Защита информации: камень преткновения для системы бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии.

Презентация:

Advertisements

Похожие презентации

Правовые основы использования сертифицированных по требованиям безопасности информации программных продуктов в организациях Егоркин Игорь Васильевич начальник.

Advertisements

Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:

Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.

ФЕДЕРАЛЬНЫЙ ЗАКОН N 293-ФЗ 8 ноября 2010 г. О внесении изменений в отдельные законодательные акты Российской Федерации в связи с совершенствованием контрольно-

Требования постановления Правительства РФ от г. 24 «Об утверждении стандартов раскрытия информации субъектами оптового и розничных рынков электрической.

1 Соответствие Региональной информационно- аналитической системы требованиям Концепции государственного учета Директор департамента Корпорации ПАРУС –

АКТУАЛИЗАЦИЯ АДМИНИСТРАТИВНЫХ РЕГЛАМЕНТОВ

Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.

Выполнил студент гр.524-3: Бугрименко А. В.. ( в ред. Федеральных законов от N 131- ФЗ, от N 86- ФЗ, от N 153- ФЗ, от.

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.

Нормативно - правовое обеспечение лицензирования образовательной деятельности и лицензионного контроля Похабова Светлана Валерьевна, главный специалист.

Единая государственная информационная система мониторинга процессов государственной научной аттестации.

Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.

Основные понятия Законодательство в сфере защиты информации.

Практический опыт реализации положений Федерального закона от ФЗ «О персональных данных» в повседневной банковской деятельности Казакевич.

Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.

Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.

Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.

Защита персональных данных в информационных системах 24 ноября 2010 года.

Транксрипт:

Защита информации: камень преткновения для системы бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н. АЗИ Защита информации в бюро кредитных историй

Темы доклада АЗИ Защита информации в бюро кредитных историй Примеры мировой практики нарушения режима информационной безопасности Идеология построения систем защиты информации Классификация объекта защиты Комплекс имущественных отношений, связанных с защитой объекта Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты

Примеры мировой практики АЗИ Защита информации в бюро кредитных историй Федеральные органы США объявили о том, что у Experian (кредитное бюро) были похищены 43,000 кредитные истории. Похитил данные бывший сотрудник ИТ компании, которая разрабатывала программное обеспечение для кредитных бюро. Общий ущерб в результате хищения составил 10 млн. долларов.

Примеры мировой практики АЗИ Защита информации в бюро кредитных историй Equifax Canada Inc (кредитное бюро) объявило о том, что кредитные истории 1,400 граждан были похищены – LexisNexis объявила, что данные о 32, 000 жителей Америки были похищены – Citigroup объявил, что данные о 3,9 млн. вкладчиков, возможно, были украдены в процессе пересылки в кредитное бюро.

Примеры мировой практики АЗИ Защита информации в бюро кредитных историй – Ezboard (финансовая компания) объявила, что подверглась массированной атаке, целью уничтожить данные о клиентах. В результате данные половины клиентов были уничтожены – Mastercard и Visa объявили, что данные о 40 млн. пользователей кредитных карт были похищены в результате хакерской атаки на системы CardSystems Solutions Inc

Идеология построения систем защиты информации АЗИ Защита информации в бюро кредитных историй Ценности Угрозы Виды воздействий Оценка долгосрочных последствий Меры защиты Приемлемость остаточного риска

Классификация объекта защиты АЗИ Защита информации в бюро кредитных историй Базовый объект защиты - консолидированная совокупность персонифицированных данных владельцев кредитных историй Вторичные объекты защиты – параметры бизнес-процессов кредитного бюро, параметры технической системы, параметры системы защиты информации, планы модернизации, планы предоставления новых услуг, данные личных дел сотрудников, алгоритмы скоринга

Комплекс информационных отношений, связанных с защитой объекта АЗИ Защита информации в бюро кредитных историй Субъекты отношений: Субъект гражданского оборота (носитель кредитной истории) Лицо, осуществляющее первоначальный сбор данных о носителе кредитной истории Кредитное бюро Потребители услуг кредитного бюро Центральный Банк Государство

Носитель кредитной истории АЗИ Защита информации в бюро кредитных историй заинтересован в том, чтобы его персональные данные обращались в режиме конфиденциальности

Лицо, осуществляющее первоначальный сбор данных АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: все процедуры сбора и дальнейшей передачи были юридически выверены сбор, хранение и передача информации в кредитное бюро были технически реализованы в соответствии с нормативными требованиями и необходимым уровнем риска.

Кредитное бюро АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: Размер и вид ответственности кредитного бюро за нарушение безопасности персональных данных были четко определены Требования к кредитным бюро по защите информации со стороны государственных органов были однозначны и устойчивы Лица, собирающие информацию, и потребители услуг кредитного бюро выполняли требования государства и кредитного бюро по защите информации

Потребители услуг кредитного бюро АЗИ Защита информации в бюро кредитных историй заинтересованы в том, чтобы они могли: Использовать персональные данные граждан на законных основаниях Требования по защите информации, предъявляемые к ним со стороны государства и кредитного бюро были четкими

Центральный Банк АЗИ Защита информации в бюро кредитных историй выполняя возложенные на него функции развития и укрепления банковской системы и используя имеющиеся полномочия, регулирует нормативными актами вопросы защиты персональных данных граждан

Государство АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы персональные данные граждан находились под защитой с этой целью государство предоставляет право специальным органам полномочия устанавливать правила обращения персональных данных граждан

Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты АЗИ Защита информации в бюро кредитных историй Основными причинами ущерба от нарушения безопасности информации в кредитном бюро являются: - Нарушения конфиденциальности информации - Нарушения целостности информации - Нарушения доступности информации Данные угрозы могут исходить от умышленных или неумышленных действий внутренних или внешних (по отношению к владельцу баз данных) лиц

Основные виды угроз безопасности ИС и информации АЗИ Защита информации в бюро кредитных историй Основными видами угроз безопасности ИС и информации (угроз интересам субъектов информационных отношений) являются: сбои и отказы оборудования (технических средств) информационных систем последствия ошибок проектирования и разработки компонентов информационных систем (аппаратных средств, технологии обработки информации, программ, структур данных) ошибки эксплуатации (пользователей, операторов и другого персонала) преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников) стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар)

Модель наиболее опасного нарушителя АЗИ Защита информации в бюро кредитных историй Как показывает практика, наиболее потенциально опасными являются действия группы злоумышленников, в которой участвует сотрудник организации

Оценка риска АЗИ Защита информации в бюро кредитных историй Руководство кредитного бюро может попытаться измерить риск, например, оценить какова будет прямая (в том числе, имущественная) ответственность кредитного бюро в случае появления полной базы кредитных историй на рынке или какой будет косвенный ущерб бизнесу кредитного бюро в аналогичном случае. Или оценить риск, связанный с невозможностью предоставления услуг в случае неработоспособности программно-аппаратного комплекса

Принципы построения системы мер защиты АЗИ Защита информации в бюро кредитных историй Система мер защиты информации (состав, стоимость) должна выстраиваться в зависимости от осознанного принятия руководством кредитного бюро рисков и в соответствии с требованиями законодательства.

Система мер (методы защиты) должна включать в себя: АЗИ Защита информации в бюро кредитных историй Подсистему мер на административном уровне (поддержка руководством организации работ по обеспечению защиты информации) Подсистему мер на организационном уровне (встроенность процедур и правил по защите информации в бизнес – процессы организации) Подсистему мер на техническом уровне (реализация механизмов защиты программно-техническими средствами)

АЗИ Защита информации в бюро кредитных историй В качестве примера можно привести перечень документов, которые необходимо разработать и актуализировать для внедрения и поддержки системы мер на административном и организационном уровне: Политика информационной безопасности Концепция ИБ, корпоративная политика ИБ, частные политики ИБ Требования ИБ к процессам (кто, что, где, когда) Стандарты технологий, положения, порядки, регламенты на процедуры Требования ИБ к задачам, выполняемым работниками Конфигурационные стандарты, инструкции, отчетные формы, технологические карты Свидетельства выполненной деятельности Реестры, регистрационные журналы, протоколы, акты, договоры, отчеты

Стоимость системы мер защиты АЗИ Защита информации в бюро кредитных историй Обычно стоимость системы мер защиты информации в кредитных учреждениях составляет 10 процентов от ИТ бюджета. Так как, технологическая система кредитных бюро проще систем кредитных учреждений, а защита информации также важна, то можно предположить, что стоимость системы мер защиты в кредитных бюро может составить процентов от ИТ бюджета кредитного бюро.

АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Федеральный закон Об информации, информатизации и защите информации» от г. 24-ФЗ. Гражданский кодекс РФ, ст.ст. 139, 857 Уголовный кодекс Российской Федерации Федеральный закон от г. 17-ФЗ «О внесении изменений и дополнений в Закон РСФСР «О банках и банковской деятельности в РСФСР», ст. 26 («Банковская тайна»). Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г. 1-ФЗ. Федеральный закон «О лицензировании отдельных видов деятельности» от г. 128-ФЗ. Постановление Правительства Российской Федерации от г. 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Положение ЦБР от г. 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Письмо ЦБ РФ от г. 16-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет»; Письмо ЦБ РФ от г. 70-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций»;

АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Приказ ЦБ РФ от г «О введении в действие временных требований по обеспечению безопасности технологий обработки электронных платёжных документов в системе Центрального Банка Российской Федерации»; Положение ЦБР от г. 207-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»; «О государственном лицензировании деятельности в области защиты информации» (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г.); «О сертификации средств защиты информации по требованиям безопасности информации» (Введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. Зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995г. (Свидетельство Р0СС RU БИ00)); Федеральный закон «О кредитных историях» от ФЗ

Спасибо за внимание! АЗИ Защита информации в бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н.