Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 10 лет назад пользователемrusipoteka.ru
1 Защита информации: камень преткновения для системы бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н. АЗИ Защита информации в бюро кредитных историй
2 Темы доклада АЗИ Защита информации в бюро кредитных историй Примеры мировой практики нарушения режима информационной безопасности Идеология построения систем защиты информации Классификация объекта защиты Комплекс имущественных отношений, связанных с защитой объекта Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты
3 Примеры мировой практики АЗИ Защита информации в бюро кредитных историй Федеральные органы США объявили о том, что у Experian (кредитное бюро) были похищены 43,000 кредитные истории. Похитил данные бывший сотрудник ИТ компании, которая разрабатывала программное обеспечение для кредитных бюро. Общий ущерб в результате хищения составил 10 млн. долларов.
4 Примеры мировой практики АЗИ Защита информации в бюро кредитных историй Equifax Canada Inc (кредитное бюро) объявило о том, что кредитные истории 1,400 граждан были похищены – LexisNexis объявила, что данные о 32, 000 жителей Америки были похищены – Citigroup объявил, что данные о 3,9 млн. вкладчиков, возможно, были украдены в процессе пересылки в кредитное бюро.
5 Примеры мировой практики АЗИ Защита информации в бюро кредитных историй – Ezboard (финансовая компания) объявила, что подверглась массированной атаке, целью уничтожить данные о клиентах. В результате данные половины клиентов были уничтожены – Mastercard и Visa объявили, что данные о 40 млн. пользователей кредитных карт были похищены в результате хакерской атаки на системы CardSystems Solutions Inc
6 Идеология построения систем защиты информации АЗИ Защита информации в бюро кредитных историй Ценности Угрозы Виды воздействий Оценка долгосрочных последствий Меры защиты Приемлемость остаточного риска
7 Классификация объекта защиты АЗИ Защита информации в бюро кредитных историй Базовый объект защиты - консолидированная совокупность персонифицированных данных владельцев кредитных историй Вторичные объекты защиты – параметры бизнес-процессов кредитного бюро, параметры технической системы, параметры системы защиты информации, планы модернизации, планы предоставления новых услуг, данные личных дел сотрудников, алгоритмы скоринга
8 Комплекс информационных отношений, связанных с защитой объекта АЗИ Защита информации в бюро кредитных историй Субъекты отношений: Субъект гражданского оборота (носитель кредитной истории) Лицо, осуществляющее первоначальный сбор данных о носителе кредитной истории Кредитное бюро Потребители услуг кредитного бюро Центральный Банк Государство
9 Носитель кредитной истории АЗИ Защита информации в бюро кредитных историй заинтересован в том, чтобы его персональные данные обращались в режиме конфиденциальности
10 Лицо, осуществляющее первоначальный сбор данных АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: все процедуры сбора и дальнейшей передачи были юридически выверены сбор, хранение и передача информации в кредитное бюро были технически реализованы в соответствии с нормативными требованиями и необходимым уровнем риска.
11 Кредитное бюро АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: Размер и вид ответственности кредитного бюро за нарушение безопасности персональных данных были четко определены Требования к кредитным бюро по защите информации со стороны государственных органов были однозначны и устойчивы Лица, собирающие информацию, и потребители услуг кредитного бюро выполняли требования государства и кредитного бюро по защите информации
12 Потребители услуг кредитного бюро АЗИ Защита информации в бюро кредитных историй заинтересованы в том, чтобы они могли: Использовать персональные данные граждан на законных основаниях Требования по защите информации, предъявляемые к ним со стороны государства и кредитного бюро были четкими
13 Центральный Банк АЗИ Защита информации в бюро кредитных историй выполняя возложенные на него функции развития и укрепления банковской системы и используя имеющиеся полномочия, регулирует нормативными актами вопросы защиты персональных данных граждан
14 Государство АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы персональные данные граждан находились под защитой с этой целью государство предоставляет право специальным органам полномочия устанавливать правила обращения персональных данных граждан
15 Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты АЗИ Защита информации в бюро кредитных историй Основными причинами ущерба от нарушения безопасности информации в кредитном бюро являются: - Нарушения конфиденциальности информации - Нарушения целостности информации - Нарушения доступности информации Данные угрозы могут исходить от умышленных или неумышленных действий внутренних или внешних (по отношению к владельцу баз данных) лиц
16 Основные виды угроз безопасности ИС и информации АЗИ Защита информации в бюро кредитных историй Основными видами угроз безопасности ИС и информации (угроз интересам субъектов информационных отношений) являются: сбои и отказы оборудования (технических средств) информационных систем последствия ошибок проектирования и разработки компонентов информационных систем (аппаратных средств, технологии обработки информации, программ, структур данных) ошибки эксплуатации (пользователей, операторов и другого персонала) преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников) стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар)
17 Модель наиболее опасного нарушителя АЗИ Защита информации в бюро кредитных историй Как показывает практика, наиболее потенциально опасными являются действия группы злоумышленников, в которой участвует сотрудник организации
18 Оценка риска АЗИ Защита информации в бюро кредитных историй Руководство кредитного бюро может попытаться измерить риск, например, оценить какова будет прямая (в том числе, имущественная) ответственность кредитного бюро в случае появления полной базы кредитных историй на рынке или какой будет косвенный ущерб бизнесу кредитного бюро в аналогичном случае. Или оценить риск, связанный с невозможностью предоставления услуг в случае неработоспособности программно-аппаратного комплекса
19 Принципы построения системы мер защиты АЗИ Защита информации в бюро кредитных историй Система мер защиты информации (состав, стоимость) должна выстраиваться в зависимости от осознанного принятия руководством кредитного бюро рисков и в соответствии с требованиями законодательства.
20 Система мер (методы защиты) должна включать в себя: АЗИ Защита информации в бюро кредитных историй Подсистему мер на административном уровне (поддержка руководством организации работ по обеспечению защиты информации) Подсистему мер на организационном уровне (встроенность процедур и правил по защите информации в бизнес – процессы организации) Подсистему мер на техническом уровне (реализация механизмов защиты программно-техническими средствами)
21 АЗИ Защита информации в бюро кредитных историй В качестве примера можно привести перечень документов, которые необходимо разработать и актуализировать для внедрения и поддержки системы мер на административном и организационном уровне: Политика информационной безопасности Концепция ИБ, корпоративная политика ИБ, частные политики ИБ Требования ИБ к процессам (кто, что, где, когда) Стандарты технологий, положения, порядки, регламенты на процедуры Требования ИБ к задачам, выполняемым работниками Конфигурационные стандарты, инструкции, отчетные формы, технологические карты Свидетельства выполненной деятельности Реестры, регистрационные журналы, протоколы, акты, договоры, отчеты
22 Стоимость системы мер защиты АЗИ Защита информации в бюро кредитных историй Обычно стоимость системы мер защиты информации в кредитных учреждениях составляет 10 процентов от ИТ бюджета. Так как, технологическая система кредитных бюро проще систем кредитных учреждений, а защита информации также важна, то можно предположить, что стоимость системы мер защиты в кредитных бюро может составить процентов от ИТ бюджета кредитного бюро.
23 АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Федеральный закон Об информации, информатизации и защите информации» от г. 24-ФЗ. Гражданский кодекс РФ, ст.ст. 139, 857 Уголовный кодекс Российской Федерации Федеральный закон от г. 17-ФЗ «О внесении изменений и дополнений в Закон РСФСР «О банках и банковской деятельности в РСФСР», ст. 26 («Банковская тайна»). Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г. 1-ФЗ. Федеральный закон «О лицензировании отдельных видов деятельности» от г. 128-ФЗ. Постановление Правительства Российской Федерации от г. 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Положение ЦБР от г. 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Письмо ЦБ РФ от г. 16-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет»; Письмо ЦБ РФ от г. 70-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций»;
24 АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Приказ ЦБ РФ от г «О введении в действие временных требований по обеспечению безопасности технологий обработки электронных платёжных документов в системе Центрального Банка Российской Федерации»; Положение ЦБР от г. 207-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»; «О государственном лицензировании деятельности в области защиты информации» (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г.); «О сертификации средств защиты информации по требованиям безопасности информации» (Введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. Зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995г. (Свидетельство Р0СС RU БИ00)); Федеральный закон «О кредитных историях» от ФЗ
25 Спасибо за внимание! АЗИ Защита информации в бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н.
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.