Dati personali nel settore bancario. Sicurezza dei dati personali in banca. Caratteristiche generali delle fonti di minaccia nei sistemi informativi dei dati personali

È diventato particolarmente richiesto per le divisioni russe di società straniere in relazione all'aggiunta della parte 5 dell'articolo 18 alla 152-FZ "Sui dati personali": "... l'operatore è obbligato a garantire la registrazione, la sistematizzazione, l'accumulo, l'archiviazione , chiarimento (aggiornamento, modifica), recupero dati personali cittadini della Federazione Russa che utilizzano banche dati situate sul territorio della Federazione Russa" . Ci sono alcune eccezioni nella legge, ma devi ammettere che in caso di un controllo da parte del regolatore, vuoi avere carte vincenti più affidabili di "ma questo non ci riguarda".

Le sanzioni per i trasgressori sono molto severe. Negozi online, social network, siti di informazione, altre attività legate a Internet in caso di reclami da parte delle autorità di vigilanza, possono essere effettivamente archiviati. Forse, al primo controllo, il regolatore darà il tempo di eliminare le carenze, ma il periodo è solitamente limitato. Se il problema non viene risolto molto rapidamente (cosa difficile da fare senza una preparazione preliminare), le perdite non possono più essere compensate. Il blocco del sito web non solo porta a una pausa nelle vendite, ma significa anche una perdita di quote di mercato.

Meno drammatica la comparsa nella “lista nera” dei trasgressori della legge sui dati personali per le aziende offline. Ma questo comporta rischi reputazionali, che sono un fattore significativo per le aziende estere. Inoltre, ormai non ci sono quasi attività che non siano per niente legate alla protezione dei dati personali. Banche, commercio, persino manifatturiero: tutti mantengono una base di clienti, il che significa che sono soggetti alle leggi pertinenti.

Qui è importante capire che anche all'interno delle aziende la questione non può essere considerata isolatamente. La protezione dei dati personali non può essere limitata installando strumenti di sicurezza certificati sui server e chiudendo le carte cartacee nelle casseforti. I dati personali hanno molti punti di ingresso nell'azienda: reparti vendite, risorse umane, servizio clienti, a volte anche centri di formazione, commissioni di acquisto e altri dipartimenti. La gestione della protezione dei dati personali è un processo complesso che colpisce ESSO, flusso documentale, normativa, registrazione legale.

Diamo un'occhiata a ciò che serve per eseguire e mantenere un tale processo.

Quali dati sono considerati personali

A rigor di termini, qualsiasi informazione che si riferisca direttamente o indirettamente a un determinato individuo è un suo dato personale. Si noti che stiamo parlando di persone, non di persone giuridiche. Risulta che è sufficiente indicare il nome completo e l'indirizzo di residenza per avviare la protezione di questi (oltre ai relativi) dati. Tuttavia, ricevere un'e-mail con i dati personali di qualcuno sotto forma di firma e numero di telefono non è un motivo per proteggerlo. Termine chiave: "Il concetto di raccolta di dati personali". Per chiarire il contesto, voglio evidenziare in particolare alcuni articoli della Legge "Sui Dati Personali".

Articolo 5. Principi di trattamento dei dati personali. Dovrebbero esserci obiettivi chiari che chiariscano il motivo per cui queste informazioni vengono raccolte. Diversamente, anche nel pieno rispetto di tutte le altre norme e regole, sono probabili sanzioni.

Articolo 10. Categorie particolari di dati personali. Ad esempio, il dipartimento del personale può fissare restrizioni sui viaggi di lavoro, inclusa la gravidanza dei dipendenti. Naturalmente, anche tali informazioni aggiuntive sono soggette a protezione. Ciò amplia notevolmente la comprensione del PD, nonché l'elenco dei dipartimenti e degli archivi di informazioni dell'azienda in cui è necessario prestare attenzione alla protezione.

Articolo 12. Trasferimento transfrontaliero di dati personali. Se un sistema informativo con dati sui cittadini della Federazione Russa si trova sul territorio di un paese che non ha ratificato la Convenzione sulla protezione dei dati personali (ad esempio in Israele), è necessario seguire le disposizioni della legislazione russa.

Articolo 22. Informativa sul trattamento dei dati personali. Un prerequisito per non attirare indebita attenzione del regolatore. Se svolgi attività commerciali relative ai dati personali, segnalalo tu stesso, senza attendere controlli.

Dove possono trovarsi i dati personali

Tecnicamente, il PD può essere posizionato ovunque, dai supporti stampati (scaffali di carta) ai supporti delle macchine (dischi rigidi, unità flash, CD, ecc.). Cioè, l'attenzione si concentra su qualsiasi archiviazione di dati che rientri nella definizione di ISPD (sistemi di informazione sui dati personali).

La geografia del luogo è un grosso problema separato. Da un lato, i dati personali dei russi (persone fisiche che sono cittadini della Federazione Russa) devono essere conservati nel territorio della Federazione Russa. D'altra parte, al momento è più un vettore dell'evolversi della situazione che un fatto compiuto. Molte società internazionali ed esportatrici, varie holding, joint venture hanno storicamente avuto un'infrastruttura distribuita - e questo non cambierà dall'oggi al domani. In contrasto con le modalità di conservazione e protezione dei dati personali, che dovrebbero essere adattate quasi ora, subito.

L'elenco minimo dei dipartimenti coinvolti nella registrazione, organizzazione, accumulazione, archiviazione, chiarimento (aggiornamento, modifica), estrazione PD:

• Servizio del personale.
• Reparto vendite.
• Dipartimento legale.

Poiché l'ordine perfetto raramente regna, in realtà, le unità più imprevedibili possono spesso essere aggiunte a questo elenco "atteso". Ad esempio, un magazzino può avere informazioni personalizzate sui fornitori, oppure un servizio di sicurezza può mantenere un proprio registro dettagliato di tutti coloro che entrano nel territorio. Pertanto, tra l'altro, la composizione dei dati personali per i dipendenti può essere integrata con dati su clienti, partner, appaltatori, nonché visitatori casuali e persino di altre persone - i cui dati personali diventano un "crimine" quando fotografati per un passaggio, scansionando una carta d'identità e in alcuni altri casi. Gli ACS (sistemi di controllo e gestione degli accessi) possono facilmente diventare fonte di problemi nel contesto della protezione dei dati personali. Pertanto, la risposta alla domanda "Dove?" dal punto di vista dell'osservanza della Legge suona così: ovunque nel territorio responsabile. Una risposta più accurata può essere data solo conducendo un audit appropriato. Questa è la prima fase progetto per la protezione dei dati personali. Elenco completo delle sue fasi chiave:

1) Verifica della situazione attuale in azienda.

2) Progettazione di una soluzione tecnica.

3) Predisposizione di un processo per la protezione dei dati personali.

4) Verifica della soluzione tecnica e del processo per la protezione dei dati personali per il rispetto della legislazione della Federazione Russa e dei regolamenti aziendali.

5) Implementazione di una soluzione tecnica.

6) Avvio del processo per la protezione dei dati personali.

1. Verifica della situazione attuale dell'azienda

Verificare innanzitutto con il servizio del personale e gli altri dipartimenti che utilizzano supporti cartacei con i dati personali:

• Esistono forme di consenso al trattamento dei dati personali? Sono compilati e firmati?
• È rispettato il “Regolamento in materia di disciplina del trattamento dei dati personali effettuato senza l'ausilio di strumenti di automazione” del 15 settembre 2008 n. 687?

Determinare la posizione geografica dell'ISPD:

• In che paesi sono?
• Su quali basi?
• Ci sono contratti per il loro utilizzo?
• Quale protezione tecnologica viene utilizzata per prevenire la fuoriuscita di PD?
• Quali misure organizzative vengono adottate per tutelare il PD?

Idealmente, un sistema informativo con PD di russi deve soddisfare tutti i requisiti della legge 152-FZ "Sui dati personali", anche se si trova all'estero.

Infine, presta attenzione all'impressionante elenco di documenti necessari in caso di verifica (questo non è tutto, solo l'elenco principale):

• Notifica elaborazione PD.
• Un documento che identifica il responsabile dell'organizzazione del trattamento del PD.
• Elenco dei dipendenti autorizzati al trattamento del PD.
• Un documento che determina la posizione dell'archiviazione PD.
• Informativa sul trattamento di categorie speciali e biometriche di dati personali.
• Certificato di trasferimento transfrontaliero di PD.
• Moduli standard di documenti con PD.
• Modulo standard di consenso al trattamento dei dati personali.
• La procedura per il trasferimento del PD a terzi.
• La procedura per la contabilizzazione delle richieste dei soggetti PD.
• Elenco dei sistemi di informazione sui dati personali (ISPD).
• Documenti che regolano il backup dei dati in ISPD.
• Elenco degli strumenti di sicurezza delle informazioni utilizzati.
• La procedura per la distruzione del PD.
• Matrice di accesso.
• modello di minaccia.
• Registro della macchina media PD.
• Un documento che definisce i livelli di sicurezza per ciascun ISPD in conformità con PP-1119 del 1 novembre 2012 "Sull'approvazione dei requisiti per la protezione dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali".

2. Progettazione di una soluzione tecnica

Una descrizione delle misure organizzative e tecniche che devono essere adottate per tutelare PD è data nel Capitolo 4. “Obblighi dell'operatore” della Legge 152-FZ “Sui Dati Personali”. La soluzione tecnica deve basarsi su quanto previsto dall'articolo 2 della legge 242-FZ del 21 luglio 2014.

Ma come rispettare la legge ed elaborare il PD dei cittadini della Federazione Russa sul territorio della Russia nel caso in cui l'ISPD si trovi ancora all'estero? Ci sono diverse opzioni qui:

• Trasferimento fisico del sistema informativo e della banca dati nel territorio della Federazione Russa. Se tecnicamente fattibile, sarà il più semplice.
• Lasciamo l'ISPD all'estero, ma in Russia ne creiamo una copia e stabiliamo la replica unidirezionale del PD dei cittadini della Federazione Russa da una copia russa a una straniera. Allo stesso tempo, in un sistema estero, è necessario escludere la possibilità di modificare i dati personali dei cittadini della Federazione Russa, tutte modifiche solo tramite l'ISPD russo.
• Ci sono diversi ISPD e sono tutti all'estero. Il trasferimento può essere costoso o addirittura tecnicamente non fattibile (ad esempio, è impossibile separare una parte del database con i dati personali dei cittadini della Federazione Russa e spostarlo in Russia). In questo caso, la soluzione potrebbe essere quella di creare un nuovo ISPD su qualsiasi piattaforma disponibile su un server in Russia, da cui verrà eseguita la replica unidirezionale su ciascun ISPD estero. Prendo atto che la scelta della piattaforma spetta all'azienda.

Se il PDIS non è stato trasferito completamente ed esclusivamente in Russia, non dimenticare di indicare nel certificato di trasferimento dati transfrontaliero a chi e quale particolare set di PD viene inviato. La finalità del conferimento dei dati personali deve essere indicata nell'informativa al trattamento. Anche in questo caso, questo obiettivo deve essere legittimo e chiaramente giustificato.

3. Predisposizione del processo per la protezione dei dati personali

Il processo di protezione dei dati personali dovrebbe definire almeno i seguenti punti:

• Elenco dei responsabili del trattamento dei dati personali in azienda.
• La procedura per la concessione dell'accesso all'ISPD. Idealmente, questa è una matrice di accesso con il livello di accesso per ogni posizione o dipendente specifico (lettura/lettura-scrittura/modifica). O un elenco di PD disponibili per ogni posizione. Tutto dipende dall'implementazione della PI e dai requisiti dell'azienda.
• Verifica degli accessi ai dati personali e analisi dei tentativi di accesso con violazione dei livelli di accesso.
• Analisi delle ragioni dell'inaccessibilità dei dati personali.
• La procedura per rispondere alle richieste dei soggetti PD in merito al proprio PD.
• Revisione dell'elenco dei dati personali che vengono trasferiti all'esterno dell'azienda.
• Revisione dei destinatari dei dati personali, anche all'estero.
• Revisione periodica del modello di minaccia per PD, nonché modifica del livello di protezione dei dati personali a causa di una modifica del modello di minaccia.
• Mantenere aggiornati i documenti aziendali (l'elenco sopra, e può essere integrato, se necessario).

Qui puoi dettagliare ogni articolo, ma voglio prestare particolare attenzione al livello di sicurezza. È determinato sulla base dei seguenti documenti (letti in sequenza):

1. "Metodologia per determinare le minacce attuali sicurezza dati personali durante il loro trattamento nei sistemi informativi dei dati personali” (FSTEC RF 14 febbraio 2008).

2. Decreto del governo della Federazione Russa n. 1119 del 1 novembre 2012 "Sull'approvazione dei requisiti per la protezione dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali".

3. Ordinanza della FSTEC n. 21 del 18 febbraio 2013 "Sull'approvazione della composizione e del contenuto delle misure organizzative e tecniche per garantire la sicurezza dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali".

Inoltre, non dimenticare di tenere conto della necessità di categorie di spese come:

• Organizzazione team di progetto e gestione del progetto.
• Sviluppatori per ciascuna delle piattaforme ISPD.
• Capacità del server (proprie o noleggiate nel data center).

Entro la fine della seconda e terza fase del progetto, dovresti avere:

• Calcolo dei costi.
• requisiti di qualità.
• Tempi e tempi del progetto.
• Rischi tecnici e organizzativi del progetto.

4. Verifica della soluzione tecnica e del processo per la protezione dei dati personali per il rispetto della legislazione della Federazione Russa e dei regolamenti aziendali

Breve in termini di formulazione, ma un passaggio importante, all'interno del quale è necessario assicurarsi che tutte le azioni pianificate non siano in contraddizione con la legislazione della Federazione Russa e le regole aziendali (ad esempio le politiche di sicurezza). In caso contrario, verrà posata una bomba alle fondamenta del progetto, che potrà “esplodere” in futuro, distruggendo i benefici dei risultati raggiunti.

5. Implementazione di una soluzione tecnica

Qui tutto è più o meno ovvio. Le specifiche dipendono dalla situazione e dalle decisioni iniziali. Ma in generale, l'immagine dovrebbe assomigliare a questa:

• Capacità del server allocate.
• Gli ingegneri di rete hanno fornito una larghezza di banda sufficiente tra il ricevitore e il trasmettitore del PD.
• Gli sviluppatori hanno stabilito la replica tra i database ISPD.
• Gli amministratori hanno impedito modifiche all'ISPD con sede all'estero.

Il responsabile della protezione del PD o il “titolare del trattamento” può essere lo stesso o diverso. Il fatto stesso che il “process owner” debba predisporre tutta la documentazione e organizzare l'intero processo di tutela del PD. Per fare ciò, tutte le parti interessate devono essere informate, i dipendenti devono essere istruiti e il servizio informatico deve facilitare l'attuazione delle misure tecniche di protezione dei dati.

6. Avvio del processo per la protezione dei dati personali

Questo è un passo importante e, in un certo senso, l'obiettivo dell'intero progetto è quello di controllare il flusso. Oltre alle soluzioni tecniche e alla documentazione normativa, in questo caso il ruolo del titolare del processo è fondamentale. Deve tenere traccia dei cambiamenti non solo nella legislazione, ma anche nell'infrastruttura IT. Ciò significa che sono richieste abilità e competenze adeguate.

Inoltre, aspetto critico nelle reali condizioni di lavoro, il titolare del processo di tutela del PD necessita di tutti i poteri e del supporto amministrativo necessari da parte del management aziendale. Altrimenti sarà un eterno “mendicante”, a cui nessuno presta attenzione, e dopo un po' il progetto potrà ripartire, ricominciando dall'audit.

Sfumature

Alcuni punti facilmente trascurabili:

• Se lavori con un data center, hai bisogno di un contratto per la fornitura di servizi di capacità del server, in base al quale la tua azienda archivia legalmente i dati e li controlla.
• Sono necessarie licenze per il software utilizzato per raccogliere, archiviare ed elaborare PD o contratti di locazione per esso.
• Se l'ISPD ha sede all'estero, è necessario un accordo con la società proprietaria del sistema per garantire il rispetto della legislazione della Federazione Russa in relazione ai dati personali dei russi.
• Se i dati personali vengono trasferiti a un appaltatore della tua azienda (ad esempio, un partner di outsourcing IT), in caso di perdita di PD dall'outsourcer, sarai responsabile per i reclami. A sua volta, la tua azienda può presentare reclami all'outsourcer. Forse questo fattore può influenzare il fatto stesso di trasferire il lavoro in outsourcing.

E ancora una volta, la cosa più importante è che la protezione dei dati personali non può essere presa e assicurata. Questo è un processo. Un processo iterativo continuo che dipenderà in larga misura da ulteriori modifiche della legislazione, nonché dal formato e dal rigore dell'applicazione pratica di queste regole.

INTRODUZIONE

Rilevanza. Nel mondo moderno, l'informazione sta diventando una risorsa strategica, una delle principali ricchezze di uno stato economicamente sviluppato. Il rapido miglioramento dell'informatizzazione in Russia, la sua penetrazione in tutte le sfere degli interessi vitali dell'individuo, della società e dello stato ha causato, oltre agli indubbi vantaggi, l'emergere di una serie di problemi significativi. Uno di questi era la necessità di proteggere le informazioni. Considerato che attualmente il potenziale economico è sempre più determinato dal livello di sviluppo della struttura informativa, la potenziale vulnerabilità dell'economia agli impatti informativi è in proporzione crescente.

La diffusione dei sistemi informatici, la loro integrazione nelle reti di comunicazione aumenta la possibilità di penetrazione elettronica in essi. Il problema della criminalità informatica in tutti i paesi del mondo, indipendentemente dalla loro ubicazione geografica, rende necessario attirare sempre più l'attenzione e gli sforzi dell'opinione pubblica per organizzare la lotta a questo tipo di criminalità. Particolarmente diffusi sono i reati nei sistemi bancari automatizzati e nell'e-commerce. Secondo dati stranieri, le perdite nelle banche a causa di crimini informatici ammontano ogni anno a molti miliardi di dollari. Sebbene il livello di introduzione delle ultime tecnologie dell'informazione nella pratica in Russia non sia così significativo, i crimini informatici si fanno sentire ogni giorno di più e proteggere lo stato e la società da essi è diventato un super compito per le autorità competenti.

Nessuno dubita della rilevanza della questione della protezione dei dati personali. In primo luogo, ciò è dovuto al periodo stabilito per adeguare i sistemi di informazione sui dati personali (PDIS) alla legge federale n. 152-FZ del 27 luglio 2006 "Sui dati personali". Questa scadenza si avvicina inesorabilmente e, allo stesso tempo, l'evidente difficoltà di soddisfare i requisiti delle linee guida normative provoca molte polemiche e interpretazioni ambigue. Allo stesso tempo, la segretezza di alcuni documenti guida, il loro status giuridico incerto, nonché una serie di altre questioni, non contribuiscono a risolvere il problema. Tutto ciò crea una situazione in cui il quadro normativo non è definitivamente definito ed è necessario ottemperare ora ai requisiti di legge.

Maggio 2009 si è tenuto il primo incontro gruppo di lavoro sulla questione dei dati personali nell'ARB. All'evento, nel corso di un dibattito aperto, sono state individuate in modo abbastanza chiaro le aree problematiche che interessano la comunità bancaria. Riguardavano principalmente la protezione tecnica dei dati personali e la futura interazione tra istituzioni finanziarie e FSTEC. I rappresentanti della Banca di Russia hanno annunciato nel loro discorso gli sviluppi in termini di organizzazione dell'attuazione della legge "Sui dati personali". Fondamentalmente nuovi e importanti sono i tentativi della Banca di Russia di trovare un compromesso con le autorità di regolamentazione in termini di formulazione di requisiti tecnici per la comunità bancaria. Vorrei sottolineare in particolare l'attività della Banca Centrale della Federazione Russa in collaborazione con l'FSTEC della Russia. Tenendo conto di tutte le enormi difficoltà nel soddisfare i requisiti delle linee guida FSTEC, la Banca di Russia ha deciso di preparare i propri documenti (bozze di documenti), che sono attualmente coerenti con FSTEC. Si può presumere che vi sia un'alta probabilità di un nuovo standard di settore per gli istituti finanziari sui dati personali.

Lo scopo del lavoro del corso è studiare i modi per proteggere i dati personali nei sistemi bancari online.

Per raggiungere l'obiettivo, sono stati risolti i seguenti compiti:

studio degli approcci, principi di base della sicurezza;

determinazione di metodi e mezzi per garantire la sicurezza;

identificare le caratteristiche per garantire la sicurezza dei dati personali nei sistemi bancari online;

sviluppo di misure per garantire la sicurezza dei dati personali nei sistemi bancari online.

Oggetto del lavoro di ricerca sono i sistemi bancari dell'informazione.

L'argomento dello studio è la sicurezza delle informazioni personali nei sistemi bancari online.

La base teorica e metodologica dello studio erano le disposizioni teoriche, il lavoro di scienziati, la ricerca di specialisti nel campo della fornitura di informazioni.

La base metodologica del lavoro del corso è stata un approccio sistematico allo studio dei problemi di sicurezza.

Usato logica, comparativa giuridica, analisi di sistema. Inoltre, il metodo di analisi strutturale utilizzato consente di studiare con la necessaria accuratezza le singole componenti del fenomeno in esame e di analizzare il rapporto di tali elementi tra loro, oltre che con l'insieme complessivo.

1. Aspetti teorici della protezione dei dati personali nei sistemi bancari online

1.1 Approcci, principi di sicurezza

Sotto la sicurezza dei sistemi informativi comprendere le misure che proteggono il sistema informativo da interferenze accidentali o deliberate nelle modalità del suo funzionamento.

Esistono due approcci principali alla sicurezza informatica.

Il primo è frammentato, all'interno del suo quadro c'è un focus sul contrasto di minacce rigorosamente definite in determinate condizioni (ad esempio, strumenti antivirus specializzati, strumenti di crittografia stand-alone, ecc.). L'approccio presenta sia vantaggi - suggerendo un elevato livello di selettività in termini di un problema rigorosamente definito, sia svantaggi - suggerendo una frammentazione della protezione - es. elementi ben definiti.

Il processo di gestione della sicurezza delle informazioni comprende le componenti mostrate in Fig. uno.

Il secondo approccio è sistemico, la sua particolarità è che all'interno del suo quadro la protezione delle informazioni è trattata su scala più ampia: viene creato un ambiente sicuro per l'elaborazione, l'archiviazione e la trasmissione delle informazioni che combina metodi e mezzi eterogenei per contrastare le minacce: software e hardware, legale, organizzativo ed economico. Attraverso tale ambiente sicuro può essere garantito un certo livello di sicurezza del sistema informativo automatizzato.

Un approccio sistematico alla sicurezza delle informazioni si basa sui seguenti principi metodologici:

obiettivo finale - la priorità assoluta dell'obiettivo finale (globale);

unità - considerazione congiunta del sistema nel suo insieme "e come insieme di parti (elementi);

connettività - considerazione di qualsiasi parte del sistema insieme alle sue connessioni con l'ambiente;

costruzione modulare - assegnazione di moduli nel sistema e sua considerazione come insieme di moduli;

gerarchie - introduzione di una gerarchia di parti (elementi) e loro classificazione;

funzionalità - considerazione congiunta della struttura e della funzione con priorità della funzione sulla struttura;

sviluppo - tenendo conto della variabilità del sistema, della sua capacità di sviluppare, espandere, sostituire parti, accumulare informazioni;

decentramento - combinazioni nelle decisioni e gestione della centralizzazione e del decentramento;

incertezza - tenendo conto delle incertezze e della casualità nel sistema.

I ricercatori moderni distinguono il seguente metodologico,

principi organizzativi e di attuazione della sicurezza delle informazioni (incluso il computer).

Il principio di legalità. Consiste nel seguire la normativa vigente in materia di sicurezza delle informazioni.

Il principio di incertezza Sorge a causa dell'ambiguità del comportamento del soggetto, ad es. chi, quando, dove e come può violare la sicurezza dell'oggetto di protezione.

Il principio dell'impossibilità di creare un sistema di protezione ideale. Deriva dal principio di incertezza e risorse limitate di questi fondi.

I principi del minimo rischio e del minimo danno Derivano dall'impossibilità di creare un sistema di protezione ideale. In conformità con esso, è necessario tenere conto delle condizioni specifiche per l'esistenza dell'oggetto della protezione in qualsiasi momento.

Il principio del tempo sicuro Implica la presa in considerazione del tempo assoluto, cioè durante il quale è necessario preservare gli oggetti di protezione; e tempo relativo, cioè il periodo di tempo dal momento del rilevamento di azioni dannose al raggiungimento dell'obiettivo da parte dell'attaccante.

Il principio della "protezione di tutti da tutti". Implica l'organizzazione di misure di protezione contro ogni forma di minaccia agli oggetti di protezione, conseguenza del principio di indeterminazione.

Principi di responsabilità personale. Assume la responsabilità personale di ciascun dipendente dell'impresa, ente e organizzazione per il rispetto del regime di sicurezza nell'ambito dei propri poteri, compiti funzionali e istruzioni vigenti.

Il principio della restrizione dei poteri comporta la limitazione dei poteri del soggetto a familiarizzare con informazioni alle quali l'accesso non è richiesto per il normale svolgimento delle sue funzioni funzionali, nonché l'introduzione di un divieto di accesso agli oggetti e alle zone ove il soggiorno non è richiesto dalla natura della sua attività.

Il principio di interazione e cooperazione. Nella sua manifestazione interna, implica la coltivazione di rapporti di fiducia tra i dipendenti responsabili della sicurezza (compresa la sicurezza delle informazioni) e il personale. In manifestazione esterna - stabilire una cooperazione con tutte le organizzazioni e le persone interessate (ad esempio, le forze dell'ordine).

Il principio di complessità e individualità Implica l'impossibilità di garantire la sicurezza dell'oggetto di protezione con una qualsiasi misura, ma solo con un insieme di misure complesse, interconnesse e duplicanti, attuate con riferimento individuale a condizioni specifiche.

Il principio delle linee di sicurezza successive Presuppone la notifica quanto prima possibile di un'invasione della sicurezza di un particolare oggetto di protezione o di un altro incidente negativo al fine di aumentare la probabilità che un allarme precoce dei dispositivi di protezione fornisca l'opportunità ai dipendenti responsabili della sicurezza determinare in tempo la causa dell'allarme e organizzare contromisure efficaci.

Principi di uguale forza e uguale potenza delle linee di difesa. La stessa forza implica l'assenza di aree non protette entro i confini della protezione. L'equivalenza implica un livello relativamente uguale di protezione delle linee di difesa in funzione del grado di minaccia per l'oggetto di protezione.

I metodi per garantire la sicurezza delle informazioni nell'azienda sono i seguenti:

Ostacolo: un metodo per bloccare fisicamente il percorso di un utente malintenzionato alle informazioni protette (alle apparecchiature, ai supporti di archiviazione, ecc.).

Il controllo di accesso è un metodo per proteggere le informazioni regolando l'uso di tutte le risorse di un sistema informativo automatizzato di un'impresa. Il controllo degli accessi include le seguenti funzioni di sicurezza:

identificazione degli utenti, del personale e delle risorse del sistema informativo (assegnazione di un identificativo personale a ciascun oggetto);

autenticazione (autenticazione) dell'oggetto o del soggetto mediante l'identificativo loro presentato;

verifica dell'autorità (verifica della conformità del giorno della settimana, dell'ora del giorno, delle risorse e delle procedure richieste alla normativa stabilita);

registrazione delle chiamate a risorse protette;

risposta (allarme, spegnimento, ritardo lavoro, rifiuto di richiesta quando si tentano azioni non autorizzate).

Il mascheramento è un metodo per proteggere le informazioni in un sistema informativo automatizzato di un'impresa mediante la sua chiusura crittografica.

La regolamentazione è un metodo di protezione delle informazioni che crea condizioni per l'elaborazione, l'archiviazione e la trasmissione automatizzate delle informazioni in base alle quali la possibilità di accesso non autorizzato ad esse sarebbe ridotta al minimo.

La coercizione è un metodo di protezione delle informazioni, in cui gli utenti e il personale del sistema sono costretti a rispettare le regole per l'elaborazione, il trasferimento e l'utilizzo delle informazioni protette sotto la minaccia di responsabilità materiale, amministrativa e penale.

La motivazione è un metodo di protezione delle informazioni che incoraggia gli utenti e il personale del sistema a non violare le regole stabilite rispettando standard morali ed etici stabiliti.

I metodi di cui sopra per garantire la sicurezza delle informazioni sono implementati utilizzando i seguenti beni fissi: fisico, hardware, software, hardware-software, crittografico, organizzativo, legislativo e morale ed etico.

I mezzi fisici di protezione sono destinati alla protezione esterna del territorio degli oggetti, alla protezione dei componenti di un sistema informativo automatizzato di un'impresa e sono implementati sotto forma di dispositivi e sistemi autonomi.

I mezzi di protezione hardware sono dispositivi elettronici, elettromeccanici e di altro tipo direttamente integrati nei blocchi di un sistema informativo automatizzato o progettati come dispositivi indipendenti e interfacciati con questi blocchi. Sono destinati alla protezione interna di elementi strutturali di strutture e sistemi informatici: terminali, processori, apparecchiature periferiche, linee di comunicazione, ecc.

Gli strumenti di protezione del software sono progettati per svolgere funzioni di protezione logica e intellettuale e sono inclusi nel software di un sistema informativo automatizzato o negli strumenti, nei complessi e nei sistemi delle apparecchiature di controllo.

Il software di protezione delle informazioni è il tipo di protezione più comune, con le seguenti proprietà positive: versatilità, flessibilità, facilità di implementazione, possibilità di cambiamento e sviluppo. Questa circostanza li rende allo stesso tempo gli elementi più vulnerabili della protezione del sistema informativo aziendale.

I mezzi di protezione hardware-software sono mezzi in cui il software (firmware) e le parti hardware sono completamente interconnessi e inseparabili.

Mezzi crittografici - mezzi di protezione mediante la conversione delle informazioni (crittografia).

Mezzi organizzativi - misure organizzative, tecniche e organizzative e legali per regolare il comportamento del personale.

Mezzi legislativi - atti giuridici del paese che regolano le regole per l'uso, l'elaborazione e la trasmissione di informazioni ad accesso limitato e che stabiliscono la responsabilità per la violazione di queste regole.

Mezzi morali ed etici: norme, tradizioni nella società, ad esempio: il codice di condotta professionale per i membri dell'Associazione degli utenti di computer negli Stati Uniti.

1.2 Modalità e mezzi di sicurezza

Per implementare le misure di sicurezza vengono utilizzati vari meccanismi di crittografia.A cosa servono questi metodi? Inizialmente, quando si inviano dati (testo, voce o disegno), non sono protetti o, come li chiamano gli esperti, sono aperti. Gli open data possono essere facilmente intercettati da altri utenti (intenzionalmente o meno). Se c'è l'obiettivo di impedire che determinate informazioni raggiungano terze parti, tali dati vengono crittografati. L'utente a cui sono destinate le informazioni specificate, quindi, le decrittografa utilizzando la trasformazione inversa del crittogramma, ricevendo i dati nella forma di cui ha bisogno.

La crittografia è simmetrica (una chiave segreta viene utilizzata per la crittografia) e asimmetrica (una chiave pubblica viene utilizzata per la crittografia e per la decrittografia un'altra, non interconnessa, ovvero, se una di esse è nota, l'altra non può essere determinata).

I meccanismi di sicurezza includono:

) I meccanismi di firma elettronica digitale si basano su algoritmi di crittografia asimmetrica e comprendono due procedure: la generazione della firma da parte del mittente e la sua identificazione da parte del destinatario. La generazione della firma da parte del mittente crittografa il blocco di dati o lo integra con un checksum crittografico e in entrambi i casi viene utilizzata la chiave segreta del mittente. Per l'autenticazione viene utilizzata una chiave pubblica.

) I meccanismi di controllo degli accessi controllano l'autorizzazione dei programmi e degli utenti ad accedere alle risorse di rete. Quando si accede a una risorsa tramite una connessione, il controllo viene eseguito sia nel punto di inizio e nei punti intermedi, sia nel punto finale.

) I meccanismi di integrità dei dati si applicano al singolo blocco e al flusso di dati. Il mittente completa il blocco trasmesso con un importo crittografico e il destinatario lo confronta con il valore crittografico corrispondente al blocco ricevuto. Una mancata corrispondenza indica una distorsione delle informazioni nel blocco.

) Meccanismi di staging del traffico. Si basano sulla generazione di blocchi da parte di oggetti AIS, sulla loro crittografia e sull'organizzazione della trasmissione sui canali di rete. Ciò neutralizza la possibilità di ottenere informazioni monitorando le caratteristiche esterne dei flussi che circolano attraverso i canali di comunicazione.

) I meccanismi di controllo dell'instradamento offrono una scelta di percorsi del flusso di informazioni attraverso la rete di comunicazione in modo tale da escludere il trasferimento di informazioni segrete su canali insicuri e fisicamente inaffidabili.

) I meccanismi di arbitrato forniscono la conferma delle caratteristiche dei dati trasferiti tra entità da un terzo. Per fare ciò, le informazioni inviate o ricevute dagli oggetti passano attraverso l'arbitro, che gli consente di confermare successivamente le caratteristiche menzionate.

I principali svantaggi del sistema di sicurezza degli oggetti economici sono:

-comprensione ristretta e non sistemica del problema della sicurezza degli oggetti;

-abbandono della prevenzione delle minacce, lavoro secondo il principio "È apparsa una minaccia - iniziamo a eliminarla";

-incompetenza in economia della sicurezza, incapacità di confrontare costi e risultati;

-"tecnocrazia" degli specialisti dei servizi di gestione e sicurezza, interpretazione di tutti i compiti nella lingua dell'area a loro familiare.

A conclusione del primo capitolo del lavoro, definiamo quanto segue. Garantire la sicurezza dei sistemi informativi è chiamato determinate misure mediante le quali proteggono il sistema informativo da interferenze accidentali o deliberate nelle modalità del suo funzionamento. Per garantire la sicurezza, sono previsti due approcci principali: 1) frammentato, all'interno del quale determinate minacce vengono contrastate a determinate condizioni; e 2) sistemico, all'interno del quale viene creato un ambiente sicuro per l'elaborazione, l'archiviazione e la trasmissione delle informazioni, combinando vari metodi e mezzi per contrastare le minacce.Vari strumenti e meccanismi sono utilizzati per proteggere le informazioni. I mezzi includono: crittografia, registrazione elettronica digitale, controllo degli accessi, impostazione del traffico, ecc.

sistema di sicurezza online bancario

2. Caratteristiche per garantire la sicurezza dei dati personali nei sistemi bancari online

2.1. Condizioni generali per garantire la sicurezza dei dati personali nei sistemi bancari online

La protezione delle informazioni personali è lo stato di protezione delle informazioni e dell'infrastruttura che le supporta (computer, linee di comunicazione, sistemi di alimentazione, ecc.) da influenze accidentali o intenzionali che possono causare danni ai proprietari o agli utenti di tali informazioni.

Inoltre, per sicurezza informatica delle credenziali si intende: assicurata l'affidabilità del funzionamento del computer; sicurezza delle credenziali di valore; protezione delle informazioni personali da modifiche delle stesse da parte di soggetti non autorizzati; conservazione delle credenziali documentate nelle comunicazioni elettroniche.

Gli oggetti della sicurezza delle informazioni in contabilità sono risorse informative contenenti informazioni classificate come segreti commerciali e informazioni riservate; nonché mezzi e sistemi di informatizzazione.

Titolare delle risorse informative, dei sistemi informativi, delle tecnologie e dei mezzi di loro ausilio è un soggetto che possiede e utilizza gli oggetti indicati ed esercita la facoltà di disporre nei limiti stabiliti dalla legge.

Un utente dell'informazione è un soggetto che si rivolge a un sistema informativo oa un intermediario per ottenere le informazioni di cui ha bisogno e le utilizza.

Le risorse informative sono documenti separati e matrici separate di documenti, documenti e matrici di documenti nei sistemi informativi.

La minaccia alla sicurezza delle informazioni risiede nel potenziale possibile azione, che, attraverso l'impatto sui componenti di un sistema personale, può causare danni ai proprietari delle risorse informative o agli utenti del sistema.

Il regime giuridico delle risorse informative è determinato dalle regole che stabiliscono:

procedura per la documentazione delle informazioni;

proprietà dei singoli documenti e dei singoli array

documenti, documenti e matrici di documenti nei sistemi informativi; categoria di informazioni in base al livello di accesso alle stesse; ordine di tutela giuridica delle informazioni.

Il principio principale violato durante l'implementazione di una minaccia informativa nella contabilità è il principio della documentazione delle informazioni. Un documento contabile ricevuto da un sistema informativo contabile automatizzato acquisisce valore legale dopo essere stato firmato da un funzionario secondo le modalità prescritte dalla legislazione della Federazione Russa.

L'intera serie di potenziali minacce nella contabilità in base alla natura del loro verificarsi può essere suddivisa in due classi: naturali (oggettive) e artificiali.

Le minacce naturali sono causate da ragioni oggettive, di norma, non dipendenti dal contabile, che portano alla distruzione totale o parziale del reparto contabilità insieme ai suoi componenti. Tali fenomeni naturali includono: terremoti, fulmini, incendi, ecc.

Le minacce create dall'uomo sono associate alle attività umane. Possono essere suddivisi in quelli non intenzionali (non intenzionali), causati dalla capacità dei dipendenti di commettere errori dovuti a disattenzione, o stanchezza, malattia, ecc. Ad esempio, quando si immettono informazioni in un computer, un contabile può premere il tasto sbagliato, commettere errori involontari nel programma, introdurre un virus o divulgare accidentalmente password.

Minacce deliberate (deliberate) sono associate alle aspirazioni egoistiche delle persone: intrusi che creano intenzionalmente documenti inaffidabili.

Le minacce alla sicurezza in termini di direzione possono essere suddivise nei seguenti gruppi:

minacce per infiltrarsi e leggere i dati dai database delle credenziali e programmi per computer il loro trattamento;

minacce alla sicurezza delle credenziali, determinandone la distruzione o la modifica, compresa la falsificazione dei documenti di pagamento (richieste di pagamento, istruzioni, ecc.);

minacce alla disponibilità dei dati che si verificano quando un utente non può accedere alle credenziali;

la minaccia di rifiuto ad eseguire operazioni, quando un utente invia un messaggio ad un altro, e quindi non conferma i dati trasferiti.

Processi informativi - i processi di raccolta, elaborazione, accumulo, archiviazione, ricerca e diffusione delle informazioni.

Sistema informativo: un insieme di documenti ordinato dal punto di vista organizzativo (array di documenti e tecnologie dell'informazione, compreso l'uso della tecnologia informatica e delle comunicazioni che implementano i processi informativi).

La documentazione delle informazioni viene eseguita secondo le modalità stabilite dalle autorità statali responsabili dell'organizzazione del lavoro d'ufficio, della standardizzazione dei documenti e dei loro array e della sicurezza della Federazione Russa.

A seconda dell'origine delle minacce, possono essere suddivise in interne ed esterne.

La fonte delle minacce interne sono le attività del personale dell'organizzazione. Le minacce esterne provengono dall'esterno dai dipendenti di altre organizzazioni, da hacker e altri.

Le minacce esterne possono essere suddivise in:

locale, che coinvolge l'intruso che entra nel territorio dell'organizzazione e ottiene l'accesso a un computer separato o a una rete locale;

le minacce remote sono tipiche per i sistemi connessi a reti globali (Internet, sistema bancario internazionale SWIFT, ecc.).

Tali pericoli sorgono più spesso nel sistema di pagamenti elettronici negli accordi di fornitori con acquirenti, nell'uso di reti Internet negli insediamenti. Le fonti di tali attacchi informativi possono essere localizzate a migliaia di chilometri di distanza. Inoltre, non sono interessati solo i computer, ma anche le informazioni contabili.

Gli errori contabili intenzionali e non intenzionali, che portano ad un aumento del rischio contabile, sono i seguenti: errori nella registrazione delle credenziali; codici errati, transazioni contabili non autorizzate; violazione dei limiti di controllo; perse Conti; errori nell'elaborazione o nell'output dei dati; errori nella formazione o correzione di directory; conti incompleti; errata assegnazione dei record per periodi; falsificazione dei dati; violazione dei requisiti degli atti normativi; violazione dei principi di politica personale; incoerenza della qualità dei servizi con le esigenze degli utenti.

Particolarmente pericolose sono le informazioni che costituiscono un segreto commerciale e relative a informazioni personali e di rendicontazione (dati su partner, clienti, banche, informazioni analitiche sulle attività di mercato). Affinché questa e simili informazioni siano tutelate, è necessario stipulare accordi con i dipendenti degli uffici di contabilità, servizi finanziari e altre funzioni economiche indicando un elenco di informazioni non soggette a diffusione al pubblico.

La protezione delle informazioni nei sistemi di contabilità automatizzata si basa sui seguenti principi di base.

Garantire la separazione fisica delle aree destinate al trattamento di informazioni classificate e non.

Sicurezza protezione crittografica informazione. Garantire l'autenticazione degli abbonati e le impostazioni degli abbonati. Fornire differenziazione dell'accesso dei soggetti e dei loro processi alle informazioni. Garantire l'accertamento dell'autenticità e dell'integrità dei messaggi documentari durante la loro trasmissione sui canali di comunicazione.

Garantire la protezione delle apparecchiature e dei mezzi tecnici del sistema, dei locali in cui sono ubicati, dalla fuga di informazioni riservate attraverso i canali tecnici.

Garantire la protezione della tecnologia di crittografia, apparecchiature, tecniche e strumenti software dalla perdita di informazioni a causa di segnalibri hardware e software.

Garantire il controllo dell'integrità del software e delle informazioni parte del sistema automatizzato.

Utilizzare come meccanismi di protezione solo domestici

Le risorse informative statali della Federazione Russa sono aperte e pubblicamente disponibili. L'eccezione sono le informazioni documentate classificate per legge come ad accesso limitato. Informazioni documentate da accesso limitato secondo i termini del suo regime giuridico, si articola in informazioni classificate come segreti di Stato e confidenziali. L'elenco delle informazioni riservate, in particolare le informazioni relative ad attività commerciali, è stabilito dal decreto del Presidente della Federazione Russa del 6 marzo 1997 n. 188 (Appendice n.) sviluppi.

Garantire misure organizzative e di protezione del regime. Si consiglia di utilizzare misure aggiuntive per garantire la sicurezza della comunicazione nel sistema.

Organizzazione della protezione delle informazioni sull'intensità, la durata e il traffico dello scambio di informazioni.

L'uso di canali e modalità di trasmissione ed elaborazione di informazioni che ne rendono difficile l'intercettazione.

La protezione delle informazioni dall'accesso non autorizzato mira a formare tre proprietà principali delle informazioni protette:

riservatezza (le informazioni classificate dovrebbero essere disponibili solo alla persona a cui sono destinate);

integrità (le informazioni sulla base delle quali vengono prese decisioni importanti devono essere affidabili, accurate e completamente protette da possibili distorsioni involontarie e dolose);

disponibilità (le informazioni e i relativi servizi informativi dovrebbero essere disponibili, pronti a servire le parti interessate ogniqualvolta se ne presenti la necessità).

I metodi per garantire la protezione delle informazioni personali sono: ostacoli; controllo accessi, mascheramento, regolazione, coercizione, induzione.

Un ostacolo dovrebbe essere considerato un metodo per bloccare fisicamente il percorso dell'attaccante verso informazioni personali protette. Questo metodo è implementato dal sistema di accesso dell'impresa, inclusa la presenza di sicurezza all'ingresso, bloccando il passaggio di persone non autorizzate all'ufficio contabilità, alla cassa, ecc.

Il controllo degli accessi è un metodo di protezione delle informazioni personali e di segnalazione, implementato attraverso:

autenticazione - stabilire l'autenticità di un oggetto o di un soggetto mediante l'identificativo presentatogli (effettuato confrontando l'identificatore inserito con quello memorizzato nella memoria del computer);

controlli autorizzativi - verifica della conformità delle risorse richieste e delle operazioni svolte con le risorse allocate e le procedure consentite; registrazione delle chiamate a risorse protette;

informare e rispondere a tentativi di azioni non autorizzate. (La crittografia è un metodo di protezione mediante la trasformazione delle informazioni (crittografia)).

Nel complesso BEST-4, la differenziazione dell'accesso alle informazioni viene effettuata a livello dei singoli sottosistemi ed è fornita impostando password di accesso separate. In configurazione iniziale oppure in qualsiasi momento mentre si lavora con il programma, l'amministratore di sistema può impostare o modificare una o più password. La password viene richiesta ogni volta che si accede al sottosistema.

Inoltre, alcuni moduli dispongono di un proprio sistema di controllo dell'accesso alle informazioni. Fornisce la possibilità di proteggere ogni voce di menu con password speciali. Le password possono anche proteggere l'accesso a singoli sottoinsiemi di documenti primari: ad esempio, nelle AWP "Contabilità delle scorte in un magazzino" e "Contabilità per merci e prodotti" c'è la possibilità di impostare le password di accesso a ciascun magazzino separatamente, nell'AWP "Contabilità per transazioni in contanti" - password per l'accesso a ciascuna cassa, in AWS "Contabilità per i regolamenti con la banca" - password per l'accesso a ciascun conto bancario.

Di particolare rilievo è il fatto che per limitare efficacemente l'accesso alle informazioni, è prima necessario proteggere le modalità di determinazione delle password per l'accesso a determinati blocchi con password.

In 1C.Enterprise, versione 7.7, è presente la propria protezione delle informazioni - diritti di accesso Per integrare e separare l'accesso dell'utente alle informazioni quando si lavora con il sistema 1C.Enterprise su una rete di personal computer, il configuratore di sistema consente di impostare i diritti per ogni utente di lavorare con il sistema di elaborazione delle informazioni. I diritti possono essere impostati in una gamma abbastanza ampia, dalla possibilità di visualizzare solo determinati tipi di documenti a una serie completa di diritti per immettere, visualizzare, correggere ed eliminare qualsiasi tipo di dati.

L'assegnazione dei diritti di accesso a un utente viene eseguita in 2 fasi. Nella prima fase vengono creati insiemi standard di diritti per lavorare con le informazioni, che, di norma, differiscono per l'ampiezza delle opportunità di accesso fornite. Nella seconda fase, all'utente viene assegnato uno di questi insiemi standard di diritti.

Tutto il lavoro sulla creazione di set standard di diritti viene eseguito nella scheda "Diritti" della finestra "Configurazione". Tale finestra si richiama a video selezionando la voce "apri configurazione" dal menu "Configurazione" del menu principale del programma

2.2 Un insieme di misure per garantire la sicurezza dei dati personali nei sistemi bancari online

La giustificazione di una serie di misure per garantire la sicurezza dei dati personali nell'ISPD viene effettuata tenendo conto dei risultati della valutazione del rischio di minacce e determinando la classe dell'ISPD sulla base delle "Misure di base per organizzare e garantire tecnicamente la sicurezza di dati personali trattati nei sistemi informatici per i dati personali”.

Allo stesso tempo, dovrebbero essere definite misure per:

identificazione e chiusura dei canali tecnici di perdita di PD nell'ISPD;

protezione del PD da accessi non autorizzati e azioni illecite;

installazione, configurazione e utilizzo di strumenti di protezione.

Le misure per identificare e chiudere i canali tecnici di perdita di PD nell'ISPD sono formulate sulla base dell'analisi e della valutazione delle minacce alla sicurezza PD.

Le misure per proteggere i dati personali durante il loro trattamento in ISPD da accessi non autorizzati e azioni illegali includono:

controllo di accesso;

registrazione e contabilità;

garantire l'integrità;

controllo dell'assenza di capacità non dichiarate;

protezione antivirus;

garantire l'interconnessione sicura degli ISPD;

analisi della sicurezza;

rilevamento delle intrusioni.

Si raccomanda di implementare il sottosistema di controllo accessi, registrazione e contabilità sulla base di strumenti software per il blocco di azioni, segnalazioni e registrazioni non autorizzate. Questi sono speciali, non inclusi nel nucleo di nessuno sistema operativo software e hardware-mezzi software per la protezione dei sistemi operativi stessi, delle banche dati elettroniche PD e dei programmi applicativi. Svolgono funzioni di protezione indipendentemente o in combinazione con altri mezzi di protezione e sono finalizzate ad eliminare o rendere difficoltosa l'esecuzione di azioni pericolose per ISPD da parte di un utente o di un intruso. Questi includono utilità speciali e sistemi software di protezione che implementano le funzioni di diagnostica, registrazione, distruzione, segnalazione e imitazione.

Gli strumenti diagnostici eseguono test file system e PD, raccolta costante di informazioni sul funzionamento degli elementi del sottosistema di sicurezza delle informazioni.

Gli strumenti di distruzione sono progettati per distruggere i dati residui e possono prevedere la distruzione di emergenza dei dati in caso di minaccia di manomissione che non può essere bloccata dal sistema.

I mezzi di segnalazione sono progettati per avvisare gli operatori quando accedono a PD protette e per avvisare l'amministratore quando viene rilevato un fatto di accesso non autorizzato alla PD e altri fatti di violazione del normale modo di funzionamento dell'ISPD.

Gli strumenti di simulazione simulano il lavoro con i trasgressori quando si tenta di accedere a PD o software protetti. L'imitazione consente di aumentare il tempo per determinare l'ubicazione e la natura dell'UA, che è particolarmente importante nelle reti geograficamente distribuite, e di informare erroneamente l'autore del reato sull'ubicazione del PD protetto.

Il sottosistema di integrità è implementato principalmente dai sistemi operativi e dai sistemi di gestione dei database. I mezzi per migliorare l'affidabilità e garantire l'integrità dei dati trasmessi e l'affidabilità delle transazioni integrate nei sistemi operativi e nei sistemi di gestione dei database si basano sul calcolo dei checksum, sulla notifica di un errore nella trasmissione di un pacchetto di messaggi e sulla ritrasmissione di un messaggio non accettato pacchetto.

Il sottosistema per il monitoraggio dell'assenza di capacità non dichiarate viene implementato nella maggior parte dei casi sulla base di sistemi di gestione di database, strumenti di protezione delle informazioni e strumenti di protezione delle informazioni antivirus.

Per garantire la sicurezza di PD e dell'ambiente hardware e software ISPD che elabora queste informazioni, si consiglia di utilizzare speciali strumenti di protezione antivirus che eseguano:

rilevamento e (o) blocco degli impatti di virus distruttivi sul software applicativo e di sistema che implementa l'elaborazione del PD, nonché sul PD;

rilevamento e rimozione di virus sconosciuti;

garantendo l'autocontrollo (prevenzione delle infezioni) di questo strumento antivirus quando viene lanciato.

Quando si sceglie la protezione antivirus, è consigliabile considerare i seguenti fattori:

compatibilità di questi strumenti con il software ISPD standard;

il grado di diminuzione delle prestazioni del funzionamento dell'ISPD per il suo scopo principale;

disponibilità di mezzi per la gestione centralizzata del funzionamento della protezione antivirus dal posto di lavoro dell'amministratore della sicurezza delle informazioni in ISPD;

la capacità di notificare tempestivamente all'amministratore della sicurezza delle informazioni nell'ISPD tutti gli eventi e i fatti della manifestazione degli effetti matematici del programma (PMI);

disponibilità di documentazione dettagliata sul funzionamento della protezione antivirus;

la capacità di eseguire test periodici o autotest della protezione antivirus;

la possibilità di aumentare la composizione dei dispositivi di protezione PMA con nuovi fondi aggiuntivi senza significative restrizioni sulle prestazioni dell'ISPD e "conflitto" con altri tipi di strumenti di protezione.

Dovrebbe essere inclusa una descrizione della procedura per l'installazione, la configurazione, la configurazione e la gestione degli strumenti di protezione antivirus, nonché la procedura per le azioni in caso di attacco di virus o altre violazioni dei requisiti di protezione contro influenze programmatiche e matematiche nella guida dell'amministratore della sicurezza delle informazioni in ISPD.

Per differenziare l'accesso alle risorse ISPD durante l'internetworking, viene utilizzato il firewall, implementato da firewall software e hardware-software (ME). Un firewall viene installato tra una rete protetta, denominata rete interna, e una rete esterna. Il firewall fa parte della rete protetta. Per esso, attraverso le impostazioni, vengono impostate separatamente delle regole che limitano l'accesso dalla rete interna a quella esterna e viceversa.

Per garantire un'interazione sicura tra le reti negli ISPD delle classi 3 e 4, si consiglia di utilizzare un ME di almeno il quinto livello di sicurezza.

Per garantire un'interazione sicura tra le reti nella classe ISPD 2, si consiglia di utilizzare un ME di almeno il quarto livello di sicurezza.

Per garantire un'interazione sicura tra le reti in ISPD di classe 1, si consiglia di utilizzare ME non inferiore al terzo livello di sicurezza.

Il sottosistema di analisi della sicurezza è implementato sulla base dell'uso di strumenti di test (analisi della sicurezza) e controllo (audit) della sicurezza delle informazioni.

Gli strumenti di analisi della sicurezza vengono utilizzati per controllare le impostazioni di protezione dei sistemi operativi su workstation e server e consentono di valutare la possibilità di attacchi da parte di intrusi alle apparecchiature di rete, controllare la sicurezza del software. A tale scopo, esaminano la topologia di rete, cercano connessioni di rete non protette o non autorizzate e controllano le impostazioni del firewall. Tale analisi si basa su descrizioni dettagliate delle vulnerabilità nelle impostazioni di sicurezza (ad es. switch, router, firewall) o delle vulnerabilità nei sistemi operativi o nel software applicativo. Il risultato dello strumento di analisi della sicurezza è un report che riassume le informazioni sulle vulnerabilità rilevate.

Gli strumenti di rilevamento delle vulnerabilità possono operare a livello di rete (in tal caso sono chiamati "basati sulla rete"), a livello di sistema operativo ("basati su host") ea livello di applicazione ("basati su applicazioni"). Utilizzando il software di scansione, è possibile mappare rapidamente tutti i nodi ISDN disponibili, identificare i servizi e i protocolli utilizzati su ciascuno di essi, determinarne le impostazioni principali e formulare ipotesi sulla probabilità di UA.

Sulla base dei risultati della scansione, i sistemi sviluppano raccomandazioni e misure per eliminare le carenze individuate.

I sistemi di rilevamento delle intrusioni vengono utilizzati nell'interesse dell'identificazione delle minacce UA attraverso l'interazione tra le reti. Tali sistemi sono costruiti tenendo conto delle caratteristiche dell'implementazione degli attacchi, delle fasi del loro sviluppo e si basano su una serie di metodi per rilevare gli attacchi.

Esistono tre gruppi di metodi di rilevamento degli attacchi:

metodi di firma;

metodi di rilevamento delle anomalie;

metodi combinati (utilizzando insieme gli algoritmi definiti nei metodi di firma e nei metodi di rilevamento delle anomalie).

Per rilevare le intrusioni negli ISPD di classe 3 e 4, si consiglia di utilizzare sistemi di rilevamento degli attacchi di rete che utilizzano metodi di analisi delle firme.

Per rilevare le intrusioni negli ISPD di classe 1 e 2, si consiglia di utilizzare sistemi di rilevamento degli attacchi di rete che utilizzano metodi di rilevamento delle anomalie insieme a metodi di analisi delle firme.

Per proteggere il PD dalle perdite attraverso i canali tecnici, vengono applicate misure organizzative e tecniche per prevenire la perdita di informazioni acustiche (vocali), visive, nonché la perdita di informazioni dovute a radiazioni e interferenze elettromagnetiche spurie.

A conclusione del secondo capitolo del lavoro, traiamo le seguenti conclusioni. La protezione delle informazioni personali è lo stato di protezione delle informazioni e della relativa infrastruttura di supporto da impatti accidentali o intenzionali di natura naturale o artificiale, gravidi di danni ai proprietari o agli utenti di tali informazioni.Gli oggetti della sicurezza delle informazioni nella contabilità sono definiti: risorse informative contenenti informazioni classificate come segreti commerciali e informatizzazione di mezzi e sistemi. I principali metodi utilizzati nell'ambito della protezione delle informazioni sono: rilevare e proteggere direttamente.

CONCLUSIONE

Il problema della sicurezza delle informazioni degli oggetti economici è sfaccettato e necessita di ulteriori studi.

Nel mondo moderno, l'informatizzazione sta diventando una risorsa nazionale strategica, una delle principali ricchezze di uno stato economicamente sviluppato. Il rapido miglioramento dell'informatizzazione in Russia, la sua penetrazione in tutte le sfere degli interessi vitali dell'individuo, della società e dello stato, oltre agli indubbi vantaggi, ha portato all'emergere di una serie di problemi significativi. Uno di questi era la necessità di proteggere le informazioni. Considerando che attualmente il potenziale economico è sempre più determinato dal livello di sviluppo dell'infrastruttura informatica, la potenziale vulnerabilità dell'economia agli impatti informativi è in proporzione crescente.

L'implementazione di minacce alla sicurezza delle informazioni costituisce una violazione della riservatezza, dell'integrità e della disponibilità delle informazioni. Dal punto di vista di un approccio sistematico alla protezione delle informazioni, è necessario utilizzare l'intero arsenale di mezzi di protezione disponibili in tutti gli elementi strutturali di un oggetto economico e in tutte le fasi del ciclo tecnologico dell'elaborazione delle informazioni. I metodi e i mezzi di protezione devono bloccare in modo affidabile modi possibili accesso non autorizzato a segreti protetti. L'efficacia della sicurezza delle informazioni significa che i costi della sua attuazione non dovrebbero superare le possibili perdite derivanti dall'attuazione di minacce informatiche. La pianificazione della sicurezza delle informazioni viene realizzata attraverso lo sviluppo di piani di sicurezza delle informazioni dettagliati da parte di ciascun servizio. È necessaria chiarezza nell'esercizio dei poteri e dei diritti degli utenti di accedere a determinati tipi di informazioni, nel garantire il controllo dei dispositivi di protezione e la risposta immediata al loro guasto.

BIBLIOGRAFIA

1.Tecnologie informatiche automatizzate in ambito bancario / ed. prof. G.A. Titorenko. - M.: Finstatinform, 2007

2.Tecnologie informatiche automatizzate in economia / Ed. prof. G.A. Titorenko. - M.: UNITI, 2010

.Ageev AS Organizzazione e moderni metodi di protezione delle informazioni. - M.: Riguarda "Bank. Business Center", 2009

.Adzhiev, V. Miti sulla sicurezza del software: lezioni da famosi disastri. - Sistemi aperti, 199. n. 6

.Alekseev, VI Sicurezza delle informazioni dei comuni. - Voronezh: Casa editrice di VGTU, 2008.

.Alekseev, VM Criteri internazionali per valutare la sicurezza delle tecnologie dell'informazione e la loro applicazione pratica: Libro di testo. - Penza: Casa editrice Penz. stato Università, 2002

.Alekseev, VM Disposizione normativa di protezione delle informazioni da accessi non autorizzati. - Penza: Casa editrice Penz. stato università, 2007

.Alekseev, VM Garantire la sicurezza delle informazioni nello sviluppo di software. - Penza: Casa editrice Penz. stato università, 2008

.Aleshin, LI Protezione delle informazioni e sicurezza delle informazioni: lezioni di L. I. Aleshin; Mosca stato Università di Cultura. - M.: Moschea. stato Università di Cultura, 2010

.Akhramenka, NF ecc. Delitto e punizione in sistema di pagamento con documenti elettronici// Gestione della sicurezza delle informazioni, 1998

.Banche e operazioni bancarie. Libro di testo / Ed. EF Zhukov. - M.: Banche e borse, UNITI, 2008

.Barsukov, V.S. Sicurezza: tecnologie, mezzi, servizi. - M.: Kudits - Obraz, 2007

.Baturin, Yu.M. Problemi di diritto informatico. - M.: Yurid. lett., 1991

.Baturin, Yu.M. Criminalità informatica e sicurezza informatica. M.: Yur.lit., 2009

.Bezrukov, NN Introduzione alla virologia informatica. Principi generali di funzionamento, classificazione e catalogo dei virus più diffusi in M5-005. K., 2005

.Bykov, VA Commercio elettronico e sicurezza / V. A. Bykov. - M.: Radio e comunicazione, 2000

.Varfolomeev, AA Informazioni di sicurezza. Fondamenti matematici della crittografia. Parte 1. - M.: MEPHI, 1995

.Vechov, V.B. Reati informatici: modalità di commissione e divulgazione. - M.: Diritto e diritto, 1996

.Volobuev, S.V. Introduzione alla sicurezza delle informazioni. - Obninsk: aggiornamento. Istituto di Energia Atomica, 2001

.Volobuev, S.V. Sicurezza delle informazioni dei sistemi automatizzati. - Obninsk: aggiornamento. Istituto di Energia Atomica, 2001

.Conferenza scientifica e pratica tutta russa "La sicurezza dell'informazione nel sistema di istruzione superiore", 28-29 novembre. 2000, NSTU, Novosibirsk, Russia: IBVSh 2000. - Novosibirsk, 2001

23.Galatenko, VA Sicurezza delle informazioni: un approccio pratico di V. A. Galatenko; ed. V. B. Betelina; Ros. acad. Scienze, Nauch.-issled. sistemi in-t. ricerca - M.: Nauka, 1998

.Galatenko, V.A. Fondamenti di sicurezza delle informazioni: un corso di lezioni. - M.: Internet-Un-t informa. tecnologie, 2003

.Gennadieva, E.G. Fondamenti teorici dell'informatica e della sicurezza delle informazioni. - M.: Radio e comunicazione, 2000

.Ghica, Sebastian Narchis. Nascondere le informazioni nei file grafici del formato BMP Dis. ... can. tecnico. Scienze: 13.05.19 - San Pietroburgo, 2001

.Gika, SN Nascondere le informazioni nei file grafici del formato BMP: Estratto della tesi. dis. ... can. tecnico. Scienze: 13.05.19 San Pietroburgo. stato in-t-toch. meccanica e ottica. - San Pietroburgo, 2001

.Golubev, V.V. Gestione della sicurezza. - San Pietroburgo: Pietro, 2004

.Gorbatov, V.S. Informazioni di sicurezza. Fondamenti di tutela giuridica. - M.: MEPHI (TU), 1995

.Gorlova, I.I., rosso. Libertà dell'informazione e sicurezza dell'informazione: Atti dell'internazionale. scientifico Conf., Krasnodar, 30-31 ott. 2001 - Krasnodar, 2001

.Grinsberg, AS e altro Tutela delle risorse informative della pubblica amministrazione. - M.: UNITI, 2003

.La sicurezza dell'informazione della Russia nel contesto della società dell'informazione globale "INFOFORUM-5": sab. materiali del 5° All-Russian. conf., Mosca, 4-5 feb. 2003 - M.: OOO Rosso. rivista Affari e sicurezza della Russia, 2003

.Sicurezza delle informazioni: sab. metodo. Materiali Ministero della Pubblica Istruzione Ros. Federazioni [e altre]. - M.: TsNIATOMINFORM, 2003

34.Tecnologie dell'informazione // Economia e vita. N. 25, 2001

35.Le tecnologie dell'informazione nel marketing: libro di testo per le università - M.: 2003

.Tecnologie dell'informazione in economia e gestione: libro di testo / Kozyrev A.A. - M.: casa editrice di Mikhailov V.A., 2005

.Lopatin, V.N. Sicurezza delle informazioni della Russia Dis. ... Dr. jurid. Scienze: 12.00.01

.Lukashin, VI Informazioni di sicurezza. - M.: Moschea. stato Università di Economia, Statistica e Informatica

.Luchin, IN, Zheldakov AA, Kuznetsov NA Hacking password protection // Informatizzazione dei sistemi delle forze dell'ordine. M., 1996

.McClure, Stuart. Hacking del web. Attacchi e difesa Stuart McClure, Saumil Shah, Srirai Shah. - M.: Williams, 2003

.Malyuk, AA Fondamenti teorici di formalizzazione della valutazione predittiva del livello di sicurezza delle informazioni nei sistemi informatici. - M.: MEPHI, 1998 SPb., 2000

.Efficienza economica dei sistemi di sicurezza delle informazioni. Chebotar PP - Accademia Moldava di Economia, 2003

.Yakovlev, V.V. Sicurezza delle informazioni e protezione delle informazioni nelle reti aziendali del trasporto ferroviario. - M., 2002

.Yarochkin, VI Informazioni di sicurezza. - M.: Mir, 2003

.Yarochkin, VI Informazioni di sicurezza. - M.: Fondo "Mir", 2003: Acad. Progetto

.Yasenev, V.N. Sistemi informativi automatizzati nell'economia e garantire la loro sicurezza: libro di testo. - N.Novgorod, 2002

Lavori simili a - Protezione dei dati personali nei sistemi bancari online

Dzhabrail Matiev, responsabile della protezione dei dati personali per la parte commerciale dell'aziendaReignVox

Il lavoro costante con enormi matrici di dati dei clienti richiede che una banca di qualsiasi formato lavori costantemente nel campo della protezione di questi dati.

Ecco perché il tema della sicurezza delle informazioni, e con esso il tema della fiducia, è particolarmente rilevante nel settore finanziario. Inoltre, l'obbligo di proteggere tutti i dati personali inclusi nella struttura del sistema informativo di una moderna società finanziaria è anche giuridicamente giustificato - la legge federale n. 152 "Sui dati personali" obbliga chiaramente ogni società che tratta questi dati a proteggerli rigorosamente termini definiti. I sistemi informativi nuovi ed esistenti che trattano i dati personali devono essere adeguati ai requisiti di legge entro il 1° gennaio 2011. Dato un lasso di tempo così rigorosamente definito, le organizzazioni che trattano tali informazioni hanno sempre meno tempo per conformarsi ai requisiti di legge.

Come iniziare a lavorare sulla protezione dei dati personali? Quali sono i tempi di consegna previsti? Chi è responsabile dell'esecuzione del lavoro? Qual è il costo medio del progetto e come ridurre al minimo i costi? Tutti questi problemi sono rilevanti oggi per qualsiasi azienda che opera nel settore finanziario. Le risposte degli esperti ci consentono di fornire a ReignVox una vasta esperienza nel campo della protezione dei dati personali nelle strutture finanziarie.

La vita in modalità conto alla rovescia

La legge federale n. 152 "Sui dati personali" entra in vigore il 1 gennaio 2011, con oltre sei mesi di anticipo rispetto alla scadenza fissata dal legislatore. Ma non lasciarti ingannare dall'idea di troppo tempo.

In primo luogo, l'attuazione di un progetto volto a soddisfare i requisiti in materia di protezione dei dati personali richiede da quattro a sei mesi, a seconda della sua complessità. Ma questa cifra non è definitiva - i termini possono aumentare fino a sei-otto mesi a causa del periodo che la banca impiegherà a scegliere un degno integratore per lo sviluppo e il mantenimento del progetto. L'esecuzione di questo tipo di lavoro da sola è irta per la banca di una perdita di obiettività nella fase di esame e analisi, dei mezzi di protezione esistenti in essa, nonché della necessità di trovare risorse di lavoro separate per questo lavoro. In questo caso, si dovrebbero anche tenere presenti fattori come la disponibilità di specialisti formati nel campo della protezione dei dati personali, la necessaria quantità di supporto normativo e metodologico e risorse gratuite per il compito stesso di proteggere i dati personali. La pratica dimostra che di solito sono gli integratori di terze parti a soddisfare tutti questi requisiti in un complesso.

In secondo luogo, tornando al tema delle scadenze previste dalla legge “Sui Dati Personali” per gli operatori di dati (e il fatto che le banche siano solo tali operatori non è più una questione di principio), qualunque cosa dicano del loro “trasferimento” , sono già in corso i primi controlli dei regolatori. La conclusione è abbastanza logica: la rilevanza del problema non solo è stata preservata, è aumentata molte volte e la sua soluzione sta diventando un'esigenza urgente.

"E la bara si è appena aperta..."

Di recente si sono attive discussioni circa il compito di allineare l'ISPD alle disposizioni della Legge "Sui dati personali", il cui risultato si riduce principalmente a una cosa: la soluzione di questo compito è molto problematica a causa della combinazione delle sue caratteristiche organizzative e giuridiche. Questa conclusione non è del tutto corretta: la prassi di applicazione dei requisiti in materia di protezione dei dati personali, apparsa nel corso del primo trimestre 2010 (anche nel settore bancario), conferma la chiarezza e l'interpretazione dei requisiti dell'ISPD. La loro formulazione, attuazione e conferma documentale di quest'ultima con il minimo rischio di eventuali errori non è tanto difficile nella sua attuazione quanto importante dal punto di vista della sicurezza dell'attività bancaria. Ancor di più semplifica il compito è la possibilità di affidarlo a un integratore terzo, i cui specialisti completeranno in modo rapido e professionale il progetto di protezione dei dati personali, tenendo conto delle caratteristiche individuali dell'attività bancaria.

Pertanto, la prima priorità è la scelta di una società di integrazione, a cui sarà affidato il progetto.

"Standard" = "Esclusivo"?

Un tale segno di uguale tra questi concetti che si escludono a vicenda ha il diritto di esistere. Questa affermazione è supportata dall'esperienza pratica di progetti di protezione dei dati personali di successo già completati da ReignVox.

Da un lato, ciascuno di questi progetti comprende un numero standard di fasi: la fase di esame dei sistemi informativi sui dati personali, la fase di progettazione di un sistema di protezione dei dati personali, la fase di attuazione dell'SPPD, la fase di valutazione della conformità dell'ISPD con il requisiti della legge e la fase di supporto del sistema creato. Inoltre, la valutazione del rispetto dell'ISPD, come fase, è facoltativa e viene effettuata a discrezione dell'azienda cliente. Così come la fase di supporto del sistema creato.

La tipicità di solito termina nella prima fase (la fase del rilevamento dei sistemi informativi), poiché è questa fase che consente di identificare e descrivere quelle requisiti che verranno presentati in futuro ai sistemi. E questi parametri sono già individuali e focalizzati su ogni specifico cliente, ottimizzati in base alle sue esigenze.

Nel corso di questa indagine vengono analizzate le risorse informative, le soluzioni standard utilizzate nella realizzazione delle infrastrutture informatiche, i flussi informativi dei dati personali, i sistemi disponibili e gli strumenti di sicurezza delle informazioni.

Nella stessa fase, viene sviluppato un modello di minacce e violatore della sicurezza del PD, viene valutata la necessità di garantire la sicurezza del PD nell'ISPD utilizzando mezzi crittografici.

Lo schema classico per lo svolgimento della seconda fase comprende un audit del quadro normativo e una valutazione della sua conformità ai requisiti delle autorità di regolamentazione. Il suo risultato è lo sviluppo dei documenti interni mancanti, nonché lo sviluppo di termini di riferimento per lo sviluppo di SZPDn. Nella stessa fase, l'integratore procede allo sviluppo diretto di una serie di misure per la protezione delle informazioni.

Al termine di questa fase, la banca è già abbastanza in grado di superare con successo il test di uno dei regolatori.

L'essenza della terza fase è implementare i sistemi e configurare gli strumenti di protezione esistenti. Dopo il collaudo, se necessario, viene finalizzato il complesso hardware e software.

In ciascuna delle fasi descritte, l'azienda ReignVox, in qualità di integratore, deve affrontare vari compiti aggiuntivi a causa delle specifiche dell'attività gestita dall'azienda cliente, delle sue dimensioni, dell'infrastruttura, dell'attività dei processi aziendali e di molti altri punti. E ogni volta da una moltitudine di tali componenti si forma un nuovo concetto adattato individualmente del progetto di protezione dei dati personali.

"...e le pecore sono al sicuro"

Minimizzazione dei costi, ottimizzazione del budget, risparmio - qualunque frase tu scelga, l'essenza rimane la stessa - un approccio razionale all'uso delle risorse finanziarie - è lui la seconda pietra angolare del successo di una struttura finanziaria (dopo la fiducia, ovviamente ). E quindi, il desiderio di ridurre il più possibile i costi senza compromettere la sicurezza delle informazioni è naturale e abbastanza realizzabile.

Il costo di un progetto standard medio per creare un sistema di protezione dei dati personali per una struttura bancaria è di circa 1,5 milioni di rubli. Nel calcolo di tale importo si tiene conto anche di una serie di principi, a seguito dei quali è possibile ridurre il budget per la creazione di un sistema di protezione dei dati personali.

Prima di tutto, ci sforziamo di preservare il più possibile l'infrastruttura IT esistente nell'organizzazione. Solitamente si parla di due scenari polari per la protezione dei dati personali. La prima è un'alterazione radicale di tutti gli ISPD, e la seconda è formale, consistente solo nell'emissione di documenti normativi interni, senza apportare modifiche agli ISPD. Riteniamo ottimale la terza opzione, che consiste proprio nel mantenimento dell'attuale infrastruttura informatica della banca, accompagnata da una modifica di alcuni suoi elementi, aggiungendone di nuovi necessari per garantire il rispetto della legge.

In questo caso, stiamo parlando del primo principio, basato su massimo utilizzo degli strumenti di sicurezza delle informazioni esistenti durante la progettazione di sistemi di sicurezza delle informazioni. Gli strumenti di protezione in qualsiasi azienda vengono utilizzati indipendentemente dalla necessità di proteggere i dati personali, si tratta di sistemi di protezione antivirus e strumenti di controllo degli accessi integrati nel sistema operativo e firewall e molti altri mezzi. Pertanto, il numero massimo di requisiti è chiuso dai mezzi di protezione esistenti. E solo nel caso in cui alcuni requisiti non siano soddisfatti dagli attuali mezzi di protezione, è necessario acquistarne e implementarne di aggiuntivi.

Il secondo principio è il principio strutturazione logica economica dei sistemi informativi dati personali. Seguendo questo principio, nell'ambito dell'attuazione di un progetto di protezione dei dati personali in una banca, diventa economicamente fattibile combinare più sistemi situati nella stessa stanza in uno, in combinazione con un downgrading di segmenti non critici. Nasce così il “Centro Elaborazione Dati” ISPD, in cui è prevista la protezione lungo il perimetro. Ciò consente di ridurre notevolmente il costo della separazione dei flussi all'interno di diversi sistemi.

Il terzo principio proteggere solo dalle minacce attuali. Allo stesso tempo, l'attualizzazione delle minacce è descritta in un documento obbligatorio per i sistemi speciali, chiamato Threat Model. Quando si attualizzano le minacce, quelle la cui probabilità è bassa e il danno durante l'implementazione è piccolo, vengono scartate.

Fermo restando l'utilizzo di metodologie già collaudate, il compito di adeguare l'ISPD di qualsiasi banca ai requisiti di legge entro il 1° gennaio 2011 è pienamente realizzabile. Per il massimo successo nell'implementazione di tali tecnologie nel settore bancario, è ancora necessario ricordare un approccio integrato per lavorare su un progetto. In questo caso, si intende l'organizzazione del lavoro congiunto di specialisti di vari dipartimenti - specialisti in tecnologie informatiche, sicurezza delle informazioni e gestione dei progetti, finanziatori, avvocati - garantendo il necessario equilibrio dell'approccio globale alla protezione dei dati critici all'interno della struttura finanziaria.

Riferimento: ReignVox è una società russa specializzata in progetti e sviluppi innovativi nel campo della tecnologia dell'informazione e nel garantire la sicurezza delle informazioni.

Lo scopo della costituzione della società è fornire servizi per garantire la protezione dei dati personali in conformità con i requisiti della legge "Sui dati personali" FZ-152 del 27 luglio 2006 e costruire sistemi integrati di sicurezza delle informazioni.

ReignVox è membro dell'organizzazione pubblica interregionale "Information Protection Association" (IPO "AZI"), membro associato della "Infocommunication Union" (Infocommunication Union) e membro dell'Associazione delle banche regionali della Russia.

ReignVox ha una significativa esperienza nell'implementazione con successo di progetti di protezione dei dati personali nelle grandi banche commerciali. Tra i suoi clienti ci sono NOTA-Bank, Vnesheconombank, CentroCredit, Tempbank, Alta-Bank, ecc.

Stima:

POSIZIONE

sulla protezione dei dati personali

Clienti (abbonati)

presso Ortes-Finance LLC

Termini e definizioni

1.1. Informazione personale— qualsiasi informazione relativa a una persona fisica identificata o determinata sulla base di tali informazioni (soggetto dei dati personali), compreso il suo cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, indirizzo di posta elettronica, numero di telefono, famiglia, stato sociale, proprietà, istruzione, professione, reddito, altre informazioni.

1.2. Trattamento dei dati personali- azioni (operazioni) con dati personali, compresa la raccolta, la sistematizzazione, l'accumulo, la conservazione, il chiarimento (aggiornamento, modifica), l'utilizzo, la distribuzione (incluso il trasferimento), la depersonalizzazione, il blocco.

1.3. Riservatezza dei dati personali— un requisito obbligatorio per il responsabile designato che ha avuto accesso ai dati personali di impedirne la diffusione senza il consenso del soggetto o altre basi giuridiche.

1.4. Diffusione dei dati personali- azioni volte al trasferimento di dati personali a una determinata cerchia di persone (trasferimento di dati personali) o alla familiarizzazione con i dati personali di un numero illimitato di persone, inclusa la divulgazione di dati personali nei media, l'inserimento nelle reti di informazione e di telecomunicazione o fornire l'accesso ai dati personali in qualsiasi modo o in altro modo.

1.5. Utilizzo dei dati personali- azioni (operazioni) con dati personali compiute al fine di prendere decisioni o compiere altre azioni che diano origine a conseguenze legali in relazione ai soggetti dei dati personali o comunque ledano i loro diritti e libertà o i diritti e le libertà di altre persone.

1.6. Blocco dei dati personali- sospensione temporanea della raccolta, sistematizzazione, accumulazione, utilizzo, diffusione dei dati personali, compreso il loro trasferimento.

1.7. Distruzione dei dati personali- azioni, a seguito delle quali è impossibile ripristinare il contenuto dei dati personali nel sistema informatico dei dati personali oa seguito delle quali i supporti materiali di dati personali vengono distrutti.

1.8. Depersonalizzazione dei dati personali- azioni, a seguito delle quali è impossibile determinare la titolarità di dati personali da parte di un determinato soggetto senza l'utilizzo di ulteriori informazioni.

1.9. Dati personali pubblici- dati personali, l'accesso di un numero illimitato di persone ai quali è concesso con il consenso dell'interessato o che, ai sensi delle leggi federali, non è soggetto all'obbligo di riservatezza.

1.10. Informazione- informazioni (messaggi, dati) indipendentemente dalla forma della loro presentazione.

1.11. Cliente (soggetto dei dati personali)- un singolo consumatore dei servizi di Ortes-Finance LLC, di seguito denominata "Organizzazione".

1.12. Operatore- un ente statale, un ente comunale, una persona giuridica o un individuo, indipendentemente o insieme ad altre persone che organizzano e (o) effettuano il trattamento dei dati personali, nonché determinare le finalità del trattamento dei dati personali, la composizione dei dati personali dati da trattare, azioni (operazioni) eseguite con dati personali. Nell'ambito del presente Regolamento, il Gestore è la Società a Responsabilità Limitata "Ortes-Finance";

2. Disposizioni generali.

2.1. Il presente Regolamento sul trattamento dei dati personali (di seguito denominato Regolamento) è stato sviluppato in conformità con la Costituzione della Federazione Russa, il Codice Civile della Federazione Russa, la Legge Federale "Sull'Informazione, tecnologie dell'informazione e sulla protezione delle informazioni", legge federale 152-FZ "Sui dati personali", altre leggi federali.

2.2. Lo scopo dell'elaborazione del Regolamento è determinare la procedura per il trattamento e la protezione dei dati personali di tutti i Clienti dell'Organizzazione, i cui dati sono oggetto di trattamento, in base all'autorità dell'operatore; garantire la protezione dei diritti e delle libertà di una persona e di un cittadino nel trattamento dei suoi dati personali, compresa la protezione dei diritti alla privacy, ai segreti personali e di famiglia, nonché stabilire la responsabilità dei funzionari che hanno accesso ai dati personali per il mancato rispetto di quanto richiesto dalle norme in materia di trattamento e protezione dei dati personali.

2.3. La procedura per l'entrata in vigore e la modifica del Regolamento.

2.3.1. Il presente Regolamento entra in vigore dal momento della sua approvazione da parte del Direttore Generale dell'Organizzazione ed è valido a tempo indeterminato, fino alla sua sostituzione con un nuovo Regolamento.

2.3.2. Le modifiche al Regolamento sono apportate sulla base degli Ordini del Direttore Generale dell'Organizzazione.

3. Composizione dei dati personali.

3.1. La composizione dei dati personali dei Clienti comprende:

3.1.1. Nome e cognome.

3.1.2. Anno di nascita.

3.1.3. Mese di nascita.

3.1.4. Data di nascita.

3.1.5. Luogo di nascita.

3.1.6. Dati del passaporto

3.1.7. Indirizzo e-mail.

3.1.8. Numero di telefono (casa, cellulare).

3.2. L'Organizzazione può creare (creare, raccogliere) e archiviare i seguenti documenti e informazioni, anche in formato elettronico, contenenti dati sui Clienti:

3.2.1. Domanda di indagine sulla possibilità di collegamento di un individuo.

3.2.2. Accordo (offerta pubblica).

3.2.3. Conferma di adesione al contratto.

3.2.5. Copie dei documenti di identità, nonché altri documenti forniti dal Cliente e contenenti dati personali.

3.2.6. Dati sui pagamenti per ordini (beni/servizi), contenenti il ​​pagamento e altri dettagli del Cliente.

4. Finalità del trattamento dei dati personali.

4.1. La finalità del trattamento dei dati personali è l'attuazione di un insieme di azioni volte al raggiungimento dell'obiettivo, tra cui:

4.1.1. Fornitura di servizi di consulenza e informazione.

4.1.2. Altre operazioni non vietate dalla legge, nonché un insieme di azioni con dati personali necessarie per l'esecuzione delle operazioni di cui sopra.

4.1.3. Al fine di soddisfare i requisiti della legislazione della Federazione Russa.

4.2. La condizione per la cessazione del trattamento dei dati personali è la liquidazione dell'Organizzazione, nonché il corrispondente requisito del Cliente.

5. Raccolta, trattamento e protezione dei dati personali.

5.1. La procedura per ottenere (raccolta) i dati personali:

5.1.1. Tutti i dati personali del Cliente devono essere ottenuti da lui personalmente con il suo consenso scritto, ad eccezione dei casi specificati nelle clausole 5.1.4 e 5.1.6 del presente Regolamento e altri casi previsti dalle leggi della Federazione Russa.

5.1.2. Il consenso del Cliente all'utilizzo dei suoi dati personali è conservato nell'Organizzazione in forma cartacea e/o elettronica.

5.1.3. Il consenso dell'interessato al trattamento dei dati personali vale per tutta la durata del contratto, nonché entro 5 anni dalla data di cessazione del rapporto contrattuale tra il Cliente e l'Organizzazione. Decorso il termine indicato, il consenso si intende prorogato per ogni successivo quinquennio in assenza di informazioni circa la sua revoca.

5.1.4. Se i dati personali del Cliente possono essere ottenuti solo da una terza parte, il Cliente deve essere informato in anticipo e deve essere ottenuto il suo consenso scritto. Una terza parte che fornisce i dati personali del Cliente deve avere il consenso del soggetto al trasferimento dei dati personali all'Organizzazione. L'Organizzazione ha l'obbligo di ottenere da un terzo che trasferisce i dati personali del Cliente la conferma che i dati personali siano stati trasferiti con il suo consenso. L'Organizzazione è obbligata, quando interagisce con i terzi, a concludere con essi un accordo sulla riservatezza delle informazioni relative ai dati personali dei Clienti.

5.1.5. L'Organizzazione ha l'obbligo di informare il Cliente circa le finalità, le presunte fonti e modalità di ottenimento dei dati personali, nonché la natura dei dati personali da ottenere e le conseguenze del rifiuto del Cliente di fornire i dati personali per dare il consenso scritto a ricevere loro.

5.1.6. Il trattamento dei dati personali dei Clienti senza il loro consenso viene effettuato nei seguenti casi:

5.1.6.1. I dati personali sono pubblici.

5.1.6.2. Su richiesta degli organi statali autorizzati nei casi previsti dalla legge federale.

5.1.6.3. Il trattamento dei dati personali è effettuato sulla base di una legge federale che ne stabilisce la finalità, le condizioni per ottenere i dati personali e la cerchia dei soggetti i cui dati personali sono oggetto di trattamento, nonché i poteri dell'operatore.

5.1.6.4. Il trattamento dei dati personali viene effettuato ai fini della conclusione e dell'esecuzione di un contratto, una delle parti di cui è oggetto di dati personali - il Cliente.

5.1.6.5. Il trattamento dei dati personali è effettuato a fini statistici, previa depersonalizzazione obbligatoria dei dati personali.

5.1.6.6. Negli altri casi previsti dalla legge.

5.1.7. L'Organizzazione non ha il diritto di ricevere ed elaborare i dati personali del Cliente relativi alla sua razza, nazionalità, opinioni politiche, convinzioni religiose o filosofiche, stato di salute, vita intima.

5.2. La procedura per il trattamento dei dati personali:

5.2.1. L'interessato fornisce all'Organizzazione informazioni affidabili su se stesso.

5.2.2. Solo i dipendenti dell'Organizzazione che sono autorizzati a lavorare con i dati personali del Cliente e hanno firmato l'Accordo di non divulgazione dei dati personali del Cliente possono avere accesso al trattamento dei dati personali dei Clienti.

5.2.3. Le seguenti persone hanno il diritto di accedere ai dati personali del Cliente nell'Organizzazione:

 Direttore Generale dell'Organizzazione;

 Dipendenti preposti alla liquidazione finanziaria (dirigente, commercialista).

 Dipendenti dell'Ufficio Relazioni con i Clienti (responsabile dell'ufficio commerciale, responsabile).

 Dipendenti IT (direttore tecnico, amministratore di sistema).

 Il cliente in quanto soggetto di dati personali.

5.2.3.1. L'elenco dei nominativi dei dipendenti dell'Organizzazione che hanno accesso ai dati personali dei Clienti è determinato dall'ordine del Direttore Generale dell'Organizzazione.

5.2.4. Il trattamento dei dati personali del Cliente potrà essere effettuato esclusivamente per le finalità stabilite dal Regolamento e nel rispetto delle leggi e degli altri atti normativi della Federazione Russa.

5.2.5. Nel determinare la portata e il contenuto dei dati personali trattati, l'Organizzazione è guidata dalla Costituzione della Federazione Russa, dalla legge sui dati personali e da altre leggi federali.

5.3. Protezione delle informazioni personali:

5.3.1. Per protezione dei dati personali del Cliente si intende l'insieme delle misure (organizzative, amministrative, tecniche, legali) volte ad impedire l'accesso non autorizzato o accidentale agli stessi, la distruzione, la modifica, il blocco, la copia, la diffusione dei dati personali degli interessati, nonché come altre azioni illegali.

5.3.2. La protezione dei dati personali del Cliente viene effettuata a spese dell'Organizzazione secondo le modalità previste dalla legge federale della Federazione Russa.

5.3.3. Per proteggere i dati personali dei Clienti, l'Organizzazione adotta tutte le misure organizzative, amministrative, legali e tecniche necessarie, tra cui:

 Protezione antivirus.

 Analisi della sicurezza.

 Rilevamento e prevenzione delle intrusioni.

 Controllo accessi.

 Registrazione e contabilità.

 Garantire l'integrità.

 Organizzazione di atti normativi e metodologici locali in materia di protezione dei dati personali.

5.3.4. L'organizzazione generale della protezione dei dati personali dei Clienti è curata dal Direttore Generale dell'Organizzazione.

5.3.5. I dipendenti dell'Organizzazione che necessitano di dati personali in relazione allo svolgimento delle loro mansioni lavorative hanno accesso ai dati personali del Cliente.

5.3.6. Tutti i dipendenti coinvolti nella ricezione, elaborazione e protezione dei dati personali dei Clienti sono tenuti a firmare un accordo di riservatezza per i dati personali dei Clienti.

5.3.7. La procedura per ottenere l'accesso ai dati personali del Cliente prevede:

 Familiarizzazione del dipendente con il presente regolamento dietro firma. Se ci sono altri atti normativi (ordini, istruzioni, istruzioni, ecc.) che regolano il trattamento e la protezione dei dati personali del Cliente, anche questi atti sono riesaminati contro la firma.

 Richiedere al dipendente (ad eccezione del Direttore Generale) l'obbligo scritto di mantenere la riservatezza dei dati personali dei Clienti e di rispettare le regole per il loro trattamento in conformità con gli atti locali interni dell'Organizzazione che regolano le questioni di garantire il sicurezza delle informazioni riservate.

5.3.8. Un dipendente dell'Organizzazione che ha accesso ai dati personali dei Clienti in relazione allo svolgimento delle proprie mansioni lavorative:

 Assicura la conservazione delle informazioni contenenti i dati personali del Cliente, con esclusione dell'accesso agli stessi da parte di terzi.

 In assenza di un dipendente, non devono esserci documenti contenenti dati personali dei Clienti sul posto di lavoro.

 Quando si reca in vacanza, durante un viaggio di lavoro e negli altri casi di lunga assenza di un dipendente sul posto di lavoro, è obbligato a trasferire documenti e altri supporti contenenti dati personali dei Clienti a una persona che, per atto locale del La Società (ordine, ordine), sarà incaricata dell'esecuzione delle sue mansioni lavorative.

 Se tale persona non è nominata, i documenti e altri supporti contenenti i dati personali dei Clienti vengono trasferiti a un altro dipendente che ha accesso ai dati personali dei Clienti sotto la direzione del Direttore Generale dell'Organizzazione.

 In caso di licenziamento di un dipendente che ha accesso ai dati personali dei Clienti, i documenti e altri supporti contenenti i dati personali dei Clienti vengono trasferiti a un altro dipendente che ha accesso ai dati personali dei Clienti sotto la direzione del Direttore Generale .

 Per l'espletamento dell'incarico assegnato e sulla base di una nota con delibera positiva del Direttore Generale, l'accesso ai dati personali del Cliente può essere fornito ad un altro dipendente. È vietato l'accesso ai dati personali del Cliente da parte di altri dipendenti dell'Organizzazione che non dispongano di un accesso adeguatamente formalizzato.

5.3.9. Il Responsabile delle Risorse Umane fornisce:

 Familiarizzazione dei dipendenti con il presente regolamento dietro firma.

 Richiedere ai dipendenti l'obbligo scritto di mantenere la riservatezza dei dati personali del Cliente (Accordo di non divulgazione) e di rispettare le regole per il loro trattamento.

 Controllo generale sul rispetto da parte dei dipendenti delle misure di protezione dei dati personali del Cliente.

5.3.10. La protezione dei dati personali dei Clienti archiviati nelle banche dati elettroniche dell'Organizzazione da accessi non autorizzati, distorsioni e distruzione di informazioni, nonché da altre azioni illecite, è assicurata dall'Amministratore di sistema.

5.4. Conservazione dei dati personali:

5.4.1. I dati personali dei Clienti su supporto cartaceo sono conservati in casseforti.

5.4.2. I dati personali dei Clienti sono archiviati elettronicamente nella rete informatica locale dell'Organizzazione, in cartelle elettroniche e file nei personal computer del Direttore Generale e dei dipendenti ammessi al trattamento dei dati personali dei Clienti.

5.4.3. I documenti contenenti dati personali dei Clienti sono conservati in armadi chiudibili a chiave (cassaforti) che forniscono protezione contro l'accesso non autorizzato. Al termine della giornata lavorativa, tutti i documenti contenenti dati personali dei Clienti vengono riposti in armadi (casseforti) che garantiscono la protezione da accessi non autorizzati.

5.4.4. La protezione dell'accesso alle banche dati elettroniche contenenti i dati personali dei Clienti è assicurata da:

 L'uso di programmi anti-virus e anti-hacking con licenza che non consentono l'accesso non autorizzato rete locale Organizzazioni.

 Differenziazione dei diritti di accesso tramite un account.

 Un sistema di password in due fasi: a livello di rete informatica locale ea livello di database. Le password sono impostate dall'Amministratore di sistema dell'Organizzazione e comunicate individualmente ai dipendenti che hanno accesso ai dati personali dei Clienti.

5.4.4.1. L'accesso non autorizzato al PC, che contiene i dati personali dei Clienti, è bloccato da una password impostata dall'Amministratore di Sistema e non soggetta a divulgazione.

5.4.4.2. Tutte le cartelle elettroniche ei file contenenti dati personali dei Clienti sono protetti da una password, che viene impostata dal dipendente dell'Ente preposto al PC e segnalata all'Amministratore di Sistema.

5.4.4.3. Le password vengono modificate dall'amministratore di sistema almeno una volta ogni 3 mesi.

5.4.5. La copia e l'elaborazione di estratti dei dati personali del Cliente sono consentiti esclusivamente per scopi ufficiali con l'autorizzazione scritta del Direttore Generale dell'Organizzazione.

5.4.6. Le risposte alle richieste scritte di altre organizzazioni e istituzioni in merito ai dati personali dei Clienti sono fornite solo con il consenso scritto del Cliente, salvo diversa disposizione di legge. Le risposte vengono fornite per iscritto, su carta intestata dell'Organizzazione, e nella misura in cui non consentano di divulgare la quantità eccessiva di dati personali del Cliente.

6. Blocco, depersonalizzazione, distruzione dei dati personali

6.1. La procedura per il blocco e lo sblocco dei dati personali:

6.1.1. Il blocco dei dati personali dei Clienti viene effettuato su richiesta scritta del Cliente.

6.1.2. Il blocco dei dati personali implica:

6.1.2.2. Divieto di diffusione dei dati personali con qualsiasi mezzo (e-mail, cellulare, trasportatori di materiale).

6.1.2.4. Ritiro di documenti cartacei relativi al Cliente e contenenti i suoi dati personali dal flusso di lavoro interno dell'Organizzazione e divieto del loro utilizzo.

6.1.3. Il blocco dei dati personali del Cliente può essere temporaneamente rimosso se necessario per conformarsi alla legislazione della Federazione Russa.

6.1.4. Lo sblocco dei dati personali del Cliente viene effettuato con il suo consenso scritto (se è necessario ottenere il consenso) o con l'applicazione del Cliente.

6.1.5. Il ripetuto consenso del Cliente al trattamento dei suoi dati personali (se necessario, ottenerlo) comporta lo sblocco dei suoi dati personali.

6.2. La procedura per la depersonalizzazione e distruzione dei dati personali:

6.2.1. La depersonalizzazione dei dati personali del Cliente avviene su richiesta scritta del Cliente, a condizione che tutti i rapporti contrattuali siano completati e siano trascorsi almeno 5 anni dalla data di scadenza dell'ultimo contratto.

6.2.2. Durante la depersonalizzazione, i dati personali nei sistemi informativi vengono sostituiti da un insieme di caratteri in base ai quali è impossibile determinare se i dati personali appartengano a un determinato Cliente.

6.2.3. I supporti cartacei dei documenti vengono distrutti durante la spersonalizzazione dei dati personali.

6.2.4. L'organizzazione è obbligata a garantire la riservatezza in relazione ai dati personali se è necessario testare i sistemi informativi sul territorio dello sviluppatore e depersonalizzare i dati personali nei sistemi informatici trasferiti allo sviluppatore.

6.2.5. La distruzione dei dati personali del Cliente implica la cessazione di qualsiasi accesso ai dati personali del Cliente.

6.2.6. Quando i dati personali del Cliente vengono distrutti, i dipendenti dell'Organizzazione non possono accedere ai dati personali dell'interessato nei sistemi informatici.

6.2.7. Quando si distruggono i dati personali, i supporti cartacei dei documenti vengono distrutti, i dati personali nei sistemi informatici vengono spersonalizzati. I dati personali non possono essere recuperati.

6.2.8. L'operazione di distruzione dei dati personali è irreversibile.

6.2.9. Il periodo dopo il quale è possibile l'operazione di distruzione dei dati personali del Cliente è determinato dalla fine del periodo specificato al paragrafo 7.3 del presente Regolamento.

7. Trasferimento e conservazione dei dati personali

7.1. Trasferimento dei dati personali:

7.1.1. Per conferimento di dati personali dell'interessato si intende la diffusione di informazioni attraverso i canali di comunicazione e su supporti materiali.

7.1.2. Durante il trasferimento dei dati personali, i dipendenti dell'Organizzazione devono rispettare i seguenti requisiti:

7.1.2.1. Non divulgare i dati personali del Cliente per scopi commerciali.

7.1.2.2. Non divulgare i dati personali del Cliente a terzi senza il consenso scritto del Cliente, salvo quanto diversamente previsto dalla legge federale della Federazione Russa.

7.1.2.3. Avvertire le persone che ricevono dati personali del Cliente che tali dati possono essere utilizzati solo per le finalità per le quali sono segnalati e richiedere a tali soggetti di confermare l'osservanza di tale regola;

7.1.2.4. Consentire l'accesso ai dati personali dei Clienti solo a persone appositamente autorizzate, mentre queste persone dovrebbero avere il diritto di ricevere solo quei dati personali dei Clienti che sono necessari per svolgere funzioni specifiche.

7.1.2.5. Trasferire i dati personali del Cliente all'interno dell'Organizzazione in conformità con il presente Regolamento, la documentazione normativa e tecnologica e le descrizioni delle mansioni.

7.1.2.6. Fornire al Cliente l'accesso ai propri dati personali quando contatta o riceve una richiesta dal Cliente. L'Organizzazione è obbligata a fornire al Cliente informazioni sulla disponibilità di dati personali su di lui, nonché a fornire l'opportunità di familiarizzare con essi entro dieci giorni lavorativi dalla data della richiesta.

7.1.2.7. Trasferire i dati personali del Cliente ai rappresentanti del Cliente secondo le modalità previste dalla legge e dalla documentazione normativa e tecnologica e limitare queste informazioni solo a quei dati personali del soggetto che sono necessari affinché i rappresentanti specificati possano svolgere le loro funzioni.

7.2. Conservazione e utilizzo dei dati personali:

7.2.1. La conservazione di dati personali si riferisce all'esistenza di registrazioni nei sistemi informatici e su supporti fisici.

7.2.2. I dati personali dei Clienti sono trattati e conservati nei sistemi informatici, oltre che cartacei nell'Organizzazione. I dati personali dei Clienti sono conservati anche in forma elettronica: nella rete informatica locale dell'Organizzazione, in cartelle e file elettronici nel PC del Direttore Generale e dei dipendenti autorizzati al trattamento dei dati personali dei Clienti.

7.2.3. La conservazione dei dati personali del Cliente può essere effettuata non oltre quanto richiesto dalle finalità del trattamento, salvo diversa disposizione delle leggi federali della Federazione Russa.

7.3. Termini di conservazione dei dati personali:

7.3.1. I termini di conservazione dei contratti di diritto civile contenenti dati personali dei Clienti, nonché di accompagnamento alla loro conclusione, esecuzione di documenti - 5 anni dalla data di scadenza dei contratti.

7.3.2. Durante il periodo di conservazione, i dati personali non possono essere spersonalizzati o distrutti.

7.3.3. Dopo la scadenza del periodo di conservazione, i dati personali possono essere spersonalizzati nei sistemi informatici e distrutti su carta secondo le modalità previste dal Regolamento e dalla normativa vigente della Federazione Russa. (Appendice Legge sulla distruzione dei dati personali)

8. Diritti del gestore dei dati personali

L'organizzazione ha diritto:

8.1. Difendi i tuoi interessi in tribunale.

8.2. Fornire i dati personali dei Clienti a terzi, se previsto dalla legge applicabile (fiscali, forze dell'ordine, ecc.).

8.3. Rifiutare il conferimento dei dati personali nei casi previsti dalla legge.

8.4. Utilizzare i dati personali del Cliente senza il suo consenso, nei casi previsti dalla legislazione della Federazione Russa.

9. Diritti del Cliente

Il cliente ha diritto:

9.1. Richiedere chiarimenti sui propri dati personali, il loro blocco o distruzione se i dati personali sono incompleti, obsoleti, inaffidabili, ottenuti illecitamente o non necessari allo scopo dichiarato del trattamento, nonché adottare misure legali per tutelare i propri diritti;

9.2. Richiedere un elenco dei dati personali trattati disponibili nell'Organizzazione e la fonte della loro ricezione.

9.3. Ricevere informazioni sui termini di trattamento dei dati personali, compresi i termini della loro conservazione.

9.4. Richiedere la notifica a tutte le persone che sono state precedentemente informate di dati personali errati o incompleti di tutte le eccezioni, correzioni o integrazioni apportate agli stessi.

9.5. Ricorrere all'organismo autorizzato per la tutela dei diritti degli interessati o in giudizio contro azioni o omissioni illecite nel trattamento dei suoi dati personali.

10. Responsabilità per violazione delle norme in materia di trattamento e protezione dei dati personali

10.1. I dipendenti dell'Organizzazione colpevoli di aver violato le norme che regolano la ricezione, il trattamento e la protezione dei dati personali sono responsabili disciplinari, amministrativi, civili o penali in conformità con la legislazione vigente della Federazione Russa e gli atti locali interni dell'Organizzazione.

Probabilmente, chiunque abbia mai preso un prestito o sia un HR-th si è imbattuto in una situazione del genere quando i rappresentanti della banca chiamano il datore di lavoro e chiedono informazioni su un dipendente dell'organizzazione.

Allo stesso tempo, il più delle volte nella pratica, il datore di lavoro non soddisfa i requisiti della legge federale 152 sulla protezione dei dati personali e comunica le informazioni sul dipendente per telefono. Il datore di lavoro non può verificare il destinatario di queste informazioni e spesso il dipendente non ha il consenso scritto del dipendente a tale utilizzo dei suoi dati.

Chi in questa situazione infrange di più la legge: chi chiede o chi risponde?

In questa situazione, tutto dipende da quali documenti dell'oggetto dei dati personali hanno l'uno e l'altro. C'è una situazione in cui né colui che chiede né colui che risponde alla legge viola la legge, ma succede che entrambi violano.

Affrontiamo questo.

Quindi siamo una banca. Una persona è venuta da noi e, ai fini dell'ottenimento di un prestito, ha fornito tutti i documenti necessari, incluso un certificato di guadagno, certificato dalle firme dei responsabili del datore di lavoro e dal sigillo, nonché altri originali e copie necessari di documenti.

Ma, nonostante il certificato di guadagno originale fornito, vogliamo verificare se il richiedente un prestito lavora in questa organizzazione e se il reddito reale è indicato nel certificato fornito. In tutta onestà, va detto che di recente, le banche ancora molto spesso richiedono solo informazioni sul fatto che una determinata persona lavori in un'organizzazione specifica. Inoltre, noi, come banca, non inviamo richiesta per iscritto, con i nostri sigilli e indicando i nostri dati identificativi e non indichiamo per iscritto lo scopo della nostra richiesta, ma per velocizzare la procedura, chiamiamo semplicemente il numero di telefono indicato nei documenti forniti dal potenziale cliente della banca.

Quello che mi ha sempre sorpreso in questa procedura è una certa illogicità delle fasi di conferma dell'attendibilità dei dati forniti.

Cioè, un documento con sigilli e firme non ci soddisfa, ma per qualche motivo la risposta telefonica indicata dal dipendente ci si addice di più.

Qual è il numero di telefono del dipendente? Questo telefono appartiene davvero a questa organizzazione? Chi dall'altra parte del filo mi risponderà: Amministratore delegato? Capo contabile? Manager delle Risorse Umane? Come posso identificare che questi sono i funzionari? O forse una segretaria che lavora qui da una settimana e non conosce ancora nessuno? O un addetto alle pulizie? O una guardia? O forse, in linea di principio, qualcuno a cui lo stesso dipendente ha chiesto di rispondere in modo adeguato alla richiesta della banca? E se il telefono indicato dal dipendente non risponde, cosa significherà per la banca? Verificherà se una persona ha commesso un errore in una cifra? Potrebbe essere un problema con la compagnia telefonica? Forse l'azienda non utilizza più questo telefono e il dipendente non lo sapeva?

Ma il nostro compito è capire se le azioni delle parti: banca e datore di lavoro in questo caso siano legittime in linea di principio?

Se la banca ha il consenso scritto del soggetto per verificare le sue informazioni e ottenere informazioni dal suo datore di lavoro, le azioni della banca sono legali.

E un datore di lavoro?

Un datore di lavoro può legalmente inviare informazioni su un dipendente a una banca nei seguenti casi:

2. Il dipendente ha consentito di fornire i propri dati in forma SCRITTA a una determinata persona giuridica. Ma in questo caso, il datore di lavoro è obbligato ad assicurarsi che la richiesta provenga dalla banca a cui il dipendente ha consentito di fornire informazioni (cioè una risposta solo a una richiesta scritta).

E se il datore di lavoro non dispone di tale consenso?

Il datore di lavoro non è autorizzato a fornire informazioni sul lavoratore. Allora il datore di lavoro adempirà agli obblighi previsti dalla legge sulla protezione dei dati personali? Sì. Il dipendente riceverà un prestito se il datore di lavoro si rifiuta di fornire informazioni sul dipendente? Sconosciuto.

Inoltre, se l'organizzazione è grande e dispone di una vasta rete di divisioni separate, non è sempre possibile ottenere rapidamente tale consenso. Soprattutto nel caso in cui il dipendente decidesse spontaneamente di ricevere un prestito. E lo stesso giorno o il successivo, i dipendenti della banca chiamano il datore di lavoro per verificare l'esattezza delle informazioni fornite.

Inoltre, il consenso stesso deve essere redatto per iscritto, non basta che il dipendente chiami, ad esempio, l'ufficio del personale e gli chieda di rispondere verbalmente alla richiesta di una determinata banca.

Dopotutto, tutti sanno bene che quando un datore di lavoro fornisce informazioni sul lavoro di un determinato dipendente a una banca su richiesta telefonica, lo fa in primo luogo per proteggere gli interessi del dipendente, in modo che non sia negato un prestito. Ma automaticamente in questo caso viola la legge sulla protezione dei dati personali, se il datore di lavoro non si è preoccupato in anticipo di ottenere il consenso scritto dal lavoratore stesso.

È possibile che se le banche interrompono la pratica dei controlli telefonici illegali, ci saranno meno violazioni di questo tipo da parte del datore di lavoro.

Di recente è stata emessa una lettera della Banca di Russia del 14 marzo 2014 N 42-T "Sul rafforzamento del controllo sui rischi derivanti dagli istituti di credito quando si utilizzano informazioni contenenti dati personali dei cittadini", che raccomanda agli istituti di credito di rafforzare il controllo sul rischi derivanti dal trattamento (che, tra l'altro, raccolta) di informazioni contenenti dati personali, nonché dall'aggiornamento dei documenti interni che definiscono: la responsabilità personale dei dipendenti degli istituti di credito coinvolti nel trattamento diretto dei dati personali (compresa la raccolta) per il mantenimento e garantire la riservatezza delle informazioni generate nel processo di servizio al cliente.

Allo stesso tempo, la lettera di cui sopra affermava esplicitamente che la Banca di Russia, nell'esercitare la vigilanza sulle attività delle banche, avrebbe tenuto conto dei casi di individuazione di carenze nell'attuazione della normativa in materia di protezione dei dati personali e li avrebbe considerati come un fattore negativo nella valutazione della qualità della gestione di un ente creditizio, compresa la valutazione dell'organizzazione del sistema di controllo interno.

Resta da sperare che finalmente anche le banche osservino la normativa in materia di protezione dei dati personali, senza indurre il datore di lavoro a violare forzatamente la legge.