система защиты персон данных.

Защита персональной информации - это состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий, чреватых нанесением ущерба владельцам или пользователям этой информации.
Также под информационной безопасностью учетных данных понимают:
- обеспеченную надежность работы компьютера;
- сохранность ценных учетных данных;
- защиту персональной информации от внесения в нее изменений
неуполномоченными лицами;
- сохранение документированных учетных сведений в электронной связи.
...

ВВЕДЕНИЕ 2
1. Общие условия обеспечения безопасности персональных данных в банковской он-лайн системе ОАО «Сбербанк» России 3
2. Комплекс мероприятий обеспечения безопасности персональных данных в банковских он-лайн системах ОАО «Сбербанк» России 12
ЗАКЛЮЧЕНИЕ 18
СИПСОК ЛИТЕРАТУРЫ

Актуальность вопроса защиты персональных данных ни у кого не вызывает сомнений. В современном мире информация становится стратегическим ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства вызвали помимо несомненных преимуществ и появление ряда существенных проблем.

Особую опасность представляют сведения, составляющие коммерческую тайну и относящиеся к персональной и отчетной информации (данные о партнерах, клиентах, банках, аналитическая информация о деятельности на рынке). Чтобы эта и аналогичная информация была защищена, необходимо оформить договора с сотрудниками бухгалтерии, финансовых служб и других экономических подразделений с указанием перечня сведений, не подлежащих огласке. Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов.Обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации.Обеспечение криптографической защиты информации. Обеспечение аутентификации абонентов и абонентских установок. Обеспечение разграничения доступа субъектов и ихпроцессов к информации. Обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи.Обеспечение защиты от отказов от авторства и содержания электронных документов.Обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам.Обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок.Обеспечение контроля целостности программной и информационной части автоматизированной системы.Использование в качестве механизмов защиты только отечественныхГосударственные информационные ресурсы Российской Федерации являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа. Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную. Перечень сведений конфиденциального характера, в частности сведений, связанных с коммерческой деятельностью, установлен Указом президента Российской Федерации от 6 марта 1997 г. № 188 (приложение №)разработок. Обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе.Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации.Использование для передачи и обработки информации каналов и способов, затрудняющих перехват.Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:- конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);- целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);- готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).Методами обеспечения защиты персональной информации являются: препятствия, управление доступом, маскировка, регламентация, принуждение, побуждение.Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой персональной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.Управлением доступом является метод защиты персональной и отчетной информации, реализуемой за счет:- идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);- аутентификации - установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);- проверки полномочий - проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам; регистрации обращений к защищаемым ресурсам;- информирования и реагирования при попытках несанкционированных действий. (Криптография - способ защиты с помощью преобразования информации (шифрования)).В комплексе БЭСТ-4 разграничение доступа к информации производится на уровне отдельных подсистем и обеспечивается путем задания раздельных паролей доступа. При начальной настройке или в любой момент работы с программой администратор системы может задать или сменить один или несколько паролей. Пароль запрашивается при каждом входе в подсистему. В АРМ «Учет кассовых операций» - пароли доступа к каждой кассе, в АРМ «Учет расчетов с банком» - пароли доступа к каждому банковскому счету.Особо следует отметить то обстоятельство, что для эффективного разграничения доступа к информации необходимо в первую очередь защитить паролями сами режимы определения паролей по доступу к тем или иным блокам. В 1С Предприятие, версия 7.7 существует своя защита информации - права доступа. С целью интеграции и разделения доступа пользователей к информации при работе с системой 1С Предприятие в сети персональных компьютеров, конфигуратор системы позволяет установить для каждого пользователя права на работу с информацией, обрабатываемой системой. Права могут быть заданы в достаточно широких пределах - от возможности только просмотра некоторых видов документов до полного набора прав по вводу, просмотру, корректировке и удалению любых видов данных.Назначение пользователю прав доступа производится в 2 этапа. На первом этапе создаются типовые наборы прав по работе с информацией, отличающиеся, как правило, широтой предоставляемых возможностей доступа. На втором этапе пользователю ставится в соответствие один из таких типовых наборов прав. Вся работа по созданию типовых наборов прав производится на закладке «Права» окна «Конфигурация». Это окно вызывается на экран выбором пункта «открыть конфигурацию» из меню «Конфигурация» главного меню программы.2. Комплекс мероприятий обеспечения безопасности персональных данных в банковских он-лайн системах ОАО «Сбербанк» РоссииОбоснование комплекса мероприятий по обеспечению безопасности ПДн в ИСПДн производится с учетом результатов оценки опасности угроз и определения класса ИСПДн на основе «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».При этом должны быть определены мероприятия по:- выявлению и закрытию технических каналов утечки ПДн в ИСПДн;- защите ПДн от несанкционированного доступа и неправомерных действий;- установке, настройке и применению средств защиты.Мероприятия по выявлению и закрытию технических каналов утечки ПДн в ИСПДн формулируются на основе анализа и оценки угроз безопасности ПДн.Мероприятия по защите ПДн при их обработке в ИСПДн от несанкционированного доступа и неправомерных действий включают:- управление доступом;- регистрацию и учет;- обеспечение целостности;- контроль отсутствия недекларированных возможностей;- антивирусную защиту;- обеспечение безопасного межсетевого взаимодействия ИСПДн;- анализ защищенности;- обнаружение вторжений.Подсистему управления доступом, регистрации и учета рекомендуется реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации. Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор информации о функционировании элементов подсистемы обеспечения безопасности информации.Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемымПДн и для предупреждения администратора при обнаружении факта НСД к ПДн и других фактов нарушения штатного режима функционирования ИСПДн.Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи не принятого пакета. Подсистема контроля отсутствия недекларированных возможностей реализуется в большинстве случае на базе систем управления базами данных, средств защиты информации, антивирусных средств защиты информации.Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, осуществляющей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты, выполняющие:- обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, - реализующее обработку ПДн, а также на ПДн;- обнаружение и удаление неизвестных вирусов;- обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.При выборе средств антивирусной защиты целесообразно учитывать следующие факторы:- совместимость указанных средств со штатным программным обеспечением ИСПДн;- степень снижения производительности функционирования ИСПДн по основному назначению;- наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;- возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления программно-математических воздействий (ПМВ);- наличие подробной документации по эксплуатации средства антивирусной защиты;- возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;- возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты.