bölümlerden transfer edilen çalışanlar, bilgi güvenliği departmanında bir ön brifingden geçirilir ve bu brifingde çalışanlara Bankanın bilgi sistemleriyle çalışırken temel bilgi güvenliği kuralları, internette çalışırken güvenlik kuralları, güvenlik kuralları anlatılır. E-posta Bankası ile çalışırken Bankanın şifre politikası.
Bankanın bilgi güvenliği departmanı çalışanları, Bankanın yeni bilgi sistemlerinin geliştirilmesi ve uygulanmasında sistem geliştirmenin her aşamasında yer almaktadır.
Bir bilgi sisteminin geliştirilmesi için sistem tasarımı ve görev tanımının hazırlanması aşamasında, bilgi güvenliği departmanı sistem üzerinde güvenlik gereklilikleri belirler.
Bir bilgi sistemi geliştirme aşamasında, bilgi güvenliği departmanı çalışanları mevcut belgeleri inceler, yazılımı program kodundaki olası güvenlik açıkları açısından test eder.
Bilgi güvenliği departmanı, bilgi sisteminin test edilmesi ve devreye alınması aşamasında, bilgi sisteminin test edilmesine aktif olarak katılmakta, bilgi sistemine sızma testleri ve hizmet reddi testlerini yürütmekte, ayrıca bilgi sistemine erişim haklarını dağıtmaktadır.
Halihazırda işletmeye alınmış olan bilgi sisteminin işleyişi aşamasında bilgi güvenliği departmanı şüpheli faaliyetleri izler ve tespit eder.
Bilgi sisteminin sonuçlandırılması aşamasında bilgi güvenliği departmanı, bilgi sisteminin çalışması sırasında elde edilen verilere dayanarak bilgi sistemi için yeni gereksinimler oluşturur.
PJSC Citibank Bilgi Güvenliği Departmanı, Banka'nın iç kaynaklarının yanı sıra internetteki kaynaklara erişimle ilgili tüm talepleri onaylamaktadır.
1.9 Kişisel veri işleme döngüsü
Banka'da saklanan kişisel veriler yalnızca hukuka uygun olarak elde edilmiştir.
Banka çalışanının kendisine ulaşan kişisel verileri, yalnızca Bankanın çalışanla akdetmiş olduğu sözleşme kapsamındaki yükümlülüklerini yerine getirebilmesi amacıyla işlenmektedir. Banka çalışanının kişisel verileri çalışanın kendisinden elde edilmektedir. Bankanın tüm çalışanları, Banka çalışanlarının kişisel verilerinin işlenmesi prosedürünü belirleyen Banka belgelerinin yanı sıra bu alandaki hak ve yükümlülükleri hakkında imza karşılığında bilgilendirilir.
Erişim kontrol ve yönetim sisteminin ISPD'sinde saklanan banka çalışanlarının kişisel verileri, çalışanın işyerine girmesine olanak sağlamayı amaçlamaktadır.
Banka müşterilerinin otomatik bankacılık sisteminin ISPD'sinde saklanan kişisel verileri, burada yalnızca Banka'nın müşteri ile yaptığı sözleşme kapsamındaki yükümlülüklerini yerine getirebilmesi amacıyla işlenmektedir. Ayrıca, otomatik bankacılık sisteminin ISPD'sinde, Banka ile bir sözleşme yapmayan ancak yasal olarak elde edilen kişilerin kişisel verileri işlenir; örneğin, alınan 6 sayılı Federal Kanunun talebi üzerine alınan ve işlenen kişisel veriler. suç yoluyla ve terörizmin finansmanı yoluyla”.
Kişisel veriler işleme amaçlarına ulaşıldıktan sonra yok edilir veya kişiliksizleştirilir.
2. BANKADA KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK TEDBİRLERİN GELİŞTİRİLMESİ
PJSC Citibank'ta, kişisel veri koruma sistemi hem eyalet düzeyindeki yasalar hem de yerel düzenlemeler (örneğin, Ek 1'deki PJSC CITIBANK'taki Tüzel Kişiler ve Bireysel Girişimciler için Uzaktan Bankacılık Hizmetlerine İlişkin Kurallar) tarafından düzenlenmektedir.
PJSC Citibank'ın kişisel veri koruma sistemi, kimlik avı ve iş istasyonlarına fidye yazılımı virüsleri bulaşması gibi basit saldırıları önleyecek şekilde yapılandırılmıştır, ancak kişisel verileri çalmayı amaçlayan hedefli saldırılara karşı koyabilecek kapasitede değildir.
Kişisel verilerin korunması sisteminin yeniden yapılandırılması ve modernizasyonu konusunda çalışmalar yürüttüm.
2.1 Bankanın yerel bilgisayar ağının ve kişisel veri bilgi sisteminin korunmasına yönelik tedbirler
Citibank ağında, saldırganların banka ağına tam erişim sağlayabildiği ve kontrolünü ele geçirebildiği, ardından müşterilerin veya Banka çalışanlarının kişisel verilerini serbestçe çalabildiği, değiştirebildiği veya silebildiği belirgin zayıflıklar var.
Banka ağı tek bir segment olduğundan, davetsiz misafirlerin Banka ağına girme riskini en aza indirmek için sanal ağ teknolojisi kullanılarak birkaç segmente ayrılması gerekmektedir.
Sanal ağ teknolojisi (VLAN) kavramı, ağ yöneticisinin, ağın hangi bölümüne bağlı olduklarına bakılmaksızın, içinde mantıksal kullanıcı grupları oluşturabilmesidir. Kullanıcıları, örneğin gerçekleştirilen işin ortaklığına veya ortaklaşa çözülen göreve dayalı olarak mantıksal çalışma gruplarında birleştirebilirsiniz. Aynı zamanda kullanıcı grupları birbirleriyle etkileşime girebilir veya birbirlerine tamamen görünmez olabilirler. Grup üyeliği değiştirilebilir ve bir kullanıcı birden fazla mantıksal grubun üyesi olabilir. Sanal ağlar, tıpkı ağ bölümleri arasındaki yayın trafiğini izole eden yönlendiriciler gibi, yayın paketlerinin ağ üzerinden geçişini sınırlayan mantıksal yayın alanları oluşturur. Bu şekilde sanal ağ, yayın mesajlarının sanal ağın üyeleriyle sınırlı olması ve diğer sanal ağların üyeleri tarafından alınamaması nedeniyle yayın fırtınalarının oluşmasını engeller. Sanal ağlar, dosya sunucuları veya uygulama sunucuları gibi paylaşılan kaynaklara erişmenin gerekli olduğu veya ortak bir görevin, kredi ve ödeme departmanları gibi çeşitli hizmetlerin etkileşimini gerektirdiği durumlarda, başka bir sanal ağın üyelerine erişime izin verebilir. Sanal ağlar, anahtar bağlantı noktaları, ağa dahil olan cihazların fiziksel adresleri ve OSI modelinin üçüncü seviyesindeki protokollerin mantıksal adresleri temelinde oluşturulabilir. Sanal ağların avantajı, anahtarların yüksek hızında yatmaktadır; çünkü modern anahtarlar, OSI modelinin ikinci düzeyindeki anahtarlama sorunlarını çözmek için özel olarak tasarlanmış özel bir entegre devre seti içerir. Üçüncü düzeydeki sanal ağlar, ağ istemcilerinin yeniden yapılandırılması gerekmiyorsa kurulumu en kolay olanıdır, yönetimi en zor olanıdır çünkü bir ağ istemcisiyle yapılan herhangi bir eylem, istemcinin kendisinin veya yönlendiricinin yeniden yapılandırılmasını gerektirir ve sanal ağlarla iletişim kurmak için yönlendirme gerektiğinden en az esnek olanıdır, bu da sistemin maliyetini artırır ve performansını azaltır.
Böylece Banka içerisinde sanal ağların oluşturulması ARP-spoofing saldırılarının önüne geçecektir. Kötü niyetli kişiler, sunucu ile istemci arasında geçen bilgilere müdahale edemeyeceklerdir. Saldırganlar ağa girerken Bankanın tüm ağını tarayamayacak, yalnızca erişim elde ettikleri ağ segmentini tarayabilecek.
Saldırganlar, Banka ağına sızarken öncelikle kritik ağ düğümlerini bulmak için ağı tarayacak. Bu düğümler şunlardır:
etki alanı denetleyicisi;
Proxy sunucu;
Posta sunucusu;
Dosya sunucusu;
Uygulama sunucusu.
Bankadaki yerel ağ, sanal ağ teknolojisi kullanılarak düzenlenecek olduğundan saldırganların ek adımlar atılmadan bu düğümleri tespit etmesi mümkün olmayacaktır. Saldırganların yerel ağdaki kritik düğümleri bulmasını ve karıştırmasını zorlaştırmak ve gelecekte saldırganların ağa saldırı gerçekleştirirken stratejilerinin incelenmesi için saldırganları çekecek sahte nesnelerin kullanılması gerekmektedir. . Bu nesnelere Honeypot adı veriliyor.
Honeypot'un görevi, saldırıya uğramak veya izinsiz araştırma yapmaktır; bu, daha sonra saldırganların stratejisini incelemenize ve gerçek hayattaki güvenlik nesnelerine saldırılabilecek yolların listesini belirlemenize olanak tanır. Bir bal küpü uygulaması, özel olarak ayrılmış bir sunucu veya görevi bilgisayar korsanlarının dikkatini çekmek olan tek bir ağ hizmeti olabilir.
Honeypot, üzerinde hiçbir etkisi olmayan hiçbir şey yapmayan bir kaynaktır. Honeypot, korsanların kullandığı yöntemlere göre hangi istatistiklerin oluşturulduğunu ve daha sonra onlara karşı mücadelede kullanılacak yeni çözümlerin varlığını analiz ettikten sonra az miktarda bilgi toplar.
Örneğin, adı olmayan ve neredeyse hiç kimse tarafından bilinmeyen bir web sunucusuna bu nedenle konukların erişmesine izin verilmemelidir; bu nedenle, bu sunucuya sızmaya çalışan herkes potansiyel bir saldırgandır. Honeypot, bu korsanların davranışları ve sunucuyu nasıl etkiledikleri hakkında bilgi toplar. Bundan sonra bilgi güvenliği departmanının uzmanları, davetsiz misafirlerin kaynağa saldırısı hakkında bilgi toplar ve gelecekte saldırıları engellemek için stratejiler geliştirir.
İnternetten gelen bilgileri kontrol etmek ve bilgi güvenliğine yönelik tehditleri ağ üzerinden iletilme aşamasında tespit etmek ve ayrıca Bankanın yerel ağına sızan davetsiz misafirlerin faaliyetlerini tespit etmek için, bir saldırı önleme sisteminin kurulması gerekmektedir. ağın kenarı.
İzinsiz giriş önleme sistemi, izinsiz girişleri veya güvenlik ihlallerini tespit eden ve bunlara karşı otomatik olarak koruma sağlayan bir yazılım veya donanım ağı ve bilgisayar güvenlik sistemidir.
Saldırı Önleme Sistemleri, saldırıları izleme görevi aynı kaldığı için Saldırı Tespit Sistemlerinin bir uzantısı olarak görülebilir. Ancak, izinsiz giriş önleme sisteminin etkinliği gerçek zamanlı olarak izlemesi ve saldırı önleme eylemlerini hızlı bir şekilde uygulaması bakımından farklılık gösterirler.
Saldırı tespit ve önleme sistemleri ikiye ayrılır:
Ağa izinsiz giriş önleme sistemleri - kuruluşun ağına yönlendirilen, ağın kendisinden geçen veya belirli bir bilgisayara yönlendirilen trafiği analiz eder. Saldırı tespit ve önleme sistemleri, kurumsal ağın çevresine ve bazen de içine kurulabilen yazılım veya donanım-yazılım yöntemleriyle uygulanabilmektedir.
Kişisel izinsiz giriş önleme sistemleri, iş istasyonlarına veya sunuculara yüklenen ve uygulamaların etkinliğini kontrol etmenize ve olası saldırılara karşı ağ etkinliğini izlemenize olanak tanıyan yazılımlardır.
Banka ağında kullanılmak üzere bir ağ saldırı önleme sistemi seçilmiştir.
IBM, Check Point, Fortinet, Palo Alto'nun ağa izinsiz giriş sistemleri, bu sistemlerin üreticilerinin beyan ettiği işlevlerin Banka'nın bilgi güvenliği departmanının gereksinimlerini karşılaması nedeniyle dikkate alındı.
Test tezgahları dağıtıldıktan ve izinsiz giriş önleme sistemlerini test ettikten sonra Check Point sistemi, en iyi performansı, yerel ağ üzerinden aktarılan en iyi virüs tespit alt sistemini, önemli olayların günlüğe kaydedilmesi ve günlüğe kaydedilmesi için en iyi araçları ve satın alma fiyatını gösterdiği için seçildi.
IBM'in izinsiz giriş önleme sistemi, cihazların maliyetinin bilgi güvenliği departmanının izinsiz giriş önleme sistemi satın alma bütçesini aşması nedeniyle reddedildi.
Fortinet'in izinsiz giriş önleme sistemi, bilgi güvenliği departmanının virüslü dosyaların aktarımı için testler yapması ve önemli olayların günlüğe kaydedilmesi için yetersiz bilgilendirici araçlar nedeniyle yetersiz yanıt nedeniyle reddedildi.
Palo Alto'nun izinsiz giriş önleme sistemi, önemli olayların günlüğe kaydedilmesine yönelik yetersiz bilgilendirici araçlar, sistemle çalışmanın aşırı karmaşıklığı ve daha çok bir yönlendirici gibi davranması nedeniyle reddedildi.
Yerel ağda uygulanmak üzere Check Point saldırı önleme sistemi seçildi. Bu sistem, bilgi güvenliği tehditlerini yüksek düzeyde tespit etme, esnek ayarlar, ek yazılım modülleri satın alarak işlevselliği genişletme yeteneği, önemli olayların günlüğe kaydedilmesi için güçlü bir sisteme ve kullanılabilecek olay raporları sağlamak için güçlü bir araç setine sahiptir. bilgi güvenliği olaylarını araştırmak çok daha kolay.
PJSC Citibank'ın değişen mimariye sahip ağ şeması Şekil 6'da gösterilmektedir.
2.2 Yazılım ve donanım korumaları
Kişisel verilerin güvenliği yalnızca ağ koruması ile sağlanamayacağından, davetsiz misafirler, ağı korumak için alınan tüm önlemlere rağmen Banka ağına erişim sağlayabilmektedir.
Şekil 6 Ek güvenlik sistemleriyle birlikte PJSC Citibank ağ şeması
Saldırılara karşı daha dayanıklı koruma sağlamak için ağı korumak üzere tasarlanmış cihazlara yerel iş istasyonları, sanal iş istasyonları, sanal ve normal sunucular için yazılım ve donanım koruma cihazlarının eklenmesi gerekmektedir.
Bildiğiniz gibi antivirüs programları, imza analizi prensibiyle çalıştıkları için kötü amaçlı yazılımlara karşı tam koruma sağlamazlar. Bir anti-virüs yazılım şirketinin personelinde, İnternet'teki virüs etkinliğini izleyen, test istasyonlarındaki virüs yazılımının davranışını inceleyen ve daha sonra anti-virüs yazılımı imza veritabanlarını güncelleyerek kullanıcıların bilgisayarlarına gönderilen imzaları oluşturan uzmanlar bulunur. Güncellenmiş bir antivirüs yazılımı imza veritabanını alan antivirüs, kullanıcının iş istasyonundaki dosyaları tarar ve kötü amaçlı yazılım belirtileri arar; tarama sırasında bu tür işaretler bulunursa, antivirüs bunu bildirir ve uygun şekilde hareket eder. kullanıcı veya anti-virüs yöneticisi tarafından belirlenen ayarlar. Bu nedenle, eğer kötü amaçlı yazılım, antivirüs yazılım şirketinin uzmanları tarafından tespit edilip analiz edilmezse, bu durumda antivirüs, taranan dosyayı güvenli sayarak kötü amaçlı yazılımı tespit edemeyecek ve herhangi bir işlem yapmayacaktır. Bu nedenle, ağa erişim ve kötü amaçlı yazılımların başlatılması olasılığını azaltmak için Banka, ikinci bir anti-virüs koruma döngüsü kurdu. Çoğu antivirüs yazılımı şirketi birbirinden ayrı çalıştığından, henüz bir antivirüs yazılımı şirketi tarafından tespit edilmemiş kötü amaçlı yazılımlar, başka bir geliştirici tarafından tespit edilebilir ve tespit edilen tehdit için imzalar zaten oluşturulabilir.
Böyle bir planı uygulamak için, 20 Eylül 2017 tarihine kadar geçerli olan 2446 sayılı Rusya FSTEC uyumluluk sertifikasına sahip Doctor WEB Enterprise güvenlik paketi antivirüsünün kurulu olduğu sanal bir iş istasyonu oluşturuldu. Banka çalışanlarının çalışmaları sırasında indirdikleri tüm dosyalar bu istasyona gönderilmekte ve antivirüs tarafından taranmaktadır. Kötü amaçlı yazılım tespit edilirse antivirüs, bilgi güvenliği departmanına tehdidin adını ve virüslü dosyanın depolandığı yolu içeren bir e-posta gönderir. Bilgi güvenliği departmanı, kötü amaçlı yazılımları kaldırmak için gerekli adımları atar. Kullanıcıların yüklediği dosyalar antivirüs yazılımı kontrolünden geçtiği takdirde dosyayı yükleyen kullanıcı bilgi güvenliği departmanına talepte bulunur ve departman çalışanları indirilen dosyayı kullanıcıya aktarır.
Ayrıca Banka çalışanlarına e-posta yoluyla da büyük miktarda zararlı yazılım gelmektedir. Bunlar hem sıradan şifreleme virüsleri hem de saldırganların uzak bağlantı kullanarak bir Banka çalışanının virüslü bilgisayarına sızmasına olanak tanıyan kötü amaçlı yazılımlar olabilir.
Bu tür tehditlerden kaynaklanan risklerin en aza indirilmesi amacıyla Banka'nın mail sunucusuna, mail sunucularını korumaya yönelik ClamAW anti-virüs yazılımı kurulumu yapılmıştır.
Kişisel veri bilgi sistemlerine erişimi olan yerel bir istasyonun kullanıcısının şifresini bir şekilde öğrenen dahili davetsiz misafirlerin yetkisiz erişimine karşı koruma sağlamak için, kişisel verilerle çalışan kullanıcıların yerel iş istasyonlarına yetkisiz erişime karşı bir bilgi koruma sistemi kurmak gerekir. veri bilgi sistemleri.
.Banka çalışanlarının eğitimleri bilgi güvenliği departmanı uzmanı tarafından gerçekleştirilmektedir.
Bilgi güvenliği departmanının bir çalışanı, Bankanın planla belirlenen bölümünde eğitim vermektedir. Eğitimin ardından birim çalışanları, eğitim sırasında edindikleri bilgileri teyit ettikleri testlere tabi tutulur.
Temel güvenlik politikası, her birimde yılda en az dört kez eğitim verilmesini düzenlemektedir.
Ayrıca çalışanların eğitimine paralel olarak, bilgi güvenliği departmanı çalışanlarının ayda en az bir kez tüm Banka çalışanlarına temel güvenlik kurallarını, Bankanın bilgi güvenliğine yönelik yeni tehditleri açıklayan bilgi mektupları göndermeleri gerekmektedir. herhangi biri tespit edilirse.
2.3.2 Çalışanların İnternet kaynaklarına erişim sırası
Bankanın internete 3 erişim grubu vardır, ancak bir çalışanın görevlerini yerine getirmek için tam erişim grubuna dahil bir ağ kaynağından bilgi alması gerekebileceğinden, bu tür bir erişim bölümü verimsizdir. güvensiz olan internete tam erişim sağlamak.
Grup 6: arşivlerin indirilmesi - grup İnternet kaynaklarına herhangi bir erişim sağlamaz;Grup 7: yürütülebilir dosyaların indirilmesi - grup İnternet kaynaklarına herhangi bir erişim sağlamaz;
Grup 8: İnternete tam erişim - İnternet kaynaklarına tam erişim, herhangi bir dosyayı indirme.
İnternet kaynaklarına erişim sağlamak için çalışan, ServiceDesk sistemi üzerinden bir uygulama oluşturur ve departman veya yönetim başkanı ile bilgi güvenliği departmanı çalışanının onayından sonra çalışana talep edilen gruba göre İnternet kaynaklarına erişim hakkı verilir. .
2.3.3 Çalışanların banka içi kaynaklara erişimine ilişkin prosedür
Bir çalışanın çalışmasına ilişkin ana belgeler yerel işyerinde veya çalıştığı otomatik sistemde bulunur. Ayrıca, Bankanın her bölümünün, Bankanın dosya sunucusunda, bölümün çeşitli çalışanları için gerekli bilgileri saklayan ve Bankanın e-postası ile iletilmek üzere büyük boyutta olan bir bölümü vardır.
Bankada yeni bir çalışan işe girdiğinde doğrudan yöneticisi, banka içi kaynağa erişim için ServiceDesk sistemi üzerinden sistem yönetim departmanına başvuruda bulunur ve başvuru bilgi güvenliği departmanı çalışanı tarafından onaylandıktan sonra, sistem yönetimi departmanının çalışanı, yeni çalışanın istenen kaynağa erişimini sağlar.
Çoğu zaman Bankanın çeşitli bölümlerinin çalışmalarının kesiştiği durumlar vardır ve bilgi alışverişi için bu bölümlerin Bankanın dosya sunucusunda ayrı bir bölüme ihtiyacı vardır.
Bu bölümü oluşturmak için, proje üzerinde çalışma sürecine dahil olan departmanlardan birinin başkanı olan proje yöneticisi, ServiceDesk sistemi aracılığıyla ortak bir kaynak oluşturmak ve belirli çalışanları için bu kaynağa erişim için bir uygulama oluşturur. ortak proje üzerinde çalışan bölüm ve proje kapsamında işbirliği yaptığı bölüm başkanı. Bilgi sorumlusu tarafından onaylandıktan sonra, sistem yönetimi yetkilisi talep edilen kaynağı oluşturur ve talep edilen çalışanların bu kaynağa erişmesine izin verir. Projeye katılan her bölüm başkanı, yalnızca kendisine bağlı çalışanlar için erişim talep ediyor.
2.3.4 Çalışanlar e-postayla nasıl çalışır?
Daha önce, temel bir güvenlik politikası oluşturmadan önce, her çalışan, harici posta sunucularından e-posta yoluyla alınan mektupların ve dosyaların tehlike derecesini kendisi belirliyordu.
Temel bir güvenlik politikası oluşturulduktan sonra, her kullanıcının harici posta sunucularından e-posta ile aldığı her dosyayı, kötü amaçlı yazılımlara karşı kontrol edilmesi için bilgi güvenliği departmanına göndermesi gerekir, çalışan, mektupların tehlike derecesini kendisi belirler. Bankanın bir çalışanı, gelen bir mesajın spam veya phishing içerdiğinden şüpheleniyorsa, mektubu eksiksiz, yani gönderene, posta kutusuna ve IP adresine ilişkin tüm resmi bilgileri içeren mektubu bilgi güvenliği departmanına göndermekle yükümlüdür. Şüpheli bir mektubu analiz ettikten ve bu mektubun tehdidini onayladıktan sonra bilgi güvenliği departmanı, mektubu gönderenin adresini sistem yönetimi departmanına gönderir ve sistem yönetimi departmanının bir çalışanı, mektubu gönderenin adresini kara listeye alır.
İşyerinden ayrılırken daima iş yerini engelleyin.
2.3.6 Çalışanların kişisel verilere erişimine ilişkin kurallar
Rusya Federasyonu İş Kanunu'nun 14. Bölümünün 89. Maddesine göre, Bankanın bir çalışanı kişisel verilerine erişme hakkına sahiptir, ancak Bankanın diğer çalışanlarının veya Bankanın müşterilerinin kişisel verilerini yalnızca aşağıdaki amaçlarla işlemesine izin verilmektedir: resmi görevlerinin yerine getirilmesi.
Banka, kişisel veri bilgi sistemlerine erişim üzerindeki kontrolü sağlamak amacıyla, kişisel veri bilgi sistemlerine erişime ilişkin aşağıdaki kuralları oluşturmuştur:
ISPD'ye yalnızca iş sorumlulukları arasında kişisel verilerin işlenmesini de içeren çalışanlar erişebilir;
ISPD'ye erişime yalnızca kişisel verilerle çalışan bir çalışanın yerel işyerinden izin verilir;
Banka, Banka çalışanlarının ve müşterilerinin kişisel verilerine erişmesine izin verilen çalışanları soyadına göre tanımlayan, Kişisel Veri Bilgi Sistemini ve bir çalışan tarafından işlenmesine izin verilen kişisel verilerin listesini gösteren bir belge oluşturmuştur.
3. PROJENİN EKONOMİK GEREKÇESİ
Kişisel veri koruma sistemini uygulamak için aşağıdakileri satın almak gerekir:
Banka ağını korumaya yönelik ekipmanlar;
Bilgi güvenliği donanımı;
Bilgi güvenliği yazılımı.
Kuruluşun ağını yeniden inşa etmek için Cisco Catalyst 2960 anahtarlarının 3 kopya tutarında satın alınması gerekmektedir. Banka ağının çekirdek seviyesinde çalışması için bir anahtar, dağıtım düzeyinde çalışması için ise diğer 2 anahtar gereklidir. Ağ yeniden yapılanması öncesinde bankada çalışan ağ ekipmanları da kullanılacak.
Toplam maliyet (RUB) 9389159 613
Doktor WEB Kurumsal güvenlik kıyafeti155005500
Toplam maliyet1 371 615
ÇÖZÜM
Bitirme projemde kişisel verilerin korunmasına ilişkin yasal çerçeveyi inceledim. Kişisel verilerin güvenliğine yönelik tehditlerin ana kaynaklarını göz önünde bulundurdum.
Değerlendirilen kişisel tehditlere dayanarak PJSC Citibank'ın mevcut kişisel veri koruma sistemini analiz ettim ve ciddi şekilde iyileştirilmesi gerektiği sonucuna vardım.
Mezuniyet projesi sırasında Banka'nın yerel ağında zayıf noktalar tespit edildi. Banka yerel ağında tespit edilen zayıflıklar dikkate alınarak Banka ağının bilgi güvenliği risklerini en aza indirecek önlemler belirlendi.
Banka çalışanlarının ve müşterilerinin kişisel verilerini işleyen çalışanların yerel işyerlerinin korunmasına yönelik cihaz ve yazılımlar da değerlendirilerek seçildi.
Katılımımla çalışanların bilgi güvenliği konularında bilinçlendirilmesine yönelik bir sistem oluşturuldu.
Banka çalışanlarının internete erişim prosedürü kapsamlı bir şekilde yeniden tasarlandı ve internete erişim grupları yeniden tasarlandı. Yeni İnternet erişim grupları, kullanıcıların dosya indirme ve güvenilmeyen kaynaklara erişme konusundaki sınırlı yeteneklerinden dolayı bilgi güvenliği risklerini önemli ölçüde en aza indirmeyi mümkün kılmaktadır.
Ağı yeniden inşa etmenin ve bilgi güvenliği tehditlerinin çoğunu yansıtabilecek geçerli bir kişisel veri koruma sistemi oluşturmanın maliyetine ilişkin hesaplamalar verilmektedir.
KULLANILAN LİTERATÜR LİSTESİ
1. "Rusya Federasyonu Anayasası" (12 Aralık 1993 tarihinde halk oylamasıyla kabul edilmiştir) (30 Aralık 2008 tarihli Rusya Federasyonu Anayasasında değişiklik yapılmasına ilişkin Rusya Federasyonu Kanunları ile yapılan değişikliklere tabidir. N 6- FKZ, 30 Aralık 2008 N 7-FKZ, 5 Şubat 2014 N 2-FKZ, 21 Temmuz 2014 N 11-FKZ) // Rusya Federasyonu Anayasası'nın 21 Temmuz'da değiştirilen resmi metni , 2014, Resmi İnternet Yasal Bilgi Portalı'nda yayınlandı http://www.pravo.gov.ru, 08/01/2014
2. "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel veri güvenliği tehditlerinin temel modeli" (Alıntı) (15 Şubat 2008 tarihinde Rusya Federasyonu FSTEC tarafından onaylanmıştır)
3. 27 Temmuz 2006 tarihli Federal Kanun N 149-FZ (6 Temmuz 2016'da değiştirildiği şekliyle) “Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında” // Belge bu formda yayınlanmadı. Belgenin orijinal metni Rossiyskaya Gazeta, No: 165, 29.07.2006'da yayımlandı.
4. 30 Aralık 2001 tarihli "Rusya Federasyonu İş Kanunu" N 197-FZ (3 Temmuz 2016'da değiştirildiği şekliyle) (değiştirilip eklendiği şekliyle, 3 Ekim 2016'da yürürlüğe girmiştir) // Belge yayınlanmadı bu formda belgenin orijinal metni Rossiyskaya Gazeta, N 256, 31.12.2001'de yayınlandı.
5. Rusya Federasyonu Hükümeti'nin 01.11.2012 N 1119 sayılı Kararı "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması hakkında" // "Rossiyskaya Gazeta", N 256, 07.11.2012
6. Rusya FSTEC'in 18 Şubat 2013 tarihli Emri N 21 “Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğini sağlamaya yönelik organizasyonel ve teknik önlemlerin bileşiminin ve içeriğinin onaylanması hakkında” (Rusya Federasyonu Bakanlığı'nda kayıtlı) Rusya Adaleti, 14 Mayıs 2013 N 28375) // “Rus gazetesi”, N 107, 22.05.2013
7. “Rusya Bankası Standardı” Rusya Federasyonu bankacılık sistemi kuruluşlarının bilgi güvenliğinin sağlanması. Genel hükümler "STO BR IBBS-1.0-2014" (Rusya Merkez Bankası'nın 17 Mayıs 2014 N R-399 tarihli Kararı ile kabul edilmiş ve yürürlüğe girmiştir) // Rusya Merkez Bankası Bülteni, No. 48-49, 30 Mayıs 2014
8. “Para transferleri yaparken bilgilerin korunmasını sağlama gereklilikleri ve Rusya Merkez Bankası'nın para transferleri yaparken bilgilerin korunmasını sağlama gerekliliklerine uyum üzerinde kontrol uygulama prosedürüne ilişkin Yönetmelik” (Banka tarafından onaylanmıştır) Rusya'nın 09.06.2012 N 382-P) (14 Ağustos 2014 tarihli tadil şekliyle) (14 Haziran 2012 N 24575 Rusya Adalet Bakanlığı'na kayıtlı) // Belge bu formda yayınlanmadı, orijinali belgenin metni Rusya Merkez Bankası Bülteni'nde yayınlandı, N 32, 22.06.2012
9. “Kredi kuruluşlarının, “Suçtan elde edilen gelirlerin yasallaştırılmasının (aklanmasının) ve terörizmin finansmanının önlenmesine ilişkin” Federal Kanun tarafından sağlanan bilgilerin yetkili organa sunulması prosedürüne ilişkin Yönetmelik (Rusya Merkez Bankası tarafından onaylanmıştır) 29 Ağustos 2008 N 321-P) (10/15/2015 tarihli tadil şekliyle) (“ECO'nun iletilmesi ve alınması sırasında bilgi güvenliğinin sağlanması prosedürü”, “ECO'nun oluşumuna ilişkin kurallar ve ECO kayıtlarının ayrı ayrı alanlarının doldurulması") (16.09.2008 N 12296 tarihinde Rusya Adalet Bakanlığı'na kayıtlı) // Bu formda belge yayınlanmadı, Belgenin orijinal metni Bültende yayınlandı Rusya Bankası'nın N 54, 26.09.2008
10. Rusya FSTEC'in 18 Şubat 2013 tarihli Emri N 21 “Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğini sağlamaya yönelik organizasyonel ve teknik önlemlerin bileşiminin ve içeriğinin onaylanması hakkında” (Rusya Federasyonu Bakanlığı'nda kayıtlı) Rusya Adaleti, 14 Mayıs 2013 N 28375) // “Rus gazetesi”, N 107, 22.05.2013
11. Averchenkov V.I., Rytov M.Yu., Gainulin T.R. Kuruluşlarda kişisel verilerin korunması. M.: Flinta, 2018
12. Agapov A. B. Rusya Federasyonu'nda bilişim alanında kamu yönetiminin temelleri. M.: Hukukçu, 2012
13. Kostin A.A., Kostina A.A., Latyshev D.M., Moldovyan A.A. Kişisel veri bilgi sistemlerinin korunmasına yönelik AURA serisinin program kompleksleri.Izv. üniversiteler. enstrümantasyon. 2012. V. 55, Sayı 11
14. Moldovyan A. A. Bilgisayar bilgilerinin korunması için kriptografi (bölüm 1) // İntegral. 2014. Sayı 4 (18)
15. Romanov O.A., Babin S.A., Zhdanov S.G. Bilgi güvenliğinin organizasyonel desteği. - M.: Akademi, 2016
16. Shults V.L., Rudchenko A.D., Yurchenko A.V. İş güvenliği. M.: Yurayt Yayınevi, 2017
Başvurular (eserle birlikte arşivde mevcuttur).
152-FZ “Kişisel Verilere İlişkin” 18. Maddenin 5. Bölümünün eklenmesiyle bağlantılı olarak özellikle yabancı şirketlerin Rusya'daki bölümleri için talep haline gelmiştir: “... operatör kayıt, sistemleştirme, birikim, depolama sağlamakla yükümlüdür , açıklama (güncelleme, değiştirme), kişisel veri Rusya Federasyonu topraklarında bulunan veritabanlarını kullanan Rusya Federasyonu vatandaşları" . Kanunda bir takım istisnalar var, ancak düzenleyici tarafından kontrol edilmesi durumunda "ama bu bizi ilgilendirmiyor" yerine daha güvenilir kozlara sahip olmak istediğinizi kabul etmelisiniz.
İhlal edenlere verilecek cezalar çok ağırdır. Çevrimiçi mağazalar, sosyal ağlar, bilgi siteleri, bunlarla ilgili diğer işletmeler internet denetleyici makamlardan gelen talepler durumunda aslında kapatılabilirler. Belki ilk kontrolde regülatör eksikliklerin giderilmesi için süre verecektir ancak bu süre genellikle sınırlıdır. Sorun çok çabuk çözülmezse (ön hazırlık yapılmadan bunu yapmak zordur), kayıplar artık telafi edilemez. Web sitesinin engellenmesi yalnızca satışların duraklamasına yol açmakla kalmaz, aynı zamanda pazar payı kaybı anlamına da gelir.
Çevrimdışı şirketler için kişisel verilere ilişkin yasayı ihlal edenlerin "kara listesinde" görünmesi daha az dramatik. Ancak bu, yabancı şirketler için önemli bir faktör olan itibar risklerini de beraberinde getiriyor. Ayrıca artık kişisel verilerin korunmasıyla hiçbir ilgisi olmayan faaliyet neredeyse yok. Bankalar, ticaret, hatta üretim; hepsi müşteri tabanını korur, bu da onların ilgili yasalara tabi olduğu anlamına gelir.
Burada konunun şirketler içinde de tek başına ele alınamayacağını anlamak önemlidir. Kişisel verilerin korunması, sunuculara sertifikalı güvenlik araçlarının kurulması ve kağıt kartların kasalara kilitlenmesiyle sınırlandırılamaz. Kişisel verilerin şirkete birçok giriş noktası vardır; satış departmanları, İK, müşteri hizmetleri, bazen eğitim merkezleri, satın alma komisyonları ve diğer departmanlar. Kişisel verilerin korunması yönetimi, etkileyen karmaşık bir süreçtir. BT, belge akışı, yönetmelikler, yasal tescil.
Böyle bir süreci yürütmek ve sürdürmek için neler gerektiğine bir göz atalım.
Hangi veriler kişisel olarak kabul edilir?
Açıkça söylemek gerekirse, belirli bir bireyle doğrudan veya dolaylı olarak ilgili olan her türlü bilgi onun kişisel verileridir. Tüzel kişilerden değil, kişilerden bahsettiğimizi unutmayın. Bu (ve ilgili) verilerin korunmasını başlatmak için tam adı ve ikamet adresini belirtmenin yeterli olduğu ortaya çıktı. Ancak bir kişinin imza ve telefon numarası şeklindeki kişisel verilerini içeren bir e-posta almak, onu korumak için bir neden değildir. Anahtar terim: "Kişisel veri toplama kavramı." Konuya açıklık getirmek adına “Kişisel Veriler Kanunu”nun bazı maddelerini özellikle vurgulamak istiyorum.
Madde 5. Kişisel veri işleme ilkeleri. Bu bilgilerin neden toplandığını açıkça ortaya koyan açık hedefler olmalıdır. Aksi takdirde, diğer tüm norm ve kurallara tam olarak uyulsa bile yaptırımların uygulanması muhtemeldir.
Madde 10. Özel nitelikli kişisel veriler. Örneğin personel departmanı, çalışanların hamileliği de dahil olmak üzere iş gezilerine ilişkin kısıtlamaları düzeltebilir. Elbette bu tür ek bilgiler de korumaya tabidir. Bu, PD anlayışının yanı sıra şirketin korumaya dikkat edilmesi gereken departmanları ve bilgi depolarının listesini de büyük ölçüde genişletir.
Madde 12. Kişisel verilerin sınır ötesi aktarımı. Rusya Federasyonu vatandaşlarına ilişkin verileri içeren bir bilgi sistemi, Kişisel Verilerin Korunması Sözleşmesini onaylamamış bir ülkenin (örneğin İsrail'de) topraklarında bulunuyorsa, Rus mevzuatının hükümlerine uyulmalıdır.
Madde 22. Kişisel verilerin işlenmesine ilişkin bildirim. Düzenleyicinin gereksiz dikkatini çekmemek için bir ön koşul. Kişisel verilerle ilgili ticari faaliyetler yürütüyorsanız, kontrolleri beklemeden bunu kendiniz bildirin.
Kişisel verilerin nerede bulunabileceği
Teknik olarak PD, basılı ortamdan (kağıt dosya dolapları) makine ortamına (sabit sürücüler, flash sürücüler, CD'ler vb.) kadar herhangi bir yere yerleştirilebilir. Yani odak noktası, ISPD (kişisel veri bilgi sistemleri) tanımı kapsamına giren herhangi bir veri depolamasıdır.
Konumun coğrafyası da ayrı bir büyük sorun. Bir yandan Rusların (Rusya Federasyonu vatandaşı olan bireylerin) kişisel verilerinin Rusya Federasyonu topraklarında saklanması gerekiyor. Öte yandan, şu anda bu, oldu bitti olmaktan çok, durumun gelişiminin bir vektörüdür. Birçok uluslararası ve ihracat şirketi, çeşitli holdingler, ortak girişimler tarihsel olarak dağıtılmış bir altyapıya sahipti ve bu bir gecede değişmeyecek. Neredeyse şimdi, hemen ayarlanması gereken kişisel verileri saklama ve koruma yöntemlerinin aksine.
PD'nin kaydedilmesi, düzenlenmesi, biriktirilmesi, saklanması, açıklığa kavuşturulması (güncellenmesi, değiştirilmesi), çıkarılmasıyla ilgili minimum departman listesi:
- Personel servisi.
- Satış Departmanı.
- Hukuk Departmanı.
Mükemmel düzen nadiren hüküm sürdüğünden, gerçekte en öngörülemeyen birimler genellikle bu "beklenen" listeye eklenebilir. Örneğin, bir depo, tedarikçiler hakkında kişiselleştirilmiş bilgilere sahip olabilir veya bir güvenlik hizmeti, bölgeye giren herkesin kendi ayrıntılı kaydını tutabilir. Bu nedenle, bu arada, çalışanlara yönelik kişisel verilerin bileşimi, müşteriler, ortaklar, yükleniciler ve ayrıca kişisel verileri bir geçiş için fotoğraflandığında "suç" haline gelen rastgele ve hatta yabancı ziyaretçilere ilişkin verilerle desteklenebilir, Kimlik kartı ve diğer bazı durumlarda. ACS (erişim kontrol ve yönetim sistemleri), kişisel verilerin korunması bağlamında kolaylıkla sorunların kaynağı haline gelebilmektedir. Dolayısıyla "Nerede?" sorusunun cevabı. Kanuna uyma açısından bakıldığında kulağa şöyle geliyor: sorumlu bölgenin her yerinde. Daha doğru bir cevap ancak uygun bir denetim yapılarak verilebilir. Bu ilk aşama proje kişisel verilerin korunması için. Temel aşamalarının tam listesi:
1) Şirketteki mevcut durumun denetimi.
2) Teknik bir çözüm tasarlamak.
3) Kişisel verilerin korunmasına yönelik sürecin hazırlanması.
4) Rusya Federasyonu mevzuatına ve şirket düzenlemelerine uygunluk açısından kişisel verilerin korunmasına yönelik teknik çözüm ve sürecin doğrulanması.
5) Teknik bir çözümün uygulanması.
6) Kişisel verilerin korunmasına yönelik sürecin başlatılması.
1. Şirketteki mevcut durumun denetimi
Her şeyden önce, kişisel veriler içeren kağıt medyayı kullanan personel hizmetlerine ve diğer departmanlara danışın:
- Kişisel verilerin işlenmesine ilişkin onay formları var mı? Tamamlanıp imzalandı mı?
- 15 Eylül 2008 tarih ve 687 sayılı “Otomasyon Araçları Kullanılmadan Kişisel Verilerin İşlenmesine İlişkin Nitelikler Hakkında Yönetmelik”e uyuluyor mu?
ISPD'nin coğrafi konumunu belirleyin:
- Hangi ülkelerdeler?
- Hangi temelde?
- Bunların kullanımına ilişkin sözleşmeler var mı?
- PD sızıntısını önlemek için hangi teknolojik koruma kullanılıyor?
- PH'yi korumak için hangi kurumsal önlemler alınıyor?
İdeal olarak, Rusların PD'sine sahip bir bilgi sistemi, yurtdışında olsa bile 152-FZ "Kişisel Veriler Hakkında" Kanunun tüm gerekliliklerine uymalıdır.
Son olarak, doğrulama durumunda gerekli olan etkileyici belge listesine dikkat edin (hepsi bu değil, yalnızca ana liste):
- PD işleme bildirimi.
- PD'nin işlenmesini organize etmekten sorumlu kişiyi tanımlayan bir belge.
- PD'yi işlemeye yetkili çalışanların listesi.
- PD depolama yerini belirleyen bir belge.
- Özel ve biyometrik nitelikli kişisel verilerin işlenmesine ilişkin bilgilendirme.
- PD'nin sınır ötesi transferi sertifikası.
- PD ile standart belge formları.
- Kişisel verilerin işlenmesine ilişkin standart onay formu.
- PD'yi üçüncü taraflara aktarma prosedürü.
- PD deneklerinden gelen taleplerin muhasebeleştirilmesi prosedürü.
- Kişisel veri bilgi sistemlerinin (ISPD) listesi.
- ISPD'de veri yedeklemeyi düzenleyen belgeler.
- Kullanılan bilgi güvenliği araçlarının listesi.
- PD'nin imhası için prosedür.
- Erişim Matrisi.
- tehdit modeli.
- Makine medyası PD'nin kayıt defteri.
- 1 Kasım 2012 tarihli PP-1119 uyarınca her ISPD için güvenlik seviyelerini tanımlayan bir belge "Kişisel veri bilgi sistemlerinde işlenmeleri sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması hakkında."
2. Teknik bir çözüm tasarlamak
PD'yi korumak için alınması gereken organizasyonel ve teknik önlemlerin bir açıklaması, 152-FZ "Kişisel Verilere İlişkin" Kanunun 4. "Operatörün Yükümlülükleri" bölümünde verilmiştir. Teknik çözüm, 21 Temmuz 2014 tarih ve 242-FZ sayılı Kanunun 2. Maddesi hükümlerine dayanmalıdır.
Ancak, ISPD'nin hala yurtdışında olması durumunda, yasaya nasıl uyulmalı ve Rusya Federasyonu vatandaşlarının PD'sinin Rusya topraklarında işlenmesi nasıl yapılır? Burada birkaç seçenek var:
- Bilgi sisteminin ve veri tabanının Rusya Federasyonu topraklarına fiziksel aktarımı. Teknik olarak mümkünse en kolayı bu olacaktır.
- ISPD'yi yurt dışında bırakıyoruz, ancak Rusya'da bunun bir kopyasını oluşturuyoruz ve Rusya Federasyonu vatandaşlarının PD'sinin Rus kopyasından yabancı kopyaya tek yönlü kopyasını oluşturuyoruz. Aynı zamanda, yabancı bir sistemde, Rusya Federasyonu vatandaşlarının kişisel verilerinin değiştirilme olasılığının hariç tutulması gerekir, tüm düzenlemeler yalnızca Rusya ISPD aracılığıyla yapılır.
- Birkaç ISPD var ve hepsi yurt dışında. Aktarım pahalı olabilir, hatta teknik olarak imkansız olabilir (örneğin, veritabanının bir bölümünü Rusya Federasyonu vatandaşlarının kişisel verileriyle ayırıp Rusya'ya taşımak imkansızdır). Bu durumda çözüm, Rusya'daki bir sunucuda bulunan herhangi bir platformda yeni bir ISPD oluşturmak olabilir ve buradan her yabancı ISPD'ye tek yönlü çoğaltma gerçekleştirilecektir. Platform seçiminin firmaya ait olduğunu belirtmek isterim.
PDIS tamamen ve münhasıran Rusya'ya aktarılmadıysa, sınır ötesi veri aktarımı sertifikasında kime ve hangi PD setinin gönderildiğini belirtmeyi unutmayın. Kişisel verilerin aktarılma amacının, işleme bildiriminde belirtilmesi gerekmektedir. Tekrar belirtmek isterim ki bu hedef meşru olmalı ve açıkça gerekçelendirilmelidir.
3. Kişisel verilerin korunmasına ilişkin sürecin hazırlanması
Kişisel veri koruma süreci en azından aşağıdaki hususları tanımlamalıdır:
- Şirkette kişisel verilerin işlenmesinden sorumlu kişilerin listesi.
- ISPD'ye erişim verme prosedürü. İdeal olarak bu, her pozisyon veya belirli çalışan için erişim düzeyini (okuma/okuma-yazma/değiştirme) içeren bir erişim matrisidir. Veya her pozisyon için mevcut PD'lerin bir listesi. Her şey fikri mülkiyetin uygulanmasına ve şirketin gereksinimlerine bağlıdır.
- Kişisel verilere erişimin denetimi ve erişim seviyelerinin ihlal edildiği erişim girişimlerinin analizi.
- Kişisel verilere erişilememe nedenlerinin analizi.
- PD deneklerinin PD'lerine ilişkin taleplerine yanıt verme prosedürü.
- Şirket dışına aktarılan kişisel veriler listesinin revizyonu.
- Yurt dışı da dahil olmak üzere kişisel veri alıcılarının incelenmesi.
- PD için tehdit modelinin periyodik olarak gözden geçirilmesi ve ayrıca tehdit modelindeki bir değişiklik nedeniyle kişisel verilerin korunma düzeyindeki değişiklik.
- Şirket dokümanlarının güncel tutulması (yukarıdaki liste ve gerekirse eklenebilir).
Burada her öğeyi detaylandırabilirsiniz, ancak güvenlik düzeyine özellikle dikkat etmek istiyorum. Aşağıdaki belgelere dayanarak belirlenir (sırayla okunur):
1. "Mevcut tehditlerin belirlenmesine yönelik metodoloji güvenlik kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel veriler” (FSTEC RF 14 Şubat 2008).
2. Rusya Federasyonu Hükümeti'nin 1 Kasım 2012 tarih ve 1119 sayılı Kararnamesi "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması hakkında."
3. 18 Şubat 2013 tarih ve 21 Sayılı FSTEC Kararı "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamaya yönelik organizasyonel ve teknik önlemlerin bileşiminin ve içeriğinin onaylanması hakkında."
Ayrıca, aşağıdaki gibi harcama kategorilerine olan ihtiyacı da dikkate almayı unutmayın:
- Organizasyon proje takımı ve proje yönetimi.
- ISPD platformlarının her biri için geliştiriciler.
- Sunucu kapasiteleri (kendine ait veya veri merkezinde kiralık).
Projenin ikinci ve üçüncü aşamalarının sonunda aşağıdakilere sahip olmalısınız:
- Maliyet hesabı.
- kalite gereksinimleri.
- Proje zamanlaması ve programı.
- Projenin teknik ve organizasyonel riskleri.
4. Rusya Federasyonu mevzuatına ve şirket düzenlemelerine uygunluk açısından kişisel verilerin korunmasına yönelik teknik çözüm ve sürecin doğrulanması
İfade açısından kısa, ancak planlanan tüm eylemlerin Rusya Federasyonu mevzuatına ve şirket kurallarına (örneğin güvenlik politikaları) aykırı olmadığından emin olmanız gereken önemli bir adım. Bu yapılmazsa, projenin temeline gelecekte “patlayabilecek” ve elde edilen sonuçların faydalarını yok edebilecek bir bomba atılacaktır.
5. Teknik bir çözümün uygulanması
Burada her şey az çok açıktır. Ayrıntılar başlangıç durumuna ve kararlara bağlıdır. Ancak genel olarak resim şöyle görünmeli:
- Sunucu kapasiteleri tahsis edildi.
- Ağ mühendisleri PD'nin alıcısı ve vericisi arasında yeterli bant genişliği sağlamıştır.
- Geliştiriciler ISPD veritabanları arasında çoğaltma oluşturmuşlardır.
- Yöneticiler yurt dışında bulunan ISPD'de değişiklik yapılmasını engelledi.
PD'yi korumaktan sorumlu kişi veya "süreç sahibi" aynı kişi veya farklı olabilir. Gerçek şu ki, "süreç sahibi" tüm dokümantasyonu hazırlamalı ve PD'nin korunmasına ilişkin tüm süreci organize etmelidir. Bunu yapmak için ilgili tüm taraflar bilgilendirilmeli, çalışanlara talimat verilmeli ve BT hizmeti teknik veri koruma önlemlerinin uygulanmasını kolaylaştırmalıdır.
6. Kişisel verilerin korunmasına ilişkin sürecin başlatılması
Bu önemli bir adımdır ve bir anlamda tüm projenin amacı akışın kontrolünü sağlamaktır. Teknik çözümlere ve düzenleyici belgelere ek olarak süreç sahibinin rolü burada kritik öneme sahiptir. Sadece mevzuattaki değil, bilişim altyapısındaki değişiklikleri de takip etmesi gerekiyor. Bu, uygun beceri ve yeterliliklerin gerekli olduğu anlamına gelir.
Ayrıca gerçek çalışma koşullarında kritik olan PD koruma sürecinin sahibi, şirket yönetiminden gerekli tüm yetkilere ve idari desteğe ihtiyaç duymaktadır. Aksi takdirde kimsenin umursamadığı ebedi bir “dilenci” olacak ve bir süre sonra denetimden başlayarak proje yeniden başlatılabilecektir.
Nüanslar
Göz ardı edilmesi kolay birkaç nokta:
- Bir veri merkeziyle çalışıyorsanız, şirketinizin verileri yasal olarak sakladığı ve kontrol ettiği sunucu kapasitesi hizmetlerinin sağlanması için bir sözleşmeye ihtiyacınız vardır.
- PD'yi toplamak, depolamak ve işlemek için kullanılan yazılıma veya bunun için kira sözleşmelerine yönelik lisanslara ihtiyacınız vardır.
- ISPD yurt dışında bulunuyorsa, Rusların kişisel verileriyle ilgili olarak Rusya Federasyonu mevzuatına uyumu garanti etmek için oradaki sistemin sahibi olan şirketle bir anlaşma yapılması gerekir.
- Kişisel veriler şirketinizin bir yüklenicisine (örneğin bir BT dış kaynak ortağı) aktarılırsa, PD'nin dış kaynak tedarikçisinden sızması durumunda taleplerden siz sorumlu olacaksınız. Buna karşılık, şirketiniz dış kaynak tedarikçisine hak talebinde bulunabilir. Belki de bu faktör, işin dış kaynak kullanımına aktarılması gerçeğini etkileyebilir.
Ve yine en önemlisi kişisel verilerin alınamaması ve korunmasının sağlanamamasıdır. Bu bir süreç. Mevzuattaki daha sonraki değişikliklerin yanı sıra bu kuralların pratikte uygulanmasının formatı ve titizliğine büyük ölçüde bağlı olacak, sürekli yinelenen bir süreç.
Benzer Belgeler
Kişisel verilerin korunmasına ilişkin yasal dayanak. Bilgi güvenliği tehditlerinin sınıflandırılması. Kişisel verilerin veritabanı. Kuruluşun LAN'ının cihazı ve tehditleri. PC korumasının ana yazılım ve donanım araçları. Temel güvenlik politikası.
tez, eklendi: 06/10/2011
Kişisel veri güvenlik sistemi oluşturmanın önkoşulları. Bilgi güvenliğine yönelik tehditler. ISPD'ye yetkisiz erişim kaynakları. Kişisel veri bilgi sistemlerinin cihazı. Bilgi koruma araçları. Güvenlik Politikası.
dönem ödevi, eklendi: 10/07/2016
Dağıtılmış bir bilgi sisteminin yapısının ve içinde işlenen kişisel verilerin analizi. Kişisel verilerin güncel tehditlerden korunmasını sağlayacak temel önlem ve araçların seçimi. Projeyi oluşturma ve sürdürme maliyetinin belirlenmesi.
tez, eklendi: 07/01/2011
İşletmede erişim kontrol ve yönetim sistemi. İşlenmiş bilgilerin analizi ve ISPD'nin sınıflandırılması. Kişisel verilerin ACS JSC "MMZ" bilgi sisteminde işlenmesi sırasında kişisel verilerin güvenliğine yönelik bir tehdit modelinin geliştirilmesi.
tez, eklendi: 04/11/2012
Bilgisayar odasında bulunan kişisel veri bilgi sisteminin donatılmasına yönelik ana teknik çözümlerin açıklaması. Anti-virüs korumasının alt sistemi. Bilgi güvenliği araçlarının kullanıma sunulmasına yönelik hazırlıklar.
dönem ödevi, eklendi: 30.09.2013
Belgelenmiş bilgilerin gizliliği ve güvenliği. Kuruluşun faaliyetlerinde kullanılan kişisel veri türleri. Korunmalarının sağlanması alanında mevzuatın geliştirilmesi. Rusya Federasyonu'nun bilgi güvenliğini sağlama yöntemleri.
sunum, 11/15/2016 eklendi
Bilgi güvenliği risk analizi. Mevcut ve planlanan koruma araçlarının değerlendirilmesi. Bilgi güvenliğini ve kurumsal bilgilerin korunmasını sağlamak için bir dizi kurumsal önlem. Proje uygulamasının kontrol örneği ve açıklaması.
tez, 12/19/2012 eklendi
Rusya'da bilgi güvenliği alanındaki düzenleyici belgeler. Bilgi sistemleri tehditlerinin analizi. Kliniğin kişisel veri koruma sisteminin organizasyonunun özellikleri. Elektronik anahtarlar kullanılarak bir kimlik doğrulama sisteminin uygulanması.
tez, 31.10.2016 eklendi
İşletmenin faaliyetleri hakkında genel bilgiler. İşletmede bilgi güvenliği nesneleri. Bilgi koruma önlemleri ve araçları. Verileri çıkarılabilir ortama kopyalama. Dahili bir yedekleme sunucusunun kurulması. IS sistemini iyileştirmenin verimliliği.
test, 29.08.2013 eklendi
Bilgiyle ilgili ana tehditler. Veri korumasını sağlamanın kavramları, yöntemleri ve yolları. Güvenlik sistemi gereksinimleri. Kullanıcı türünü belirlemek için bilgi tabanındaki yetkilendirme mekanizması. Yöneticinin güvenlik sistemiyle çalışması.
Dzhabrail Matiev, şirketin ticari kısmının kişisel verilerin korunmasından sorumlu başkanıReignVox
Çok sayıda müşteri verisi dizisiyle sürekli çalışma, herhangi bir formattaki bankanın bu verileri koruma alanında sürekli çalışmasını gerektirir.
Bu nedenle bilgi güvenliği konusu ve onunla birlikte güven konusu özellikle finans sektörüyle ilgilidir. Ayrıca, modern bir finans şirketinin bilgi sisteminin yapısında yer alan herhangi bir kişisel verinin korunması gerekliliği de yasal olarak haklıdır - 152 sayılı "Kişisel Verilere İlişkin" federal yasa, bu verileri işleyen her şirketi, bu verileri katı bir şekilde korumakla yükümlü kılar. tanımlanmış terimler. Kişisel verileri işleyen hem yeni hem de mevcut bilgi sistemlerinin 1 Ocak 2011 tarihine kadar kanun gerekliliklerine uygun hale getirilmesi gerekmektedir. Bu kadar kesin olarak tanımlanmış bir zaman dilimi göz önüne alındığında, bu tür bilgileri işleyen kuruluşların yasanın gerekliliklerine uymak için giderek daha az zamanı olur.
Kişisel verilerin korunmasına yönelik çalışmalara nasıl başlanır? Beklenen geri dönüş süreleri nelerdir? İşin yürütülmesinden kim sorumludur? Ortalama proje maliyeti nedir ve maliyetler nasıl en aza indirilir? Tüm bu konular bugün finans sektöründe iş yapan herhangi bir şirket için geçerlidir. Uzmanların bunlara verdiği yanıtlar, ReignVox'a finansal yapılarda kişisel verilerin korunması alanında kapsamlı deneyim kazandırmamızı sağlıyor.
Geri sayım modunda yaşam
152 Sayılı "Kişisel Verilere İlişkin" Federal Kanun, yasa koyucular tarafından belirlenen son tarihten altı aydan fazla bir süre önce, 1 Ocak 2011'de tam olarak yürürlüğe giriyor. Ancak çok fazla zaman olduğu fikrine aldanmayın.
Öncelikle kişisel verilerin korunmasına yönelik gereklilikleri karşılamaya yönelik bir projenin hayata geçirilmesi, karmaşıklığına bağlı olarak dört ila altı ay sürüyor. Ancak bu rakam nihai değil. Vadeler altı ila sekiz aya kadar artabilir Bankanın projenin geliştirilmesi ve sürdürülmesi için değerli bir entegratör seçmek için harcayacağı süre nedeniyle. Bu tür işleri kendi başına yürütmek, banka için inceleme ve analiz aşamasında objektiflik kaybı, içinde mevcut koruma araçları ve bu iş için ayrı işgücü kaynakları bulma ihtiyacı ile doludur. Bu durumda, kişisel verilerin korunması konusunda eğitimli uzmanların mevcudiyeti, gerekli miktarda düzenleyici ve metodolojik destek ve kişisel verilerin korunması görevi için ücretsiz kaynaklar gibi faktörler de unutulmamalıdır. Uygulama, bir komplekste tüm bu gereksinimleri karşılayanların genellikle üçüncü taraf entegratörleri olduğunu göstermektedir.
İkinci olarak, “aktarmaları” hakkında ne söylerlerse söylesinler, “Kişisel Veriler Hakkında Kanun”un veri operatörleri için belirlediği süreler konusuna dönecek olursak (ve bankaların sadece bu tür operatörler olduğu gerçeği artık prensipte bir sorun değildir). Düzenleyicilerin ilk kontrolleri şimdiden yapılıyor. Sonuç oldukça mantıklı: Sorunun alaka düzeyi sadece korunmakla kalmadı, kat kat arttı ve çözümü acil bir ihtiyaç haline geliyor.
“Ve tabut yeni açıldı…”
Son zamanlarda, ISPD'yi “Kişisel Veriler Hakkında Kanun” hükümlerine uygun hale getirme görevi etrafında aktif tartışmalar yapılıyor ve bunun sonucu esas olarak tek bir sonuca varıyor: bu görevin çözümü, kombinasyon nedeniyle çok sorunlu. Organizasyonel ve hukuki özellikleri. Bu sonuç tamamen doğru değildir: 2010 yılının ilk çeyreğinde (bankacılık sektörü dahil) ortaya çıkan kişisel verilerin korunmasına yönelik gerekliliklerin uygulanması uygulaması, ISPD gerekliliklerinin açıklığını ve yorumlanabilirliğini doğrulamaktadır. İkincisinin minimum hata riskiyle formüle edilmesi, uygulanması ve belgesel olarak doğrulanması, bankacılık işinin güvenliği açısından önemli olduğu için uygulanması o kadar da zor değildir. Görevi daha da basitleştiren, bankacılık işinin bireysel özelliklerini dikkate alarak, uzmanları kişisel veri koruma projesini hızlı ve profesyonel bir şekilde tamamlayacak olan üçüncü taraf bir entegratöre emanet etme yeteneğidir.
Bu nedenle ilk öncelik, projenin görevlendirileceği entegratör firmanın seçimidir.
"Standart" = "Özel"?
Bu birbirini dışlayan kavramlar arasında böyle bir eşit işaretin var olma hakkı vardır. Bu beyan, ReignVox tarafından halihazırda tamamlanmış olan başarılı kişisel veri koruma projelerinin pratik deneyimi ile desteklenmektedir.
Bir yandan, bu tür projelerin her biri standart sayıda aşama içerir: kişisel veri bilgi sistemlerinin araştırılması aşaması, kişisel veri koruma sisteminin tasarlanması aşaması, SPPD'nin uygulanması aşaması, ISPD'nin AB'ye uygunluğunun değerlendirilmesi aşaması. kanunun gereklilikleri ve oluşturulan sistemin desteklenmesi aşaması. Ayrıca ISPD'ye uyumun değerlendirilmesi aşama olarak isteğe bağlı olup, müşteri firmanın takdirinde gerçekleştirilir. Ayrıca oluşturulan sistemin destek aşaması.
Tipiklik genellikle ilk aşamada (bilgi sistemleri araştırması aşaması) sona erer, çünkü bu aşama, bunları tanımlamanıza ve tanımlamanıza olanak tanır. Gelecekte sistemlere sunulacak gereksinimler. Ve bu parametreler zaten bireyseldir ve her bir müşteriye odaklanmış, ihtiyaçlarına göre optimize edilmiştir.
Bu araştırma kapsamında bilgi kaynakları, BT altyapısının inşasında kullanılan standart çözümler, kişisel verilerin bilgi akışları, mevcut sistemler ve bilgi güvenliği araçları analiz edilmektedir.
Aynı aşamada, bir tehdit ve PD güvenliği ihlali modeli geliştirilir, ISPD'de PD güvenliğinin kriptografik araçlar kullanılarak sağlanması ihtiyacı değerlendirilir.
İkinci aşamayı yürütmeye yönelik klasik plan, düzenleyici çerçevenin denetimini ve düzenleyicilerin gerekliliklerine uygunluğunun değerlendirilmesini içerir. Bunun sonucu, eksik dahili belgelerin geliştirilmesinin yanı sıra SZPDn'nin geliştirilmesi için görev tanımının geliştirilmesidir. Aynı aşamada, entegratör, bilgileri korumaya yönelik bir dizi önlemin doğrudan geliştirilmesine devam eder.
Bu aşamanın sonunda banka, düzenleyicilerden birinin testini başarıyla geçme konusunda oldukça yeteneklidir.
Üçüncü aşamanın özü, sistemleri uygulamak ve mevcut koruma araçlarını yapılandırmaktır. Testten sonra gerekirse donanım ve yazılım kompleksi sonlandırılır.
Açıklanan aşamaların her birinde, bir entegratör olarak ReignVox şirketi, müşteri şirketin yürüttüğü işin özellikleri, büyüklüğü, altyapısı, iş süreci etkinliği ve diğer birçok noktaya bağlı olarak çeşitli ek görevlerle karşı karşıya kalır. Ve her seferinde bu tür çok sayıda bileşenden yeni, bireysel olarak uyarlanmış bir kişisel veri koruma projesi konsepti oluşturuluyor.
"...ve koyunlar güvende"
Maliyet minimizasyonu, bütçe optimizasyonu, tasarruf - hangi ifadeyi seçerseniz seçin, öz aynı kalır - finansal kaynakların kullanımına rasyonel bir yaklaşım - finansal yapının başarısının ikinci temel taşı olan odur (tabii ki güvenden sonra) ). Bu nedenle bilgi güvenliğinden ödün vermeden maliyetleri olabildiğince düşürme isteği doğaldır ve oldukça ulaşılabilirdir.
Bir bankacılık yapısı için kişisel veri koruma sistemi oluşturmaya yönelik ortalama standart bir projenin maliyeti yaklaşık 1,5 milyon ruble. Bu tutar hesaplanırken bir takım ilkeler de dikkate alınır ve bunu takiben kişisel veri koruma sisteminin oluşturulması için bütçenin azaltılması mümkündür.
Öncelikle kurumdaki mevcut BT altyapısını mümkün olduğunca korumaya çalışıyoruz. Kişisel verilerin korunmasına yönelik genellikle iki kutuplu senaryodan bahsediliyor. Birincisi, tüm ISPD'lerin radikal bir şekilde yeniden işlenmesidir ve ikincisi, ISPD'lerde herhangi bir değişiklik yapılmadan yalnızca iç düzenleyici belgelerin yayınlanmasından oluşan resmi bir çalışmadır. Bankanın mevcut BT altyapısının korunmasını, bazı unsurlarının değiştirilmesiyle birlikte yasaya uyumu sağlamak için gerekli yenilerinin eklenmesini içeren üçüncü seçeneğin optimal olduğunu düşünüyoruz.
Bu durumda ilk prensipten bahsediyoruz. Mevcut bilgi güvenliği araçlarının maksimum kullanımı Bilgi güvenliği sistemlerini tasarlarken. Herhangi bir şirketteki koruma araçları, kişisel verileri koruma ihtiyacına bakılmaksızın kullanılır; bunlar antivirüs koruma sistemleri ve işletim sisteminin yerleşik erişim kontrol araçları, güvenlik duvarları ve diğer birçok araçtır. Bu nedenle maksimum gereksinim sayısı mevcut koruma araçlarıyla kapatılmaktadır. Ve yalnızca mevcut koruma araçlarının bazı gereksinimleri karşılayamaması durumunda, ek koruma araçlarının satın alınması ve uygulanması gerekir.
İkinci prensip prensiptir bilgi sistemlerinin ekonomik mantıksal yapılanması kişisel veri. Bu prensibe göre, bir bankada kişisel veri koruma projesinin uygulanmasının bir parçası olarak, aynı odada bulunan çeşitli sistemlerin kritik olmayan bölümlerin derecesinin düşürülmesiyle birlikte tek bir sistemde birleştirilmesi ekonomik olarak mümkün hale gelir. Böylece, çevre boyunca korumanın sağlandığı ISPD "Veri İşleme Merkezi" oluşturulur. Bu, farklı sistemlerdeki akışları ayırma maliyetini önemli ölçüde azaltmanıza olanak tanır.
Üçüncü prensip yalnızca mevcut tehditlere karşı koruma sağlayın. Aynı zamanda tehditlerin gerçekleşmesi, Tehdit Modeli adı verilen özel sistemler için zorunlu olan bir belgede anlatılmaktadır. Tehditleri gerçekleştirirken olasılığı düşük olan ve uygulama sırasındaki zararı küçük olanlar atılır.
Halihazırda kanıtlanmış yöntemlerin kullanılmasına bağlı olarak, herhangi bir bankanın ISPD'sini 1 Ocak 2011'e kadar yasanın gerekliliklerine uygun hale getirme görevi tamamen mümkündür. Bu tür teknolojilerin bankacılık sektöründe uygulanmasında maksimum başarı için, proje üzerinde çalışmaya yönelik entegre bir yaklaşımın hatırlanması hala gereklidir. Bu durumda, çeşitli departmanlardan uzmanların - BT teknolojileri uzmanları, bilgi güvenliği ve proje yönetimi uzmanları, finansörler, avukatlar - mali yapı içindeki kritik verileri korumaya yönelik genel yaklaşım arasında gerekli dengeyi garanti eden ortak çalışmasının organizasyonunu kastediyoruz.
Referans: ReignVox, bilgi teknolojisi alanındaki yenilikçi projeler ve gelişmeler konusunda uzmanlaşmış ve bunların bilgi güvenliğini sağlayan bir Rus şirketidir.
Şirketin kuruluş amacı, 27 Temmuz 2006 tarihli "Kişisel Veriler Hakkında" FZ-152 Kanunu'nun gereklerine uygun olarak kişisel verilerin korunmasını sağlamak ve entegre bilgi güvenliği sistemleri kurmak için hizmet sunmaktır.
ReignVox, bölgeler arası kamu kuruluşu "Bilgi Koruma Derneği"nin (IPO "AZI") bir üyesidir, "Bilgi İletişim Birliği"nin (Bilgi İletişim Birliği) ilişkili bir üyesi ve aynı zamanda Rusya Bölgesel Bankalar Birliği'nin bir üyesidir.
ReignVox, büyük ticari bankalardaki kişisel veri koruma projelerinin başarıyla uygulanması konusunda önemli bir deneyime sahiptir. Müşterileri arasında NOTA-Bank, Vnesheconombank, CentroCredit, Tempbank, Alta-Bank vb. yer almaktadır.
Tahmin etmek: