Практические аспекты реализации защиты персональных данных

Построение банковской информационной системы сбора, обработки и хранения персональных данных клиентов, использующей территориально распределенную структуру. Элементы банковской информационной системы. Схема работы комплекса InfoWatch Enterprise Solution.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 15.08.2020
Размер файла 346,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Практические аспекты реализации защиты персональных данных

Жолнерун А.В.

Annotation

The question of illegal access to personal data is considered in article. Existing ways of illegal access prevention and the software used for it are also described.

Основная часть

В наши дни развитие информационных технологий идёт бурными темпами. И при таком уровне интеграции, на данном этапе следует уделять всё большее внимание информационной безопасности, а в частности - защите персональных данных. Аспекты реализации защиты персональных данных возникают практически во всех кампаниях, занимающихся сбором, хранением, передачей и обработкой этих данных. А с учетом того, что многие операторы персональных данных имеют ещё и территориально распределенную структуру своих информационных систем, то возникает ещё очень важный вопрос: «Как правильно организовать защиту данных, передаваемых по сетям общего пользования?» Да и зачастую к корпоративным сетям всё больший доступ получают работники с мобильными устройствами (ноутбуками), а это, в свою очередь, чревато повышением рисков утечки данных через эти каналы [2]. Зачастую, как показывает практика, многие кампании не придают рискам утечки данных особого внимания. И как следствие этого, не многие могут понять, что в их системах происходит утечка персональных данных [3].

Данная ситуация осложняется ещё и тем, что с 27.01.2007 вступил в силу ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» (принят ГД ФС РФ 08.07.2006), который обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну. В связи с этим операторам персональных данных, для достижения соответствия Федеральному Закону, требуется внедрение новых программных, а зачастую и аппаратных решений, а также принятие организационных мер и проведение модернизации бизнес-процессов компании. Согласно ст. 19 ч.1 оператор «обязан принимать необходимые организационные и технические меры, в т.ч. использовать шифровальные (криптографические) средства для защиты персональных данных» от целого ряда угроз. Среди данных угроз закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия»[1, 2].

Рассмотрим банковскую информационную систему сбора, обработки и хранения персональных данных клиентов, использующую территориально распределенную структуру, представленную на рисунке 1.

В данной системе сбор информации осуществляется на удаленных автоматизированных рабочих местах (УАРМ), потом ведется передача по информационным каналам общего пользования, посредством пересылки по электронной почте (SRV-MAIL). После поступления информации на сервер (SRV-AP), с ней выполняются некоторые процедуры обработки, после которой она заносится в базу данных (SRV-SQL) и хранится длительное время. Так как система банковская, то информация имеет большую ценность и представляет коммерческую тайну в виде реквизитов юридических лиц: счетов, сумм, находящихся на них, а также движения и выполняемые взаиморасчеты между клиентами. Помимо прочего, база данных содержит и персональные данные физических лиц: паспортные данные, телефоны, адреса, родственные связи, данные о материальном положении. Компрометация таких данных может отрицательно сказаться на самих клиентах кредитной организации и на деловой репутации банка, и что самое страшное - инцидент может повлечь лишение лицензии и меру пресечения, в виде уголовной или административной ответственности.

Рисунок 1 Структура банковской информационной системы

банковский информационный система данные

Для соблюдения данных требований на практике было использовано следующее техническое решение:

1) Установка пароля на вход в настройки BIOS и пароля на загрузку персонального компьютера (отличного от пароля на доступ к настройкам в BIOS);

2) В BIOS запретить загрузку персонального компьютера с дискет и прочих отчуждаемых носителей (оставить только загрузку с жесткого диска);

3) Настройка политики безопасности компьютера и политики Active Directory;

4) Использование на удаленных рабочих местах операционных систем со встроенной системой разграничения доступа, например, Windows XP SP2;

5) Отключить возможность выбора конфигурации операционной системы при загрузке в файле boot.ini;

6) Для каждого пользователя создание персонального идентификатора (имени) и пароля на вход в систему;

7) Переименование стандартной учетной записи «Администратор»;

8) Группу пользователей отнести к обычным (непривилегированным) пользователям;

9) Ограничить доступ к реестру, оставив его только для группы администраторов;

10) Установить на компьютерах специальное программное обеспечение, гарантирующее целостность технических и программных средств (антивирус Kaspersky Lab, McAfee);

11) Включение и настройка брандмауэра;

12) Использовать файловую систему NTFS, с включенным шифрованием данных, хранящихся на диске, по алгоритму 3DES, с применением экспорта закрытого ключа на внешний носитель;

13) Исключить возможность создания на удаленных рабочих местах разделяемых сетевых ресурсов;

14) Отключение возможности удаленного доступа (Telnet, RDP и т.д.) на удаленных рабочих местах;

15) Разрешить выполнение только необходимых приложений Windows и плюс: cmd.exe, explorer.exe, iexplore.exe;

16) Создать ярлык на рабочем столе для быстрого запуска хранителя экрана (scrnsave.scr) и установить его (хранителя экрана) защиту паролем;

17) В настройках безопасности Internet Explorer'a создать ограничение доступа и создать пароль на изменение списка разрешенных к посещению сайтов;

18) Опечатать системные блоки, а также неиспользуемые USB, LPT, COM порты, саморазрушающимися наклейками - стикерами;

19) Выполнить запрет на использование USB и других устройств для работы со съемными носителями информации путем внесения изменений в реестре Windows;

20) Использовать шифрование данных, передаваемых по каналам и сетям общего пользования.

Но, как показала практика, для соблюдения требований ФЗ «О персональных данных» необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих, так как по статистике инсайдерские угрозы занимают большую долю от всех остальных факторов риска утечки данных[4]. Следовательно, необходимо введение жёстких политик безопасности, а также установка специального программного обеспечения от фирмы InfoWatch - InfoWatch Enterprise Solution (IES). Продукт IES представляет собой единую централизованную платформу для обеспечения внутреннего контроля над информационными потоками в корпоративной среде. Это достигается путем отслеживания и тщательного протоколирования всех операций над классифицированной информацией, осуществляемых как с помощью рабочих станций и мобильных устройств, так и посредством файловых и почтовых серверов[4]. На рисунке 2 представлена схема работы данного комплексного решения.

Рисунок 2 Схема работы комплекса InfoWatch Enterprise Solution

Подводя итог, следует отметить, что помимо функциональности, описанной выше и требуемой стандартом ЦБ РФ по ИТ-безопасности СТО БР ИББС-1.0-2006, продукт позволяет защититься от таких опасных угроз, как корпоративный саботаж, нецелевое использование информационных ресурсов компании, кража и разглашение конфиденциальных данных [4].

В заключение хочется добавить, что наряду с внедрением технических решений и стандартов, необходимо сочетать также и административные меры с подготовкой и воспитанием квалифицированного персонала, без чего невозможно обойтись фирмам-операторам персональных данных на нынешнем этапе развития информационных технологий.

Литература

1. Федеральный Закон от 27 июля 2006 г. №152-ФЗ «О персональных данных». «СЗ РФ», 31.07.2006, №31(1ч.), ст.3451.

2. Защита персональных данных по закону [Электронный ресурс]. http://sky-net.dp.ua/bezopasnost/zashhita-personalnyh-dannyh-po-zakonu.html - Электрон. текстовые, граф. дан. (203 Kб): цв.- Систем. требования: ПК 486 или выше; 8 Мб ОЗУ; Windows 3.1, Windows 95 или выше; SVGA 32768 и более цв.; 640х480; 4х CD-ROM дисковод; мышь. Загл. с экрана.

3. Внутренние ИТ-угрозы в России 2007-2008: итоги и прогнозы [Электронный ресурс] / М.: InfoWatch, 2008 // http://www.infowatch.ru/downloads/reports/internal-threats-2007-2008.pdf - Электрон. текстовые, граф. дан. (302 Kб): цв.- Систем. требования: ПК 486 или выше; 8 Мб ОЗУ; Windows 95 или выше; Adobe Acrobat 6.0 или выше; SVGA 32768 и более цв.; 640х480; 4х CD-ROM дисковод; мышь. Загл. с экрана.

4. Решения InfoWatch для совместимости со стандартом ЦБ РФ по ИТ-безопасности СТО БР ИББС-1.0-2006 [Электронный ресурс] / М.: InfoWatch, 2006 // http://www.infowatch.ru/downloads/docs/wp_centrobank_rus.pdf - Электрон. текстовые, граф. дан. (7.03 Мб): цв.- Систем. требования: ПК 486 или выше; 8 Мб ОЗУ; Windows 95 или выше; Adobe Acrobat 6.0 или выше; SVGA 32768 и более цв.; 640х480; 4х CD-ROM дисковод; мышь. Загл. с экрана.

Размещено на Allbest.ru


Подобные документы

  • Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.

    дипломная работа [3,2 M], добавлен 23.03.2018

  • Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

    дипломная работа [2,6 M], добавлен 17.11.2012

  • Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.

    дипломная работа [5,3 M], добавлен 01.07.2011

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.

    дипломная работа [2,5 M], добавлен 10.06.2011

  • Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.

    курсовая работа [63,4 K], добавлен 30.09.2013

  • Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.

    контрольная работа [21,5 K], добавлен 07.11.2013

  • Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".

    дипломная работа [84,7 K], добавлен 11.04.2012

  • Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.

    курсовая работа [158,7 K], добавлен 15.06.2013

  • Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.

    дипломная работа [2,5 M], добавлен 31.10.2016

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.