Защита персональных данных в кредитных организациях

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ  МАШИНОСТРОИТЕЛЬНЫЙ УНИВЕРСИТЕТ «МАМИ» (ФИЛИАЛ В Г. СЕРПУХОВЕ)

 

 

 

 

 

 

РЕФЕРАТ

 

Защита персональных данных в кредитных  организациях

по учебной  дисциплине «Защита информации»

 

 

 

 

 

 

 

Выполнил студент экономического факультета:

Сидорова Кристина

 

 

 

                                                                               Проверил преподаватель__________

 

 

 

 

 

 

 

 

 

 

Защищен                                                                                 Оценка «___»___________ 2013 г.                                                  «_________»

 

 

 

 

 

 

Серпухов – 2013

Содержание

 

Введение……………………………………………………………………………………………………..….3

1Персональные данные………………………………………………………….……………………...5

2 Система безопасности ИСПДн банка……………………………………………….................5

3 Федеральные законы  устанавливающие требования к защите персональных данных…………………………………………………………..…………………………7

4.Мероприятия по защите персональных данных……………………………...………………8

5. Способы защиты  персональных данных в каналах  связи………………..…….…..9

Заключение…………………………………………………………………………………………………..10

Список использованной литературы………………………………………………………..…11

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Для обеспечения  информационной безопасности (ИБ) персональных данных клиентов кредитно-финансовых учреждений необходимо выполнять требования международного и российского законодательства, что влечет за собой множество сложностей при реализации систем обеспечения информационной безопасности комплекса информационных систем.

В информационных системах кредитно-финансовых учреждений обрабатываются персональные данные (ПДн) не только клиентов банка и собственных  сотрудников, но и других категорий  граждан, например, акционеров и учредителей, потенциальных заёмщиков и т. д. Сведения о клиентах и о предоставляемых  им услугах являются важным информационным активом банка, их потеря или разглашение  может повлечь утрату конкурентных преимуществ и негативно отразиться на репутации кредитно-финансовой организации.

Кредитно-финансовые учреждения осуществляют обработку  ПДн на основании следующих нормативно-правовых актов:

• гражданского кодекса РФ (ГК РФ);

• Федерального закона № 218ФЗ «О кредитных историях»  от 30.12.04 г.;

• Федерального закона № 3951 «О банках и банковской деятельности»

от 02.12.1990 г.;

• трудового  законодательства Российской Федерации

(включая Трудовой  кодекс);

• постановления  Госкомстата РФ № 1 «Об утверждении  унифицированных

форм первичной  учетной документации по учету труда  и его оплаты»

от 5 января 2004 г.;

• законодательства об акционерных обществах (Федеральный  закон

№ 208ФЗ «Об акционерных  обществах» от 26.12.1995 г.).

Практически все  ключевые информационные системы банков обрабатывают персональные данные. Такими системами являются:

• банковские системы  продажи услуг face-to-face

(вклады, кассовые  операции, кредиты и т. д.);

• системы дистанционного обслуживания клиентов

(Интернет-банкинг, SMS-банкинг, Мобильный-банкинг);

системы обслуживания с помощью автоматических устройств

(банкоматы, POS-терминалы);

автоматизированные  биржевые системы;

отчетные системы (системы предоставления отчетности о клиентах);

автоматизированные  системы учета кадров;

корпоративные порталы;

системы управления взаимодействия с клиентами (CRM).

Необходимость обеспечения  высокого уровня безопасности персональных

данных, обрабатываемых в информационных системах кредитно-финансовых учреждений, обусловлена их важностью  с точки зрения бизнеса. Любой  простой системы или утечка данных могут привести к финансовым потерям  и удару по репутации, что является серьезным риском.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.Персональные данные

 

Согласно определению  из федерального закона, персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные (ПДн) в банке  находятся в следующих системах:

• Автоматизированная банковская система (АБС);

• системы Клиент-Банк;

• системы мгновенного  перевода денег;

• бухгалтерские  системы учета;

• кадровые системы  учета;

• корпоративная  информационная система;

• внутренний web-портал.

ПДн могут присутствовать на бумажных документах (договора, формы, приказы, инструкции, анкеты, соглашения и т.д.).

 

2.Система безопасности ИСПДн банка

 

На основе исходных данных, указанных в акте классификации  ИСПДн и актуализированной модели угроз, определяются механизмы безопасности, которые должны быть реализованы  в системе защиты, и конкретные требования к функциональности этих механизмов.

Рассмотрим этот тезис на примере.

Для абсолютного  большинства ИСПДн необходимо выполнение мероприятий по защите персональных данных от несанкционированного доступа (НСД) и иных неправомерных действий, включающих:

·  управление доступом;

·  регистрацию и учет;

·  обеспечение целостности;

·  контроль отсутствия недекларированных возможностей;

·  антивирусную защиту;

·  обеспечение безопасного межсетевого взаимодействия ИСПДн;

·  анализ защищенности;

·  обнаружение вторжений.

Подсистему управления доступом рекомендуется реализовывать  на базе программных средств блокирования НСД, сигнализации и регистрации (специальных, не входящих в ядро какой либо ОС средств защиты самих ОС), электронных баз персональных данных и прикладных программ, реализующих функции диагностики, регистрации, уничтожения, сигнализации, имитации.

В свою очередь, средства сигнализации должны обеспечивать предупреждение операторов при их обращении к защищаемым персональным данным, а также предупреждение администратора об обнаружении фактов:

·  НСД к персональным данным;

·  искажения программных средств защиты;

·  выхода или вывода из строя аппаратных средств защиты;

·  других фактах нарушения штатного режима функционирования ИСПДн.

Такой же анализ должен быть осуществлен и при  определении способов нейтрализации  остальных актуальных угроз, на основании  которого выбираются сертифицированные  средства защиты информации с требуемой  функциональностью. Имеющихся на данный момент сертифицированных средств  защиты информации достаточно для реализации практически всех требований, изложенных в нормативно-методических документах ФСТЭК и ФСБ, вопрос лишь в знании их возможностей и правильном сочетании.

 

3.Федеральные законы  устанавливающие требования к защите персональных данных

 

Федеральный закон  № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации»;

Федеральный закон  № 152-ФЗ от 27 июля 2006 года «О персональных данных».

Согласно требованиям  методических документов для защиты ПДн, общим для всех видов ИСПДн (Информационная система персональных данных), являются следующие подсистемы:

• подсистема контроля доступа;

• подсистема регистрации  и учета;

• подсистема обеспечения  целостности;

• подсистема межсетевой безопасности.

Если ИСПДн  подключена к сети Интернет, то необходимо дополнительно использовать следующие  подсистемы:

• подсистема антивирусной безопасности;

• подсистема обнаружения  вторжений;

• подсистема анализа  защищенности.

Также необходимо использовать электронные замки  и/или электронные ключи для  надежной идентификации и аутентификации пользователей.

Если ИСПДн  является распределенной дополнительно  для предотвращения несанкционированного доступа, путем отделения защищаемой информации от общедоступной, необходимо использовать криптографию при передаче ПДн по незащищенным каналам связи, а также, ЭЦП, для подтверждения  подлинности данных.

Такая разбивка на подсистемы и формирование на их основе перечня продуктов для  защиты ПДн является общепринятой и  используется в большинстве случаев.

Если задачей является обеспечение  только конфиденциальности ПДн, необходимо осуществлять мероприятия и/или  использовать технические средства, направленные на предотвращения несанкционированного доступа, то такая ИСПДн становится типовой.

Если дополнительно предъявляются  требования по обеспечению других свойств  информационной безопасности, таких  как обеспечение целостности, доступности, а также их производных (неотказуемость, подотчетность, адекватность, надежность и др.), то такая ИСПДн становится специальной. В большинстве случаев  любая ИСПДн будет являться специальной, то есть помимо классов ПДн для  определения механизмов защиты нужно  руководствоваться создаваемой  для этого моделью угроз.

Для того чтобы уменьшить и упростить  мероприятия по защите ПДн, Банки  идут на различные ухищрения.:

Уменьшение количества площадок

Уменьшение количества серверов

Уменьшение количества АРМ и  персонала

Разделение ИС при помощи МСЭ

Деление баз данных на части

Обезличивание ПДн

 

4.Мероприятия по защите персональных данных

 

В широком смысле под обеспечением защиты от несанкционированного доступа понимается комплекс организационных  и технических мероприятий. Эти  мероприятия основываются на понимании  механизмов предотвращения несанкционированного доступа на самых разных уровнях:

 

• идентификация  и аутентификация (также двухфакторная  или строгая). Это может быть (операционная система, инфраструктурное ПО, прикладное ПО, аппаратные средства, например электронные  ключи);

• регистрация  и учет. Это может быть журналирование (логирование, протоколирование) событий  во всех вышеперечисленных системах, ПО и средствах);

• обеспечение  целостности. Это может быть расчет по контрольным суммам контролируемых файлов, обеспечение целостности  программных компонент, использование  замкнутой программной среды, а  также обеспечение доверенной загрузки ОС);

• межсетевой экран, как шлюзовой, так и локальный;

• антивирусная безопасность(применяется до трех уровней  обороны, так называемый эшелонированный  или мультивендорный подход);

• криптография (функционально применяется на разных уровнях модели OSI (сетевой, транспортный и выше), и обеспечивает различный  защитный функционал).

 

5. Способы защиты персональных данных в каналах связи

 

Если ИСПДн  является распределенной, это означает необходимость передавать ПДн по незащищенным каналам связи. Для защиты ПДн в каналах связи могут использоваться различные способы:

• шифрование канала связи. Может обеспечиваться любым  способом, таким как VPN между шлюзами, VPN между серверами, VPN между рабочими станциями (InfoTecs ViPNet Custom, Информзащита АПКШ Континент и др.);

• пакетная коммутация MPLS. Передача пакетов происходит по различным путям в соответствии с метками, которые присваиваются сетевым оборудованием;

• шифрование документов. Может применяться различное  программное обеспечение для  шифрования файлов с данными, а также  файлы-контейнеры (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt и др.);

• шифрование архивов. Могут применяться различные  архиваторы, которые позволяют архивировать и шифровать файлы, используя  криптостойкие алгоритмы, такие  как AES. (WinRAR, WinZIP, 7-ZIP и др.).

 

 

 

    Заключение

 

Создание системы  защиты персональных данных позволит повысить доверие со стороны клиентов, организовать работу с персональными  данными в правовом поле, что сохранит конкурентоспособность кредитно-финансового  учреждения на рынке банковских услуг.