Règlement sur la protection des données personnelles des clients. Mémoire sur le thème : Développement d'un système de protection des données personnelles dans une entreprise Citibank Protection des données personnelles dans une banque
Dzhabrail Matiev, responsable de la protection des données personnelles pour la partie commerciale de l'entrepriseReignVox
Un travail constant avec d'énormes quantités de données clients nécessite une banque de tout format pour travailler en continu dans le domaine de la protection de ces données.
C'est pourquoi le thème de la sécurité de l'information, et avec lui le thème de la confiance, est particulièrement pertinent dans le secteur financier. De plus, l'exigence de protéger toutes les données personnelles incluses dans la structure du système d'information d'une société financière moderne est également légalement justifiée - la loi fédérale n° 152 "sur les données personnelles" oblige clairement chaque entreprise qui traite ces données à les protéger dans des limites strictes termes définis. Les systèmes d'information nouveaux et existants traitant des données personnelles doivent être mis en conformité avec les exigences de la loi d'ici le 1er janvier 2011. Compte tenu d'un délai aussi strictement désigné, les organisations traitant de telles informations ont de moins en moins de temps pour se conformer aux exigences de la loi.
Par où commencer à travailler sur la protection des données personnelles ? Quelles sont les conditions de travail à prévoir ? A qui confier le travail ? Quel est le coût moyen d'un projet et comment minimiser les coûts ? Toutes ces questions sont pertinentes aujourd'hui pour toute entreprise faisant des affaires dans le secteur financier. Des réponses d'experts peuvent être apportées par la vaste expérience de ReignVox dans le domaine de la protection des données personnelles dans les structures financières.
La vie en mode compte à rebours
La loi fédérale n° 152 "sur les données personnelles" entrera pleinement en vigueur le 1er janvier 2011 - plus de six mois avant la date limite indiquée par le législateur. Mais ne cédez pas à l'impression trompeuse de trop de temps.
Premièrement, la mise en œuvre d'un projet visant à répondre aux exigences de protection des données personnelles prend de quatre à six mois, selon sa complexité. Mais ce chiffre n'est pas définitif non plus - les termes peuvent passer à six à huit mois en raison de la période que la banque consacrera au choix d'un intégrateur digne de ce nom pour le développement et la maintenance du projet. Réaliser seul ce type de travaux se heurte pour la banque à une perte d'objectivité au stade de l'examen et de l'analyse, des moyens de protection qui y existent, ainsi que de la nécessité de trouver des ressources en main-d'œuvre distinctes pour ce travail. Dans ce cas, il convient également de rappeler des facteurs tels que la disponibilité de spécialistes formés à la protection des données personnelles, la quantité requise de soutien réglementaire et méthodologique, des ressources gratuites pour la tâche même de protéger les données personnelles. La pratique montre que ce sont généralement des intégrateurs tiers qui répondent à toutes ces exigences dans un complexe.
Deuxièmement, revenir au sujet des délais fixés par la loi « Sur les données personnelles » aux opérateurs de données (et le fait que les banques soient justement de tels opérateurs n'est plus une question de principe), quoi qu'ils disent de leur « transfert » , Les premières inspections des régulateurs sont déjà en cours. La conclusion est assez logique : l'urgence du problème n'a pas seulement été préservée, elle s'est multipliée plusieurs fois, et sa solution devient une urgence.
"Et le coffre vient de s'ouvrir..."
Autour de la tâche de mettre l'ISPD en conformité avec les dispositions de la loi "sur les données personnelles", des discussions actives ont été en cours ces derniers temps, dont le résultat se résume principalement à une chose : la solution de cette tâche est très problématique en raison de la l'ensemble de ses caractéristiques organisationnelles et juridiques. Cette conclusion n'est pas tout à fait exacte : la pratique d'application des exigences de protection des données personnelles, apparue au cours du premier trimestre 2010 (y compris dans le secteur bancaire), confirme la clarté et l'interprétabilité des exigences de l'ISPD. Leur formulation, mise en œuvre et confirmation documentaire de ces dernières avec un risque minimal d'erreurs n'est pas tant difficile dans sa mise en œuvre qu'elle est importante du point de vue de la sécurité de l'activité bancaire. La tâche est encore plus simplifiée par la possibilité de la confier à un tiers intégrateur, dont les spécialistes réaliseront un projet de protection des données personnelles le plus rapidement et le plus professionnellement possible, en tenant compte des caractéristiques individuelles de l'activité bancaire.
Ainsi, la tâche principale est le choix d'une société intégratrice, qui sera décidée à lui confier la gestion du projet.
« Typique » = « Exclusif » ?
Un tel signe égal entre ces concepts mutuellement exclusifs a le droit d'exister. Cette déclaration est étayée par l'expérience pratique de projets réussis pour la protection des données personnelles déjà réalisés par ReignVox.
D'une part, chacun de ces projets comprend un nombre standard d'étapes : l'étape d'enquête systèmes d'information données personnelles, l'étape de conception d'un système de protection des données personnelles, l'étape de mise en œuvre du PDS, l'étape d'évaluation de la conformité du PDS avec les exigences de la loi et l'étape de prise en charge du système créé. De plus, l'évaluation de la conformité à l'ISPD, en tant qu'étape, est facultative et est effectuée à la discrétion de l'entreprise cliente. Ainsi que l'étape de soutien du système créé.
La typicité s'arrête généralement au premier stade (le stade de l'enquête sur les systèmes d'information), puisque c'est celui-ci qui permet d'identifier et de décrire ceux exigences qui seront présentées à l'avenir aux systèmes... Et ces paramètres sont déjà individuels et focalisés sur chaque client spécifique, optimisés en fonction de ses besoins.
Au cours de cette enquête, les ressources d'information, les solutions types utilisées dans la construction d'une infrastructure informatique, les flux d'informations de données personnelles, les systèmes disponibles et les outils de sécurité de l'information sont analysés.
Au même stade, un modèle de menaces et un contrevenant à la sécurité des données personnelles est développé, la nécessité d'assurer la sécurité des données personnelles dans l'ISPD à l'aide de moyens cryptographiques est évaluée.
Le schéma classique de la deuxième étape comprend un audit du cadre réglementaire et une évaluation de sa conformité aux exigences réglementaires. Son résultat est le développement des documents internes manquants, ainsi que le développement de spécifications techniques pour le développement de SZPDn. Dans la même étape, l'intégrateur procède à l'élaboration directe d'un ensemble de mesures de protection des informations.
A l'issue de cette étape, la banque est déjà tout à fait capable de passer avec succès l'audit d'un des régulateurs.
L'essence de la troisième étape se résume à la mise en œuvre des systèmes et à la mise en place des outils de protection existants. Après des tests, si nécessaire, l'ensemble matériel et logiciel est en cours de révision.
A chacune des étapes décrites, l'entreprise ReignVox, en tant qu'intégrateur, est confrontée à diverses tâches supplémentaires dues aux spécificités du métier que l'entreprise cliente exerce par sa taille, son infrastructure, l'activité des processus métiers et bien d'autres points. Et à partir de bon nombre de ces composants, à chaque fois, un nouveau concept adapté individuellement d'un projet de protection des données personnelles est formé.
"... et les moutons sont en sécurité"
Minimiser les coûts, optimiser le budget, économiser - quelle que soit la phrase choisie, l'essence reste la même - une approche rationnelle de l'utilisation des ressources monétaires - c'est lui qui est la deuxième pierre angulaire de la réussite de la structure financière (après la confiance, de cours). Par conséquent, le désir de réduire les coûts autant que possible sans compromettre la sécurité de l'information est naturel et tout à fait réalisable.
Le coût moyen d'un projet typique de création d'un système de protection des données personnelles pour une structure bancaire est d'environ 1,5 million de roubles. Lors du calcul de ce montant, un certain nombre de principes sont également pris en compte, ce qui permet de réduire le budget de création d'un système de protection des données personnelles.
Tout d'abord, nous nous efforçons de préserver autant que possible l'infrastructure informatique déjà existante dans l'organisation. Habituellement, ils parlent de deux scénarios polaires de protection PD. Le premier est une modification radicale de tous les ISPD, et le second est formel, qui consiste uniquement en la publication de documents réglementaires internes, sans apporter de modifications à l'ISPD. Nous pensons que la troisième option est optimale, qui consiste précisément à préserver l'infrastructure informatique existante de la banque, accompagnée de la modification de certains de ses éléments, en ajoutant de nouveaux nécessaires pour assurer le respect de la législation.
Dans ce cas, nous parlons du premier principe basé sur utilisation maximale des outils de protection des informations existants lors de la conception des systèmes de sécurité de l'information. Les outils de protection dans n'importe quelle entreprise sont appliqués indépendamment de la nécessité de protéger les données personnelles, ce sont des systèmes de protection antivirus et un contrôle d'accès intégré du système d'exploitation, des pare-feu et de nombreux autres outils. Par conséquent, le nombre maximum de revendications est couvert par les moyens de protection existants. Et seulement si certaines exigences ne sont pas satisfaites par les moyens de protection actuels, il est nécessaire d'en acheter et d'en mettre en œuvre des supplémentaires.
Le deuxième principe est le principe structuration logique économique des systèmes d'information données personnelles. Suivant ce principe, dans le cadre de la mise en œuvre d'un projet de protection des données personnelles dans une banque, il devient économiquement justifié de regrouper plusieurs systèmes situés dans une même pièce en un seul, conjugué à une diminution de la classe des segments non critiques. Ainsi, le ISPDN « Data Processing Center » est créé, dans lequel une protection est assurée le long du périmètre. Cela vous permet de réduire considérablement le coût de séparation des flux au sein de différents systèmes.
Principe trois - protéger uniquement contre les menaces actuelles... Dans ce cas, l'actualisation des menaces est décrite dans un document obligatoire pour les systèmes spéciaux appelé « Threat Model ». Lorsque les menaces sont mises à jour, ces menaces sont rejetées dont la probabilité est faible et les dommages lors de la mise en œuvre sont faibles.
Sous réserve de l'utilisation de méthodes déjà élaborées, la tâche de mettre l'ISPD de toute banque en conformité avec les exigences de la législation d'ici le 1er janvier 2011 est pleinement réalisable. Pour le succès maximal de la mise en œuvre de telles technologies dans le secteur bancaire, vous devez toujours vous rappeler d'une approche intégrée du travail sur un projet. Il s'agit ici de l'organisation d'un travail commun de spécialistes de différents services - spécialistes des technologies de l'information, de la sécurité de l'information et de la gestion de projets, financiers, juristes - qui garantissent que l'équilibre nécessaire de l'approche générale de la protection des données critiques au sein du la structure financière est maintenue.
Référence: ReignVox est une société russe spécialisée dans les projets et développements innovants dans le domaine des technologies de l'information et assurant leur sécurité informatique.
L'objet de la société est de fournir des services pour assurer la protection des données personnelles conformément aux exigences de la loi « Sur les données personnelles » FZ-152 du 27 juillet 2006 et la construction de systèmes intégrés de sécurité de l'information.
ReignVox est membre de l'organisation publique interrégionale « Information Protection Association » (IOO « AZI »), membre associé de l'« Infocommunication Union », ainsi que membre de l'Association des banques régionales de Russie.
ReignVox possède une expérience significative dans la mise en œuvre réussie de projets de protection des données personnelles dans de grandes banques commerciales. Parmi ses clients figurent NOTA-Bank, Vnesheconombank, CentroCredit, Tempbank, Alta-Bank, etc.
Estimation:
Marina Prokhorov,éditeur de la revue "Données personnelles"
Natalia Samoilova, avocat de la société "InfoTechnoProekt"
Le cadre réglementaire et juridique qui s'est développé jusqu'à présent dans le domaine du traitement des données personnelles, les documents qui doivent encore être adoptés pour une organisation plus efficace des travaux sur la protection des données personnelles dans les organisations, les aspects techniques de la préparation des systèmes d'information pour les opérateurs des données personnelles - ce sont les thèmes qui ont été récemment abordés dans de nombreuses publications de journaux et de magazines consacrés au problème des données personnelles. Dans cet article, je voudrais m'attarder sur un aspect de l'organisation du travail des établissements bancaires et de crédit comme la protection « non technique » des données personnelles traitées dans ces organismes.
Commençons par un exemple concret
Nous parlons de la révision judiciaire de l'affaire de protection des données personnelles engagée contre Sberbank en juin 2008. L'essence du litige était la suivante. Un accord de cautionnement a été conclu entre le citoyen et la banque, en vertu duquel le citoyen a assumé l'obligation de répondre devant la banque de l'exécution des obligations de l'emprunteur en vertu du contrat de prêt. Ce dernier n'a pas rempli ses obligations dans le délai fixé par le contrat de prêt, des informations sur le garant en tant que client non fiable ont été saisies dans le système d'information automatisé de la banque Stop List, ce qui a été à l'origine du refus de lui accorder un prêt. Dans le même temps, la banque n'a même pas informé le citoyen de la mauvaise exécution par l'emprunteur de ses obligations en vertu du contrat de prêt. En outre, le contrat de cautionnement n'indiquait pas qu'en cas de mauvaise exécution par l'emprunteur de ses obligations, la banque avait le droit de saisir des informations sur le garant dans le système d'information Stop List. Ainsi, la banque a traité les données personnelles d'un citoyen en incluant des informations le concernant dans le système d'information Stop List sans son consentement, ce qui viole les exigences de la partie 1 de l'art. 9 de la loi fédérale n° 152-FZ du 27 juillet 2006 "sur les données personnelles", selon laquelle le sujet des données personnelles décide de fournir ses données personnelles et accepte leur traitement de sa propre volonté et dans son intérêt. En outre, de la manière prescrite par la partie 1 de l'art. 14 de la même loi, un citoyen s'est adressé à la banque avec l'obligation de lui donner la possibilité de prendre connaissance des informations le concernant inscrites dans le système d'information Stop List, ainsi que de bloquer ces informations et de les détruire. La banque a refusé de satisfaire les exigences du citoyen.
Sur la base des résultats de l'examen de l'affaire, le tribunal de district Leninsky de Vladivostok a satisfait aux réclamations de l'administration de Roskomnadzor pour le territoire de Primorsky contre la Sberbank de Russie pour protéger les droits violés d'un citoyen et a ordonné à la banque de détruire les informations sur le citoyen du système d'information Stop List.
En quoi cet exemple est-il indicatif ? Les banques, stockant les données personnelles d'un nombre important de leurs clients, les déplacent sans hésiter d'une base de données à une autre, et le plus souvent sans en notifier le sujet des données personnelles à ce sujet, sans parler d'obtenir son consentement à de telles actions avec son Les données. Bien entendu, la banque présente un certain nombre de caractéristiques, et souvent les données personnelles des clients sont utilisées non seulement pour exécuter les accords conclus par la banque, mais aussi pour surveiller la banque quant au respect des obligations du client, mais cela signifie que toute manipulation avec des données personnelles nécessitent déjà le consentement de leur sujet. ...
Difficultés d'interprétation des dispositions
Pourquoi ne pas légaliser les transactions avec des données personnelles ? Bien entendu, cela nécessitera très probablement l'intervention de spécialistes tiers, car même les avocats des services juridiques des grandes banques ne sont des professionnels de premier plan que dans un certain domaine, et ils doivent se familiariser avec les spécificités du travail dans le domaine des données personnelles pratiquement à partir de zéro. La meilleure solution est donc d'impliquer des sociétés spécialisées dans la prestation de services d'organisation du travail avec des données personnelles, y compris celles capables de réaliser un audit de conformité des mesures de protection non techniques que vous prenez avec les exigences du législateur, pour travailler à l'organisation d'un système de protection des données personnelles.
Les résultats des études analytiques nous permettent de conclure que l'interprétation des dispositions de la loi fédérale n° 152-FZ "sur les données personnelles" pose les plus grandes difficultés.
Conformément à la partie 1 de l'article 22 du présent document réglementaire, l'opérateur est tenu d'informer l'organisme habilité du traitement des données à caractère personnel. Parmi les exceptions figure le cas où les données personnelles traitées ont été obtenues dans le cadre de la conclusion d'un accord auquel le sujet des données personnelles est partie ... et sont utilisées par l'opérateur uniquement pour l'exécution de l'accord spécifié sur le sur la base de la clause 2 de la partie 2 de l'article 22 de la loi fédérale n° 152-FZ « sur les données personnelles ». Fonctionnant avec cette même disposition, certaines banques ne soumettent pas de notification sur le traitement des données personnelles, et beaucoup ne se considèrent pas comme des opérateurs, ce qui est fondamentalement faux.
En outre, une autre erreur courante des banques, en tant qu'opérateurs de données personnelles, liées au contrat, est la suivante. Selon l'art. 6 de la loi susmentionnée, le traitement des données personnelles peut être effectué par l'opérateur avec le consentement des personnes concernées, à l'exception des cas, y compris le traitement aux fins de l'exécution d'un accord, l'une des parties à qui fait l'objet de données personnelles. Par conséquent, de nombreux établissements bancaires expliquent leur absence de consentement du sujet des données personnelles précisément par le fait de la conclusion d'un tel accord.
Mais réfléchissons-y, la banque, en tant qu'opérateur, n'utilise-t-elle pas les données personnelles du sujet reçues à la conclusion du contrat, par exemple, pour envoyer des notifications sur de nouveaux services, pour maintenir des "Stop Lists" ? Cela signifie que le traitement des données personnelles est effectué non seulement dans le but d'exécuter le contrat, mais également à d'autres fins, dont la réalisation présente un intérêt commercial pour les banques, par conséquent :
- les banques sont obligées de soumettre une notification sur le traitement des données personnelles à l'organisme autorisé ;
- les banques ne doivent traiter les données personnelles qu'avec le consentement du sujet.
Cela signifie que les banques doivent organiser un système pour travailler avec les données personnelles de leurs clients, c'est-à-dire pour assurer une protection non technique de ces données.
Consentement écrit au traitement des données personnelles
En ce qui concerne le consentement du sujet des données personnelles au traitement des données personnelles, la loi fédérale n° 152-FZ "sur les données personnelles" oblige les opérateurs à obtenir un consentement écrit au traitement des données personnelles uniquement dans les cas spécifiés par la loi. Dans le même temps, conformément à la partie 3 de l'art. 9 l'obligation de prouver la réception du consentement du sujet au traitement de ses données personnelles incombe à l'opérateur. Afin, le cas échéant, de ne pas perdre de temps à collecter de telles preuves (par exemple, rechercher des témoins), il est à notre avis préférable dans tous les cas d'obtenir le consentement des sujets par écrit.
Donnons un argument de plus pour la forme écrite du traitement des données personnelles. Souvent, les activités des banques prévoient le transfert de données (y compris personnelles) vers le territoire d'un État étranger. A cette occasion, la partie 1 de l'art. 12 de la loi fédérale n° 152-FZ "Sur les données personnelles" stipule qu'avant le début du transfert transfrontalier de données personnelles, l'opérateur doit s'assurer que l'État étranger, sur le territoire duquel le transfert de données personnelles est effectué out, offre une protection adéquate des droits des sujets de données personnelles. Si une telle protection n'est pas assurée, le transfert transfrontalier de données personnelles n'est possible qu'avec le consentement écrit de la personne concernée. On peut supposer qu'il est plus facile pour un employé de banque d'obtenir le consentement écrit du client au traitement des données personnelles que d'établir le degré d'adéquation de sa protection dans un État étranger.
Nous attirons votre attention sur le fait que les informations qui doivent figurer dans le consentement écrit sont énumérées dans la partie 4 de l'art. 9 de la loi fédérale précitée, et cette liste est exhaustive. Et la signature sous la phrase, par exemple, dans le contrat de prêt : « J'accepte l'utilisation de mes données personnelles », conformément à la loi fédérale n° 152-FZ « Sur les données personnelles », n'est pas un consentement à leur traitement !
Il semblerait qu'il n'y ait que quelques points de la loi, et combien de complications, allant jusqu'au litige, peuvent provoquer leur interprétation erronée. De plus, aujourd'hui, alors que les données personnelles des sujets deviennent souvent une marchandise dans la concurrence de diverses structures, la solution réussie des problèmes de leur protection, en assurant la sécurité des systèmes d'information des établissements bancaires et de crédit devient la clé pour préserver la réputation et nom honnête de toute organisation.
Chaque jour, la prise de conscience des citoyens sur les conséquences négatives possibles de la diffusion de leurs données personnelles augmente, ce qui est facilité par l'émergence de publications spécialisées. Il existe également des ressources d'information de diverses entreprises. Certains d'entre eux couvrent généralement l'ensemble des problématiques liées à la notion de "sécurité de l'information", d'autres sont consacrés à des revues de mesures et moyens de protection technique, quelqu'un, au contraire, se concentre sur les problèmes liés à la protection non technique . En d'autres termes, l'information sur la protection des données personnelles devient de plus en plus accessible, ce qui signifie que les citoyens seront plus avertis dans le domaine de la protection de leurs droits.
Les questions de savoir si les banques, les bureaux de crédit, les agences de recouvrement sont les opérateurs de données personnelles, si les systèmes bancaires automatisés (ABS) et les systèmes de banque à distance (RBS) appartiennent aux systèmes d'information sur les données personnelles (ISPDN), s'ils ont besoin d'une certification ou d'une certification, etc., n'en valent plus la peine. Des réponses ont été reçues de représentants des régulateurs dans le domaine des données personnelles (FSB, FSTEK, Rossvyazkomnadzor) et de la communauté bancaire. Les problèmes sont passés à un niveau pratique - quoi et comment faire pour que, lorsqu'on travaille avec des données personnelles, les dispositions de la loi soient respectées. Les "examens" ne tarderont pas - d'ici le 1er janvier 2010, le traitement des données dans l'ISPD devra être mis en conformité avec les exigences légales.
Portée et limites
Il est déjà clair que les mesures visant à garantir la sécurité du traitement des données personnelles sont techniquement complexes, nécessitent des qualifications élevées des acteurs, des connaissances particulières et une compréhension approfondie de la fonctionnalité des applications traitant des données personnelles et des outils de protection des informations. C'est pourquoi les documents réglementaires des régulateurs prévoient l'autorisation des activités des opérateurs de données personnelles pour la protection technique des informations confidentielles. La solution pour les établissements bancaires qui, pour une raison ou une autre, ne peuvent ou ne veulent pas obtenir une licence, est de conclure un accord avec un organisme licencié spécialisé pour l'externalisation des services de protection technique des données personnelles.
Peu importe qui effectuera des travaux pour assurer la sécurité du traitement des données personnelles, les premières étapes de l'opérateur sont assez évidentes. Il est nécessaire (1) d'identifier tous les systèmes d'information traitant des données personnelles (ISPDN), (2) de classer tous les ISPDN identifiés et (3) de former et de mettre à jour un modèle de menace pour chacun d'entre eux ou des groupes de systèmes similaires.
Dans le même temps, il est important de comprendre que la détermination des limites de l'ISPD et leur classification sont des tâches informelles qui nécessitent une compréhension des processus métier. Les points clés au stade de la collecte et de l'analyse des données initiales sur l'ISPD sont la détermination des finalités du traitement des données personnelles et la constitution d'une liste de données personnelles (détermination de la composition des informations classées dans une telle catégorie).
Deux exemples.
La plupart des grandes organisations, et les banques ici ne font pas exception, disposent de portails internes d'entreprise contenant, entre autres, un système de référence qui contient des informations sur les employés avec leur nom, prénom, patronyme, fonction, numéro de téléphone et de bureau, adresse e- courrier, dans certains cas - et des photographies. Lors de la détermination de la catégorie de ces données personnelles selon la méthode de l'arrêté conjoint du FSTEC, du FSB et du ministère de l'Information et de la Communication de la Fédération de Russie
du 13.02.2008 N 55/86/20 "Sur l'approbation de la Procédure de classification des systèmes d'information des données personnelles", il faut partir de la finalité du traitement des données - identification des employés pour établir le contact avec eux (catégorie 3 ), et lors de l'évaluation du coefficient caractérisant le nombre d'enregistrements traités (X NPD), sélectionnez « données personnelles des sujets de données personnelles au sein d'une organisation particulière » comme paramètre. Dans ce cas, le système d'aide appartiendra à la classe 3 (K3) de l'ISPD typique, même si l'organisation emploie plus de 1000 employés.
Deuxième exemple. Lors de la constitution de la liste des données personnelles pour le segment ABS associé au maintien de l'historique de crédit du client, la liste des données personnelles traitées peut être déterminée sur la base de la loi fédérale « sur les antécédents de crédit ». Ensuite, les informations suivantes sur l'emprunteur feront référence au PD dans ce PDIS :
- Nom et prénom;
- Date et lieu de naissance;
- données du passeport ou autre document d'identité (numéro, date et lieu de délivrance, nom de l'autorité émettrice);
- numéro d'assurance d'un compte personnel individuel;
- lieu d'immatriculation et lieu de résidence effective;
- des informations sur l'enregistrement d'un individu par l'État en tant qu'entrepreneur individuel.
Au stade de l'inventaire et de la classification des ISPD, il est nécessaire d'évaluer la nécessité et la faisabilité de classer les ISPD en systèmes spéciaux, sur la base des dispositions de l'arrêté conjoint susmentionné et des spécificités du traitement des données dans un système particulier.
Construire un modèle de menace à jour est également difficile et informel. On pense qu'à ce stade, il est possible de réduire considérablement les exigences de sécurité et de simplifier le système de protection, en reconnaissant la plupart des menaces comme non pertinentes. Ce n'est pas vrai. L'actualisation des menaces appartient bien sûr à l'autorité de l'opérateur, mais elle ne peut être effectuée de manière arbitraire. Au cours de celle-ci, il est nécessaire de suivre la méthodologie des régulateurs énoncée dans les documents réglementaires et méthodologiques, et d'observer les critères d'appréciation de la pertinence qui y sont établis.
Problèmes légaux
Une partie importante du travail de mise en conformité du modèle avec les exigences des régulateurs est l'identification et l'analyse de la légalité des motifs de traitement des données personnelles et, ce qui est particulièrement difficile, de leur transfert à des tiers. Ces motifs concernant les banques sont les suivants :
- cas directement prévus par les lois fédérales;
- une entente sur la prestation de services à un particulier ;
- l'accomplissement des obligations de l'employeur vis-à-vis de ses propres employés.
Les accords avec les personnes physiques doivent contenir leur consentement exprès pour tous les cas de traitement de données qui vont au-delà de la fourniture effective de services bancaires. D'un point de vue juridique, les dispositions des accords qui prévoient le transfert de données à caractère personnel dans des cas non prévus par la loi semblent très douteuses, par exemple : « La Banque et l'Emprunteur s'engagent à ne divulguer aucune information à des tiers. , ... législation Fédération Russe et le présent Accord, y compris... à d'autres personnes , dans le processus d'exercice et de protection de la Banque de ses droits, obligations et intérêts légitimes, lors de la fourniture de données personnelles conformément à la coutume établie du chiffre d'affaires " (souligné par l'auteur). Il n'y a pas de base pour le transfert dans la loi fédérale comme les coutumes du chiffre d'affaires.
Système de sécurité ISPDN banque
Sur la base des données initiales spécifiées dans la loi de classification ISPD et du modèle de menace mis à jour, les mécanismes de sécurité qui doivent être mis en œuvre dans le système de protection et les exigences spécifiques pour la fonctionnalité de ces mécanismes sont déterminés.
Considérons cette thèse avec un exemple.
Pour la grande majorité des ISPD, il est nécessaire de prendre des mesures pour protéger les données personnelles contre les accès non autorisés (NSD) et autres actions illégales, notamment :
- Contrôle d'accès;
- Enregistrement et comptabilité ;
- Assurer l'intégrité ;
- Contrôle de l'absence d'opportunités non déclarées ;
- Protection antivirus ;
- Assurer une interconnexion sécurisée ISPDN ;
- Analyse de sécurité;
- Détection d'intrusion.
Il est recommandé de mettre en œuvre le sous-système de contrôle d'accès sur la base d'outils logiciels pour bloquer la falsification, la signalisation et l'enregistrement (moyens spéciaux de protection du système d'exploitation eux-mêmes qui ne sont pas inclus dans le noyau d'un système d'exploitation), des bases de données électroniques de données personnelles et des programmes d'application qui mettent en oeuvre les fonctions de diagnostic, d'enregistrement, de destruction, de signalisation, d'imitation...
À son tour, moyens de signalisation doit fournir des avertissements aux opérateurs lorsqu'ils accèdent à des DP protégées, ainsi que des avertissements à l'administrateur sur la découverte de faits
- NSD aux données personnelles ;
- Distorsion de la protection des logiciels ;
- Défaillance ou défaillance de la protection matérielle ;
- Autres faits de violation du fonctionnement normal de l'ISPD.
La même analyse doit être effectuée lors de la détermination des moyens de neutraliser les menaces actuelles restantes, sur la base desquelles des outils de sécurité de l'information certifiés dotés des fonctionnalités requises sont déterminés. Les outils de sécurité de l'information certifiés actuellement disponibles sont suffisants pour mettre en œuvre la quasi-totalité des exigences énoncées dans les documents réglementaires et méthodologiques du FSTEC et du FSB, la seule question est de connaître leurs capacités et la bonne combinaison.
Aujourd'hui, toutes les conditions nécessaires ont été créées pour répondre aux exigences pour assurer la sécurité des données personnelles, et dans le délai restant jusqu'au 1er janvier 2010, dans tous les établissements de crédit et financiers, il est nécessaire de construire un sous-système de protection pour cette catégorie d'informations à accès limité.
Documents similaires
Base légale pour la protection des données personnelles. Classification des menaces à la sécurité de l'information. Base de données personnelles. Périphérique LAN d'entreprise et menaces. Logiciel et matériel de base pour la protection des ordinateurs personnels. Politique de sécurité de base.
thèse, ajoutée le 10/06/2011
Prérequis pour la création d'un système de sécurité des données personnelles. Menaces à la sécurité de l'information. Sources d'accès non autorisé à l'ISPD. Le dispositif des systèmes d'information de données personnelles. Outils de sécurité de l'information. Politique de sécurité.
dissertation ajoutée le 10/07/2016
Analyse de la structure d'un système d'information distribué et des données personnelles qui y sont traitées. Sélection de mesures et de moyens de base pour assurer la sécurité des données personnelles contre les menaces actuelles. Détermination des coûts pour la création et le soutien du projet.
thèse, ajoutée le 01/07/2011
Système de contrôle et de gestion des accès dans l'entreprise. Analyse des informations traitées et classification des ISPD. Développement d'un modèle de menaces à la sécurité des données personnelles lors de leur traitement dans le système d'information des données personnelles de l'ACS OJSC "MMZ".
thèse, ajoutée le 11/04/2012
Description des principales solutions techniques pour équiper le système d'information sur les données personnelles situé dans la salle cours d'informatique... Sous-système de protection antivirus. Mesures pour préparer l'introduction d'outils de sécurité de l'information.
dissertation ajoutée le 30/09/2013
Confidentialité et sécurité des informations documentées. Types de données personnelles utilisées dans les activités de l'organisation. Développement de la législation dans le domaine de la garantie de leur protection. Méthodes pour assurer la sécurité de l'information de la Fédération de Russie.
présentation ajoutée le 15/11/2016
Analyse des risques liés à la sécurité de l'information. Évaluation des remèdes existants et prévus. Un ensemble de mesures organisationnelles pour assurer la sécurité des informations et la protection des informations d'entreprise. Cas test de mise en œuvre du projet et sa description.
thèse, ajoutée le 19/12/2012
Documents réglementaires dans le domaine de la sécurité de l'information en Russie. Analyse des menaces sur les systèmes d'information. Caractéristiques de l'organisation du système de protection des données personnelles de la clinique. Mise en place d'un système d'authentification par clés électroniques.
thèse, ajoutée le 31/10/2016
Informations générales sur les activités de l'entreprise. Objets de sécurité de l'information dans l'entreprise. Mesures et moyens de protection des informations. Copie de données sur un support amovible. Installation d'un serveur de sauvegarde interne. L'efficacité de l'amélioration du système de sécurité de l'information.
test, ajouté 29/08/2013
Les principales menaces à l'information. Concepts, méthodes et moyens d'assurer la protection des données. Exigences pour le système de protection. Mécanisme d'autorisation dans base d'informations pour déterminer le type d'utilisateur. Travail de l'administrateur avec le système de sécurité.
1. BASES THÉORIQUES DE LA SÉCURITÉ DES DONNÉES PERSONNELLES
1.1 Base juridique de la protection des données personnelles en Fédération de Russie
1.3.1 caractéristiques générales sources de menaces d'accès non autorisé au système d'information des données personnelles.
1.3.2 Caractéristiques générales des menaces d'accès direct à l'environnement d'exploitation du système d'information des données personnelles
1.3.3 Caractéristiques générales des menaces sur la sécurité des données personnelles, mises en œuvre à l'aide de protocoles d'interconnexion
1.4 Caractéristiques de la Banque et de ses activités
1.5 Bases de données personnelles
1.5.1 Système d'information des données personnelles des employés de l'organisation
1.5.2 Système d'information des données personnelles du système de contrôle d'accès et de gestion
1.5.3 Système d'information des données personnelles du système bancaire automatisé
1.6 Conception et menaces du réseau local de la Banque
1.7 Outils de sécurité de l'information
2.2 Protection logicielle et matérielle
2.3 Politique de sécurité de base
2.3.1 Système de sensibilisation à la sécurité de l'information pour les employés
2.3.4 Comment les employés travaillent avec le courrier électronique
2.3.5 Politique de mot de passe de la Banque
3. JUSTIFICATION ECONOMIQUE DU PROJET
CONCLUSION
Applications.
INTRODUCTION
L'informatisation omniprésente, qui a commencé à la fin du 20e siècle, se poursuit à ce jour. L'automatisation des processus dans les entreprises augmente la productivité des travailleurs. Les utilisateurs de systèmes d'information peuvent recevoir rapidement les données nécessaires à l'exercice de leurs fonctions. Parallèlement, parallèlement à la facilitation de l'accès aux données, il existe des problèmes de sécurité de ces données. Ayant accès à divers systèmes d'information, les attaquants peuvent les utiliser à leur profit personnel : collecter des données pour les vendre sur le marché noir, voler de l'argent aux clients de l'organisation et voler les secrets commerciaux de l'organisation.
Par conséquent, le problème de la protection des informations critiques pour les organisations est très aigu. De plus en plus souvent, les médias font connaître diverses techniques ou méthodes de vol d'argent en piratant les systèmes d'information des organisations financières. Ayant obtenu l'accès aux systèmes d'information sur les données personnelles, un attaquant peut voler les données des clients des institutions financières, diffuser des informations sur leurs transactions financières, causant à la fois un préjudice financier et une atteinte à la réputation du client de la banque. De plus, après avoir appris les données du client, les fraudeurs peuvent appeler directement le client, se faisant passer pour des employés de banque et utilisant frauduleusement des techniques d'ingénierie sociale pour découvrir les mots de passe des systèmes bancaires à distance et retirer de l'argent du compte du client.
Dans notre pays, le problème du vol et de la diffusion illégale de données personnelles est très aigu. Il existe un grand nombre de ressources sur Internet qui contiennent des bases de données personnelles volées, à l'aide desquelles, par exemple, par numéro téléphone portable, vous pouvez trouver des informations très détaillées sur une personne, y compris les détails de son passeport, ses adresses de résidence, des photographies et bien plus encore.
Dans ce projet de thèse, j'explore le processus de création d'un système de protection des données personnelles chez Citibank.
1. BASES DE LA SÉCURITÉ DES DONNÉES PERSONNELLES
1.1 Base juridique de la protection des données personnelles
Aujourd'hui, en Russie, il existe une réglementation de l'État dans le domaine de la garantie de la sécurité des données personnelles. Les principales réglementations régissant le système de protection des données personnelles dans la Fédération de Russie sont la Constitution de la Fédération de Russie et la loi fédérale "sur les données personnelles" du 27 juillet 2006 n° 152-FZ. Ces deux principaux actes juridiques établissent les principales thèses sur les données personnelles en Fédération de Russie :
Tout citoyen a droit à l'inviolabilité de la vie privée, des secrets personnels et familiaux, à la protection de son honneur et de sa réputation ;
Toute personne a droit au secret de la correspondance, des conversations téléphoniques, des messages postaux, télégraphiques et autres. La limitation de ce droit n'est autorisée que sur la base d'une décision de justice ;
La collecte, le stockage, l'utilisation et la diffusion d'informations sur la vie privée d'une personne sans son consentement ne sont pas autorisés ;
Le traitement des données personnelles doit être effectué sur une base légale et loyale ;
Le traitement des données personnelles doit être limité à la réalisation d'objectifs spécifiques, prédéterminés et légitimes. Le traitement de données à caractère personnel incompatible avec les finalités de la collecte de données à caractère personnel n'est pas autorisé.
Il n'est pas permis de combiner des bases de données contenant des données personnelles, dont le traitement est effectué à des fins incompatibles les unes avec les autres.
Seules les données personnelles répondant aux finalités de leur traitement font l'objet d'un traitement.
Lors du traitement des données personnelles, l'exactitude des données personnelles, leur suffisance et, si nécessaire, leur pertinence par rapport aux finalités du traitement des données personnelles doivent être garanties. L'exploitant doit prendre les mesures nécessaires ou veiller à ce qu'elles soient prises pour supprimer ou clarifier les données incomplètes ou inexactes.
Le stockage des données personnelles doit être effectué sous une forme permettant de déterminer l'objet des données personnelles, pas plus longtemps que la finalité du traitement des données personnelles ne l'exige, à moins que la période de stockage des données personnelles ne soit fixée par la loi fédérale, un accord auquel le sujet des données personnelles est partie, bénéficiaire ou garant. Les données personnelles traitées sont sujettes à la destruction ou à la dépersonnalisation lors de la réalisation des objectifs de traitement ou en cas de perte de la nécessité d'atteindre ces objectifs, sauf disposition contraire de la loi fédérale.
Les autres réglementations ayant un impact juridique dans le domaine de la protection des données personnelles dans les organisations du secteur bancaire de la Fédération de Russie sont :
Loi fédérale de la Fédération de Russie du 27 juillet 2006 n° 149 FZ "Sur l'information, informatique et sur la protection de l'information » ;
Code du travail de la Fédération de Russie (chapitre 14);
Décret du gouvernement de la Fédération de Russie du 01.11.2012 n° 1119 "sur l'approbation des exigences relatives à la protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles" ;
Ordonnance du FSTEC de Russie du 18 février 2013 n° 21 « Sur l'approbation de la composition et du contenu des mesures organisationnelles et techniques visant à assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles.
Examinons les principales définitions utilisées dans la législation.
Données personnelles - toute information se rapportant directement ou indirectement à un individu spécifique ou identifiable (sujet des données personnelles).
Opérateur de données personnelles - un organisme public, un organisme municipal, une personne morale ou une personne physique, indépendamment ou conjointement avec d'autres personnes organisant et (ou) effectuant le traitement des données personnelles, ainsi que déterminant les finalités du traitement des données personnelles, la composition des données personnelles à traiter, les actions (opérations) effectuées avec les données personnelles ;
Traitement des données personnelles - toute action (opération) ou un ensemble d'actions (opérations) effectuées à l'aide d'outils d'automatisation ou sans utiliser de tels outils avec des données personnelles, y compris la collecte, l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), extraction , utilisation, transfert (distribution, mise à disposition, accès), dépersonnalisation, blocage, suppression, destruction des données personnelles ;
Traitement automatisé des données personnelles - traitement des données personnelles à l'aide de la technologie informatique ;
Diffusion de données personnelles - actions visant à divulguer des données personnelles à un cercle indéfini de personnes ;
Fourniture de données personnelles - actions visant à divulguer des données personnelles à une certaine personne ou à un certain cercle de personnes ;
Blocage des données personnelles - cessation temporaire du traitement des données personnelles (sauf dans les cas où le traitement est nécessaire pour clarifier les données personnelles) ;
Destruction des données personnelles - actions à la suite desquelles il devient impossible de restaurer le contenu des données personnelles dans le système d'information des données personnelles et (ou) à la suite desquelles les supports matériels de données personnelles sont détruits ;
Dépersonnalisation des données personnelles - actions, à la suite desquelles il devient impossible de déterminer la propriété des données personnelles à un sujet spécifique de données personnelles sans utiliser d'informations supplémentaires ;
Système d'information de données personnelles - un ensemble de données personnelles contenues dans des bases de données et fournissant leur traitement des technologies de l'information et des moyens techniques;
Le transfert transfrontalier de données personnelles est le transfert de données personnelles vers le territoire d'un État étranger à une autorité d'État étrangère, à une personne physique étrangère ou à une personne morale étrangère.
Données personnelles biométriques - informations qui caractérisent les caractéristiques physiologiques et biologiques d'une personne, sur la base desquelles il est possible d'établir son identité (données personnelles biométriques) et qui sont utilisées par l'opérateur pour établir l'identité du sujet des données personnelles .
Sécurité des données personnelles - l'état de protection des données personnelles, caractérisé par la capacité des utilisateurs, des moyens techniques et des technologies de l'information à assurer la confidentialité, l'intégrité et la disponibilité des données personnelles lorsqu'elles sont traitées dans des systèmes d'information de données personnelles
1.2 Classification des menaces à la sécurité de l'information des données personnelles.
La menace de sécurité de l'information est comprise comme la menace de violation des propriétés de sécurité de l'information - disponibilité, intégrité ou confidentialité des actifs informationnels d'une organisation.
La liste des menaces, une évaluation de la probabilité de leur mise en œuvre, ainsi qu'un modèle de l'intrus servent de base à l'analyse du risque de mise en œuvre des menaces et à la formulation des exigences pour le système de protection d'un système automatisé. En plus d'identifier les menaces possibles, il est nécessaire d'analyser les menaces identifiées en fonction de leur classification selon un certain nombre de signes. Les menaces correspondant à chaque caractéristique de la classification vous permettent de détailler l'exigence reflétée par cette caractéristique.
Étant donné que les informations stockées et traitées dans les AS modernes sont exposées à un très grand nombre de facteurs, il devient impossible de formaliser la tâche de décrire l'ensemble des menaces. Ainsi, pour le système protégé, ce n'est généralement pas une liste de menaces qui est déterminée, mais une liste de classes de menaces.
La classification des menaces possibles pour la sécurité de l'information de la centrale nucléaire peut être effectuée selon les critères de base suivants :
Par la nature de l'événement :
Menaces naturelles causées par l'impact de processus physiques objectifs ou de catastrophes naturelles sur la centrale nucléaire ;
Menaces artificielles pour la sécurité des centrales nucléaires causées par l'activité humaine.
Par le degré d'intentionnalité de la manifestation :
Menaces causées par des erreurs ou une négligence du personnel, par exemple, une mauvaise utilisation des équipements de protection, une négligence lors du travail avec des données ;
Menaces délibérées, telles que le piratage d'un système automatisé par des intrus, la destruction de données par des employés de l'organisation afin de se venger de l'employeur.
Par source directe de menaces :
Menaces naturelles, telles que les catastrophes naturelles, les catastrophes causées par l'homme ;
Menaces humaines, par exemple : destruction d'informations, divulgation de données confidentielles ;
Logiciels et matériels autorisés, tels que les défaillances matérielles physiques, les erreurs logicielles, les conflits logiciels ;
O logiciels et outils matériels non autorisés, par exemple, l'introduction de signets matériels, de signets logiciels.
Par l'emplacement de la source des menaces :
En dehors de la zone contrôlée, par exemple, l'interception de données transmises via des canaux de communication ;
O dans la zone contrôlée, par exemple, copie non autorisée d'informations, accès non autorisé à la zone protégée ;
O directement dans Système automatisé, par exemple, une mauvaise utilisation des ressources AC.
Selon le degré de dépendance vis-à-vis de l'activité de l'UA :
Quelle que soit l'activité de l'UA, par exemple, le vol physique de supports d'informations ;
Uniquement pendant le traitement des données, comme une infection par un logiciel malveillant.
Par le degré d'impact sur l'UA :
Menaces passives qui, une fois mises en œuvre, ne changent rien à la structure et au contenu de l'UA, par exemple, la menace de copier des données secrètes ;
Menaces actives qui, lorsqu'elles sont exposées, modifient la structure et le contenu de l'UA, par exemple en supprimant des données, en les modifiant.
Par étapes d'accès utilisateur ou programme aux ressources :
Menaces manifestées au stade de l'accès aux ressources des centrales nucléaires, par exemple : menaces d'accès non autorisé aux centrales nucléaires ;
Menaces qui apparaissent après avoir autorisé l'accès aux ressources de l'UA, par exemple, l'utilisation incorrecte des ressources de l'UA.
En guise d'accès aux ressources de l'UA :
Menaces exécutées en utilisant le chemin standard d'accès aux ressources de la centrale nucléaire
Menaces exécutées à l'aide d'un chemin d'accès non standard caché aux ressources de l'UA, par exemple : accès non autorisé aux ressources de l'UA en utilisant les capacités non documentées du logiciel installé.
À l'emplacement actuel des informations stockées et traitées dans l'UA :
Menaces d'accès aux informations sur des périphériques de stockage externes, par exemple : copie d'informations confidentielles à partir de supports de stockage ;
Menaces d'accès à l'information dans mémoire vive, par exemple: lecture des informations résiduelles de la RAM, accès à la zone système de la RAM du côté des programmes d'application;
Menaces d'accès aux informations circulant dans les lignes de communication, par exemple : connexion illégale aux lignes de communication afin de supprimer des informations, envoi de données modifiées ;
Les impacts dangereux sur un système automatisé sont divisés en impacts accidentels et intentionnels.
Les raisons des impacts accidentels pendant l'exploitation de la centrale nucléaire peuvent être :
Situations d'urgence dues à des catastrophes naturelles et à des pannes de courant ;
Déni de service
Erreurs dans le logiciel ;
Erreurs dans le travail du personnel de service et des utilisateurs ;
Interférences dans les lignes de communication en raison d'influences environnementales.
L'utilisation d'erreurs dans les logiciels est le moyen le plus courant de violer la sécurité de l'information des systèmes d'information. Selon la complexité du logiciel, le nombre d'erreurs augmente. Les attaquants peuvent trouver ces vulnérabilités et à travers elles accéder au système d'information d'une organisation. Pour minimiser ces menaces, vous devez maintenir vos versions logicielles à jour.
Les menaces intentionnelles sont associées aux actions ciblées des attaquants. Les attaquants sont classés en deux types : un attaquant interne et un attaquant externe. Un attaquant interne commet des actions illégales alors qu'il se trouve dans la zone contrôlée du système automatisé et peut utiliser les pouvoirs officiels pour autoriser l'accès au système automatisé. Un attaquant externe n'a pas accès à la zone contrôlée, mais peut agir simultanément avec un attaquant interne pour atteindre ses objectifs.
Il existe trois menaces principales à la sécurité de l'information, qui visent directement les informations protégées :
Violation de la confidentialité - les informations confidentielles ne changent pas, mais deviennent accessibles à des tiers qui ne sont pas autorisés à accéder à ces informations. Lorsque cette menace est mise en œuvre, il existe une forte probabilité de divulgation d'informations volées par un attaquant, ce qui pourrait entraîner un préjudice financier ou de réputation. Violation de l'intégrité des informations protégées - déformation, modification ou destruction des informations. L'intégrité des informations ne peut être violée délibérément, mais à la suite de l'incompétence ou de la négligence d'un employé de l'entreprise. En outre, l'intégrité peut être violée par un attaquant pour atteindre ses propres objectifs. Par exemple, modifier les détails des comptes dans un système bancaire automatisé afin de transférer des fonds sur le compte d'un attaquant ou substituer les données personnelles du client de l'organisation afin d'obtenir des informations sur la coopération du client avec l'organisation.
La violation de la disponibilité des informations protégées ou le déni de service sont des actions dans lesquelles un utilisateur autorisé ne peut pas accéder aux informations protégées pour des raisons telles que : panne de matériel, de logiciel, panne d'un réseau local.
Après avoir examiné les menaces des systèmes automatisés, vous pouvez procéder à l'analyse des menaces sur le système d'information des données personnelles.
Système d'information sur les données personnelles - un ensemble de données personnelles contenues dans des bases de données et des technologies de l'information et des moyens techniques qui assurent leur traitement.
Les systèmes d'information de données personnelles sont un ensemble d'informations et d'éléments logiciels et matériels, ainsi que des technologies de l'information utilisées dans le traitement des données personnelles.
Les principaux éléments de l'ISPD sont :
Données personnelles contenues dans des bases de données ;
Technologies de l'information utilisées dans le traitement des DP ;
Moyens techniques de traitement de données personnelles (matériels informatiques, complexes et réseaux d'information et de calcul, moyens et systèmes de transmission, de réception et de traitement de données personnelles, moyens et systèmes de prise de son, sonorisation, reproduction sonore, moyens de production, duplication de documents et autres moyens techniques de traitement d'informations vocales, graphiques, vidéo et alphanumériques) ;
Outils logiciels (systèmes d'exploitation, systèmes de gestion de bases de données, etc.);
La protection de l'information signifie ISPDn;
Moyens et systèmes techniques auxiliaires - moyens et systèmes techniques, leurs communications, non destinés au traitement de données à caractère personnel, mais situés dans les locaux où se trouve l'ISPD.
Menaces contre la sécurité des données personnelles - un ensemble de conditions et de facteurs qui créent le danger d'un accès non autorisé, y compris accidentel, aux données personnelles, pouvant entraîner la destruction, la modification, le blocage, la copie, la diffusion de données personnelles, comme ainsi que d'autres actions non autorisées lors de leur traitement dans le système de données personnelles.
Les caractéristiques du système d'information sur les données personnelles qui déterminent l'apparition de l'UBPD comprennent la catégorie et le volume de données personnelles traitées dans le système d'information, la structure du système d'information sur les données personnelles, la présence de connexions ISPD aux réseaux de communication publics et (ou) réseaux internationaux d'échange d'informations, les caractéristiques du sous-système de sécurité des données personnelles traitées dans ISPD, les modes de traitement des données personnelles, les modes de différenciation des droits d'accès pour les utilisateurs ISPD, l'emplacement et les conditions de placement des moyens techniques de l'ISPD.
Les propriétés du support de propagation des signaux informatifs contenant les informations protégées sont caractérisées par le type de support physique dans lequel les PD sont distribués, et sont déterminées lors de l'évaluation de la possibilité de mettre en œuvre l'UBPD. Les capacités des sources UBPD sont dues à une combinaison de méthodes d'accès non autorisé et (ou) accidentel aux PD, à la suite desquelles une violation de la confidentialité (copie, distribution illégale), de l'intégrité (destruction, modification) et de l'accessibilité (blocage) de DP est possible.
La menace pour la sécurité des données personnelles est réalisée à la suite de la formation d'un canal pour la mise en œuvre de l'UBPD entre la source de la menace et le support (source) des données personnelles, ce qui crée des conditions pour violer la sécurité des données personnelles. .
Les principaux éléments du canal de mise en œuvre UBPDn (Figure 1) sont :
Source UBPD - un sujet, un objet matériel ou un phénomène physique qui crée l'UBPD ;
L'environnement de diffusion des données personnelles ou les impacts dans lesquels un champ physique, un signal, des données ou des programmes peuvent se propager et affecter les propriétés protégées des données personnelles ;
Le porteur de données personnelles est un individu ou un objet matériel, y compris un champ physique, dans lequel les données personnelles se reflètent sous forme de symboles, d'images, de signaux, de solutions techniques et de processus, caractéristiques quantitatives grandeurs physiques.
Figure 1. Schéma généralisé du canal de mise en œuvre des menaces sur la sécurité des données personnelles
Les supports de données personnelles peuvent contenir des informations présentées sous les formes suivantes :
Information acoustique (parole) contenue directement dans le discours parlé de l'utilisateur ISPD lorsqu'il exécute la fonction entrée vocale PD dans le système d'information des données personnelles, ou reproduite par les moyens acoustiques de l'ISPD (si ces fonctions sont prévues par la technologie de traitement PD), ainsi que contenue dans les champs électromagnétiques et les signaux électriques résultant de transformations d'informations acoustiques ;
Informations sur les espèces (VI) présentées sous forme de texte et d'images divers appareils afficher des informations provenant d'équipements informatiques, de systèmes d'information et informatiques, de moyens techniques de traitement d'informations graphiques, vidéo et alphanumériques faisant partie du RNIS;
Informations traitées (circulant) en RNIS, sous forme d'informations électriques, électromagnétiques, signaux optiques;
Informations traitées dans ISPDN, présentées sous forme de bits, d'octets, de fichiers et d'autres structures logiques.
Afin de constituer une liste systématisée des UBPD lors de leur traitement dans l'ISPD et de l'élaboration de modèles privés sur leur base par rapport à un type spécifique d'ISPD, les menaces sont classées selon les critères suivants (Figure 2) :
Par le type d'informations protégées contre UBPD, contenant des PD ;
Par types de sources possibles d'UBPD ;
Par le type d'ISPD, vers lequel la mise en œuvre de l'UBPD est dirigée ;
En guise de mise en œuvre d'UBPDn ;
Par le type de propriété d'information violée (le type d'actions non autorisées effectuées avec PD);
Par la vulnérabilité utilisée ;
Par l'objet d'influence.
Selon les types de sources possibles d'UBPD, on distingue les suivantes
Classes de menace :
Menaces liées à des actions intentionnelles ou non intentionnelles de personnes ayant accès à l'ISPD, y compris les utilisateurs du système d'information sur les données personnelles, qui mettent en œuvre des menaces directement dans l'ISPD (violateur interne) ;
Menaces liées à des actions intentionnelles ou non intentionnelles de personnes n'ayant pas accès au RNIS, réalisant des menaces provenant de réseaux de communication publics externes et (ou) de réseaux internationaux d'échange d'informations (intrus externe).
En outre, des menaces peuvent découler de l'introduction de bogues matériels et de logiciels malveillants.
Selon le type d'ISPD visé par la mise en œuvre de l'UBPD, on distingue les classes de menaces suivantes :
UBPDn traité en ISPDn sur la base d'un poste de travail automatisé autonome (AWP) ;
UBPD, traité en ISPD sur la base d'AWP connecté au réseau public (au réseau d'échange international d'informations) ;
UBPD, traitées en ISPD sur la base de systèmes d'information locaux sans connexion au réseau public (au réseau d'échange international d'informations) ;
UBPD, traitées en ISPD sur la base de systèmes d'information locaux avec connexion au réseau public (au réseau d'échange international d'informations) ;
UBPD, traitées en ISPD sur la base de systèmes d'information distribués sans connexion au réseau public (au réseau d'échange international d'informations) ;
UBPD, traité en ISPD sur la base de systèmes d'information distribués avec connexion au réseau public (au réseau d'échange international d'informations).
Les classes de menaces suivantes sont distinguées selon les modalités de mise en œuvre de l'UBPD :
Menaces liées à l'accès non autorisé aux données personnelles (y compris les menaces d'introduction de programmes malveillants) ;
Menaces de fuite de données personnelles via les canaux de fuite d'informations techniques ;
Menaces d'impacts spéciaux sur l'ISPD.
Par le type d'actions non autorisées effectuées avec des données personnelles, on distingue les classes de menaces suivantes :
Menaces conduisant à une violation de la confidentialité des données personnelles (copie ou diffusion non autorisée), dont la mise en œuvre n'affecte pas directement le contenu de l'information ;
Menaces entraînant un impact non autorisé, y compris accidentel, sur le contenu de l'information, à la suite duquel la PD est modifiée ou détruite ;
Menaces entraînant un impact non autorisé, y compris accidentel, sur le logiciel ou les éléments matériels et logiciels de l'ISPD, à la suite de laquelle PD est bloqué.
En fonction de la vulnérabilité utilisée, les classes de menaces suivantes sont distinguées :
Menaces mises en œuvre à l'aide des vulnérabilités du logiciel système ;
Menaces mises en œuvre à l'aide des vulnérabilités des logiciels d'application ;
Menaces résultant de l'exploitation d'une vulnérabilité causée par la présence d'un périphérique matériel dans l'UA ;
Menaces mises en œuvre à l'aide de vulnérabilités dans les protocoles de communication réseau et les canaux de transmission de données ;
Menaces découlant de l'exploitation des vulnérabilités causées par les failles dans l'organisation du TZI de la NSD ;
Menaces mises en œuvre à l'aide de vulnérabilités qui conduisent à la présence de canaux techniques de fuite d'informations ;
Menaces mises en œuvre à l'aide de vulnérabilités dans le système de sécurité de l'information.
Selon l'objet de l'influence, on distingue les classes de menaces suivantes :
Menaces sur la sécurité des PD traitées sur AWS ;
Menaces de sécurité sur les données personnelles traitées dans des outils de traitement dédiés (imprimantes, traceurs, traceurs, moniteurs distants, vidéoprojecteurs, moyens de restitution sonore, etc.) ;
Menaces sur la sécurité des données personnelles transmises sur les réseaux de communication ;
Menaces sur les programmes d'application à l'aide desquels la DP est traitée ;
Menaces contre le logiciel système qui assure le fonctionnement de l'ISPD.
La mise en œuvre de l'un des UBPD des classes répertoriées ou de leur combinaison peut entraîner les types de conséquences suivants pour les sujets PD :
Conséquences négatives importantes pour les sujets parkinsoniens ;
Conséquences négatives pour les sujets parkinsoniens ;
Conséquences négatives insignifiantes pour les sujets parkinsoniens.
Les menaces de fuite de données personnelles par les canaux techniques sont décrites sans ambiguïté par les caractéristiques de la source d'information, du support de distribution et du récepteur du signal informatif, c'est-à-dire qu'elles sont déterminées par les caractéristiques du canal technique de fuite de données personnelles.
Les menaces associées aux accès non autorisés (UA) se présentent sous la forme d'un ensemble de classes généralisées de sources possibles de menaces UA, de vulnérabilités des logiciels et matériels ISPD, de méthodes de mise en œuvre des menaces, d'objets d'influence (supports d'informations protégées, annuaires, annuaires , fichiers avec PD ou eux-mêmes PD) et d'éventuelles actions destructrices. Une telle représentation est décrite par l'enregistrement formalisé suivant (Fig. 2).
1.3 Caractéristiques générales des sources de menaces dans les systèmes d'information de données personnelles
Les menaces d'accès non autorisé à l'ISPD avec l'utilisation de logiciels et de logiciels et de matériel sont mises en œuvre lorsqu'un accès non autorisé, y compris accidentel, est effectué, à la suite de quoi la confidentialité, l'intégrité et la disponibilité des données personnelles sont violées, et comprennent :
Menaces d'accès non autorisé à l'environnement d'exploitation d'un ordinateur à l'aide de logiciels standards (outils du système d'exploitation ou programmes d'application généraux) ;
Les menaces de création de modes de fonctionnement anormaux des logiciels (logiciels et matériels) signifient des modifications délibérées des données de service, ignorant les restrictions sur la composition et les caractéristiques des informations traitées prévues dans des conditions standard, la distorsion (modification) des données elles-mêmes, etc. ;
Figure 2 Classification des UBPD traitées dans les systèmes d'information sur les données personnelles
Menaces d'introduction de programmes malveillants (impact logiciel et mathématique).
La composition des éléments de la description des menaces pesant sur l'information dans le RNIS est illustrée à la figure 3.
De plus, des menaces combinées sont possibles, qui sont une combinaison de ces menaces. Par exemple, en raison de l'introduction de programmes malveillants, des conditions peuvent être créées pour un accès non autorisé à l'environnement d'exploitation d'un ordinateur, notamment par la formation de canaux d'accès à l'information non traditionnels.
Les menaces d'accès non autorisé à l'environnement d'exploitation ISPD à l'aide d'un logiciel standard sont divisées en menaces d'accès direct et à distance. Les menaces d'accès direct sont exécutées à l'aide d'entrées/sorties logicielles et matérielles d'un ordinateur. Les menaces d'accès à distance sont mises en œuvre à l'aide de protocoles réseau.
De telles menaces sont réalisées vis-à-vis de l'ISPD à la fois sur la base d'un poste de travail automatisé non inclus dans le réseau de communication public, et par rapport à tous les ISPD qui ont une connexion aux réseaux de communication publics et aux réseaux internationaux d'échange d'informations.
Figure 3 Classification des UBPD traitées dans les systèmes d'information sur les données personnelles
1.3.1 Caractéristiques générales des sources de menaces d'accès non autorisé dans le système d'information des données personnelles.
Les sources de menaces dans le système d'information des données personnelles peuvent être :
Intrus;
Le porteur du programme malveillant ;
Signet de matériel.
Les menaces pour la sécurité des données personnelles associées à la mise en œuvre des onglets matériels sont déterminées conformément aux documents réglementaires du Service fédéral de sécurité de la Fédération de Russie de la manière établie par celui-ci.
En ayant le droit d'accès permanent ou ponctuel à la zone contrôlée de l'ISPD, les contrevenants sont divisés en deux types :
Les contrevenants qui n'ont pas accès à l'ISPD, se rendant compte des menaces des réseaux de communication publics externes et (ou) des réseaux internationaux d'échange d'informations, sont des délinquants externes ;
Les contrevenants qui ont accès à l'ISPD, y compris les utilisateurs de l'ISPD, qui mettent en œuvre des menaces directement dans l'ISPD, sont des délinquants internes.
Les contrevenants externes peuvent être :
Organisations concurrentes;
Partenaires sans scrupules;
Acteurs externes (individus).
Un intrus externe a les capacités suivantes :
Effectuer un accès non autorisé aux canaux de communication qui dépassent les locaux du bureau ;
Effectuer des accès non autorisés à travers des postes de travail connectés aux réseaux de communication publics et (ou) aux réseaux d'échange d'informations internationaux ;
Effectuer un accès non autorisé aux informations en utilisant des actions logicielles spéciales via des virus logiciels, des logiciels malveillants, des signets algorithmiques ou logiciels ;
Effectuer l'accès non autorisé à travers les éléments de l'infrastructure d'information par le système d'information des données personnelles, qui au cours de leur cycle de vie (modernisation, maintenance, réparation, élimination) se retrouvent en dehors de la zone contrôlée ;
Effectuer des accès non autorisés via les systèmes d'information des départements, organisations et institutions en interaction lorsqu'ils sont connectés à l'ISPD.
Les contrevenants potentiels internes sont divisés en huit catégories en fonction de la méthode d'accès et de l'autorité pour accéder à la DP.
La première catégorie comprend les personnes qui ont un accès autorisé au PDIS, mais n'ont pas accès au PD. Ce type de contrevenant comprend les fonctionnaires qui assurent le fonctionnement normal de l'ISPD.
Avoir accès à des éléments d'information contenant des DP et se propageant à travers les canaux de communication internes ISPD ;
Disposer de fragments d'informations sur la topologie ISPD et sur les protocoles de communication utilisés et leurs services ;
Éliminer les noms et procéder à l'identification des mots de passe des utilisateurs enregistrés ;
Modifiez la configuration des moyens techniques de l'ISPD, ajoutez-y des onglets logiciels et matériels et fournissez la récupération d'informations en utilisant une connexion directe aux moyens techniques de l'ISPD.
Possède toutes les capacités des personnes de la première catégorie ;
Connaît au moins un nom d'accès légal ;
Possède tous les attributs nécessaires permettant d'accéder à un certain sous-ensemble de PD ;
Possède des données confidentielles auxquelles il a accès.
Son accès, son authentification et ses droits d'accès à un certain sous-ensemble de PD doivent être réglementés par les règles de contrôle d'accès appropriées.
Possède toutes les capacités des personnes des première et deuxième catégories ;
Dispose d'informations sur la topologie de l'ISPD basée sur un système d'information local et (ou) distribué à travers lequel l'accès est effectué, et sur la composition des moyens techniques de l'ISPD ;
A la possibilité d'accéder directement (physiquement) à des fragments de moyens techniques de l'ISPD.
Possède des informations complètes sur le système et le logiciel d'application utilisés dans le segment (fragment) ISPDN ;
Possède des informations complètes sur les moyens techniques et la configuration du segment ISPD (fragment) ;
A accès aux outils de sécurité de l'information et de journalisation, ainsi qu'aux éléments individuels utilisés dans le segment ISPD (fragment) ;
A accès à tous les moyens techniques du segment ISPD (fragment) ;
A le droit de configurer et d'administrer un certain sous-ensemble des moyens techniques du segment ISPD (fragment).
Pouvoirs de l'administrateur système ISPDN.
Possède toutes les capacités des personnes des catégories précédentes ;
Possède des informations complètes sur le système et le logiciel d'application ISPDN ;
Possède des informations complètes sur les moyens techniques et la configuration d'ISPDn ;
A accès à tous les moyens techniques de traitement de l'information et aux données ISPD ;
A les droits de configurer et d'administrer les moyens techniques de l'ISPD.
L'administrateur système configure et gère les logiciels et équipements, notamment les équipements chargés de la sécurité de l'objet protégé : moyens de protection des informations cryptographiques, surveillance, enregistrement, archivage, protection contre les falsifications.
Possède toutes les capacités des personnes des catégories précédentes ;
Possède des informations complètes sur ISPDN ;
A accès aux outils de sécurité de l'information et de journalisation et à certains des éléments clés de l'ISPD ;
N'a pas accès à la configuration des moyens techniques du réseau, à l'exception du contrôle (inspection).
Possède des informations sur les algorithmes et les programmes de traitement de l'information sur ISPD ;
A la capacité d'introduire des erreurs, des fonctionnalités non déclarées, des signets logiciels, des logiciels malveillants dans Logiciel ISPD au stade de son développement, de sa mise en œuvre et de sa maintenance ;
Il peut disposer de toute information sur la topologie de l'ISPD et les moyens techniques de traitement et de protection des PD traités dans l'ISPD.
A la capacité d'ajouter des signets aux moyens techniques de l'ISPD au stade de leur développement, de leur mise en œuvre et de leur maintenance ;
Il peut disposer de toute information sur la topologie de l'ISPD et les moyens techniques de traitement et de protection des informations dans l'ISPD.
Le porteur du programme malveillant peut être un élément matériel d'un ordinateur ou un conteneur logiciel. Si un programme malveillant n'est associé à aucun programme d'application, alors les éléments suivants sont considérés comme son porteur :
Supports aliénables, c'est-à-dire disquette, disque optique, mémoire flash ;
Supports de stockage intégrés (disques durs, puces RAM, processeur, microcircuits carte mère, des microcircuits d'appareils embarqués dans unité système, - adaptateur vidéo, carte réseau, carte son, modem, périphériques d'entrée/sortie magnétique dur et disques optiques, alimentation électrique, etc., puces d'accès direct à la mémoire, bus de transfert de données, ports d'entrée/sortie) ;
Puces pour appareils externes (écran, clavier, imprimante, modem, scanner, etc.).
Si un programme malveillant est associé à un programme d'application, avec des fichiers avec certaines extensions ou d'autres attributs, avec des messages transmis sur le réseau, alors ses porteurs sont :
Paquets de messages transmis sur un réseau informatique;
Fichiers (texte, graphiques, exécutable, etc.).
1.3.2 Caractéristiques générales des menaces d'accès direct à l'environnement d'exploitation du système d'information des données personnelles
Les menaces d'accès non autorisé à l'environnement d'exploitation d'un ordinateur et d'accès non autorisé aux données personnelles sont associées à l'accès à :
Informations et commandes stockées dans le système d'entrée / sortie de base ISPDN, avec la possibilité d'intercepter le contrôle de charge du système d'exploitation et d'obtenir les droits d'un utilisateur de confiance ;
Dans l'environnement d'exploitation, c'est-à-dire dans l'environnement du système d'exploitation local fonctionnant d'un moyen technique distinct de l'ISPD avec la possibilité d'effectuer un accès non autorisé en appelant des programmes de système d'exploitation standard ou en lançant des programmes spécialement développés qui mettent en œuvre de telles actions ;
Dans l'environnement d'exploitation des programmes d'application (par exemple, vers un système de gestion de base de données local);
Directement aux informations de l'utilisateur (fichiers, texte, audio et informations graphiques, champs et enregistrements dans bases de données électroniques données) et sont dues à la possibilité de violer leur confidentialité, leur intégrité et leur disponibilité.
Ces menaces peuvent être réalisées dans le cas de l'obtention d'un accès physique à l'ISPD ou, au moins, aux moyens d'entrer des informations dans l'ISPD. Ils peuvent être regroupés en trois groupes selon les modalités de mise en œuvre.
Le premier groupe comprend les menaces mises en œuvre lors du chargement du système d'exploitation. Ces menaces à la sécurité de l'information visent à intercepter les mots de passe ou les identifiants, à modifier le logiciel du système d'entrée/sortie de base, à intercepter le contrôle de téléchargement avec une modification des informations technologiques nécessaires pour recevoir le NSD dans l'environnement d'exploitation ISPD. Le plus souvent, de telles menaces sont mises en œuvre à l'aide de médias aliénés.
Le deuxième groupe comprend les menaces qui sont mises en œuvre après le chargement de l'environnement d'exploitation, quel que soit le programme d'application lancé par l'utilisateur. Ces menaces visent généralement à effectuer un accès direct non autorisé à l'information. Lorsqu'il accède à l'environnement d'exploitation, un intrus peut utiliser à la fois fonctions standards système d'exploitation ou tout programme d'application public (par exemple, un système de gestion de base de données), ainsi que des programmes spécialement conçus pour effectuer des accès non autorisés, par exemple :
Visionneuse de registre et programmes de modification ;
Programmes de recherche de textes dans des fichiers texte par mots-clés et copie ;
Programmes spéciaux pour visualiser et copier des enregistrements dans des bases de données;
Visionneuses rapides fichiers graphiques, les modifier ou les copier ;
Programmes d'aide à la reconfiguration de l'environnement logiciel (réglage ISPD dans l'intérêt du contrevenant).
Enfin, le troisième groupe comprend les menaces dont la mise en œuvre est déterminée par lequel des programmes d'application est lancé par l'utilisateur, ou le fait que l'un des programmes d'application est lancé. La plupart de ces menaces sont des menaces d'injection de logiciels malveillants.
1.3.3 Caractéristiques générales des menaces sur la sécurité des données personnelles, mises en œuvre à l'aide de protocoles d'interconnexion
Si l'ISPDN est mis en œuvre sur la base d'un système d'information local ou distribué, alors les menaces à la sécurité de l'information peuvent y être mises en œuvre en utilisant des protocoles d'interconnexion. Dans ce cas, un accès non autorisé aux données personnelles peut être fourni ou une menace de déni de service peut être réalisée. Les menaces sont particulièrement dangereuses lorsque ISPDN est un système d'information distribué connecté à des réseaux publics et (ou) des réseaux d'échange d'informations internationales. Le schéma de classification des menaces mis en œuvre sur le réseau est illustré à la figure 4. Il est basé sur les sept principales caractéristiques de classification suivantes.
Figure 4 Schéma de classification des menaces utilisant des protocoles d'interconnexion de réseaux
1. La nature de la menace. Sur cette base, les menaces peuvent être passives et actives. Une menace passive est une menace qui, une fois mise en œuvre, n'affecte pas directement le fonctionnement de l'ISPD, mais les règles établies pour différencier l'accès aux ressources PD ou réseau peuvent être violées. Un exemple de telles menaces est la menace Network Traffic Analysis, qui vise à espionner les canaux de communication et à intercepter les informations transmises. Une menace active est une menace associée à un impact sur les ressources ISPD, dont la mise en œuvre affecte directement le fonctionnement du système (changement de configuration, dysfonctionnement, etc.), et en violation des règles établies pour différencier l'accès au PD ou au réseau Ressources. Un exemple d'une telle menace est la menace de déni de service, qui est implémentée comme une tempête de requêtes TCP.
2. Le but de la mise en œuvre de la menace. Sur cette base, les menaces peuvent viser à violer la confidentialité, l'intégrité et la disponibilité des informations (y compris la perturbation de l'ISPD ou de ses éléments).
3. La condition pour démarrer la mise en œuvre du processus de mise en œuvre de la menace. Sur cette base, une menace peut être réalisée :
A la demande d'un objet par rapport auquel la menace est mise en œuvre. Dans ce cas, l'intrus attend la transmission d'une requête d'un certain type, qui sera la condition du début d'un accès non autorisé ;
Lors de la survenance de l'événement prévu dans l'installation, par rapport auquel la menace est mise en œuvre. Dans ce cas, l'intrus surveille en permanence l'état du système d'exploitation ISPD et, lorsqu'un certain événement se produit dans ce système, commence un accès non autorisé;
Impact inconditionnel. Dans ce cas, le début de l'accès non autorisé est inconditionnel par rapport à l'objectif d'accès, c'est-à-dire que la menace est réalisée immédiatement et quel que soit l'état du système.
4. Disponibilité des commentaires de l'ISPDN. Sur cette base, le processus de mise en œuvre d'une menace peut être avec ou sans retour d'information. La menace réalisée en présence d'un retour avec le système d'information des données personnelles se caractérise par le fait que le contrevenant a besoin de recevoir une réponse à certaines demandes envoyées à l'ISPD. Par conséquent, il existe un retour d'information entre le contrevenant et le système d'information sur les données personnelles, ce qui permet au contrevenant de répondre de manière adéquate à tous les changements dans le RNIS. Contrairement aux menaces mises en œuvre en présence d'un retour du système d'information sur les données personnelles, lors de la mise en œuvre de menaces sans retour, il n'est pas nécessaire de répondre à tout changement survenant dans l'ISPDN.
5. La localisation du contrevenant par rapport à l'ISPDN. Conformément à cette caractéristique, la menace est réalisée à la fois intra-segment et inter-segment.
Le segment de réseau est une association physique d'hôtes (moyens techniques ISPD ou éléments de communication avec une adresse réseau). Par exemple, un segment d'un système d'information de données personnelles forme un ensemble d'hôtes connectés au serveur selon le schéma « bus commun ». En cas de menace intra-segment, l'intrus a un accès physique aux éléments matériels de l'ISPD. S'il y a une menace inter-segment, alors l'intrus est situé en dehors du RNIS, réalisant une menace d'un autre réseau ou d'un autre segment par le système d'information de données personnelles.
6. Niveau modèle de référence interactions systèmes ouverts(ISO/OSI) sur lequel la menace est mise en œuvre. Sur cette base, une menace peut être mise en œuvre au niveau physique, canal, réseau, transport, session, représentant et application du modèle ISO / OSI.
7. Le rapport du nombre de contrevenants et d'éléments du RNIS, par rapport auquel la menace est mise en œuvre. Selon ce critère, une menace peut être attribuée à la classe de menaces mises en œuvre par un intrus par rapport à un moyen technique d'ISPD (menace « one to one »), à la fois par rapport à plusieurs moyens techniques d'ISPD (menace « un à plusieurs") ou par plusieurs intrus à partir d'ordinateurs différents vis-à-vis d'un ou plusieurs moyens techniques d'ISPD (menaces distribuées ou combinées).
Compte tenu de la classification effectuée, signalons les principaux types d'attaques contre le système d'information des données personnelles :
1.Analyse du trafic réseau.
Cette menace est mise en œuvre à l'aide d'un logiciel spécial d'analyse de paquets, qui intercepte tous les paquets transmis sur le segment de réseau et distingue parmi eux ceux dans lesquels l'ID utilisateur et son mot de passe sont transmis. Au cours de la mise en œuvre de la menace, l'intrus étudie la logique du fonctionnement du réseau - c'est-à-dire qu'il cherche à obtenir une correspondance sans ambiguïté entre les événements se produisant dans le système et les commandes envoyées avec tout cela par les hôtes à l'époque ces événements apparaissent. À l'avenir, cela permet à un attaquant, sur la base de la spécification des commandes appropriées, d'obtenir des droits privilégiés sur des actions dans le système ou d'étendre ses pouvoirs dans celui-ci, d'intercepter le flux de données transmises échangées par les composants du réseau exploitant système, afin d'extraire des informations confidentielles ou d'identification, leur substitution et leur modification.
2. Analyse du réseau.
L'essence du processus de mise en œuvre des menaces est de transmettre des demandes aux services réseau des hôtes RNIS et d'analyser les réponses de ces derniers. Le but est d'identifier les protocoles utilisés, les ports disponibles des services réseaux, les lois de formation des identifiants de connexion, la définition des services réseaux actifs, la sélection des identifiants et mots de passe utilisateurs.
3. La menace de révéler le mot de passe.
Le but de la mise en œuvre de la menace est d'obtenir un NSD en surmontant la protection par mot de passe. Un attaquant peut mettre en œuvre une menace à l'aide de diverses méthodes, telles que des attaques par force brute, des attaques par force brute à l'aide de dictionnaires spéciaux, l'installation de logiciels malveillants pour intercepter les mots de passe, l'usurpation d'un objet réseau de confiance et l'interception de paquets. Fondamentalement, pour la mise en œuvre de la menace sont utilisés programmes spéciaux qui tentent d'accéder à l'hôte en devinant séquentiellement les mots de passe. En cas de succès, l'attaquant peut se créer un point d'entrée pour un accès futur, qui sera valide même si le mot de passe d'accès est modifié sur l'hôte.
4. Substitution d'un objet réseau de confiance et transmission de messages via des canaux de communication en son nom avec attribution de ses droits d'accès.
Cette menace est efficacement mise en œuvre dans les systèmes où des algorithmes instables pour identifier et authentifier les hôtes et les utilisateurs sont utilisés. Un objet de confiance est un objet réseau (ordinateur, pare-feu, routeur, etc.) qui est légalement connecté au serveur. Deux types de processus de mise en œuvre de cette menace peuvent être distingués : avec l'établissement et sans l'établissement d'une connexion virtuelle. Le processus de mise en œuvre avec l'établissement d'une connexion virtuelle consiste à attribuer les droits d'interaction d'un sujet de confiance, ce qui permet à un attaquant de mener une session avec un objet réseau pour le compte d'un sujet de confiance. La mise en œuvre de ce type de menace nécessite de s'affranchir du système d'identification et d'authentification des messages. Le processus de mise en œuvre d'une menace sans établir de connexion virtuelle peut avoir lieu dans des réseaux qui identifient les messages transmis uniquement par l'adresse réseau de l'expéditeur. L'essence réside dans la transmission de messages de service au nom des dispositifs de contrôle du réseau (par exemple, au nom des routeurs) concernant la modification des données de routage et d'adresse.
A la suite de la mise en œuvre de la menace, l'intrus reçoit les droits d'accès définis par l'utilisateur pour l'abonné de confiance aux moyens techniques du RNIS.
5. Imposer une fausse route au réseau.
Cette menace est mise en œuvre de l'une des deux manières suivantes : par imposition intra-segment ou intersegment. La possibilité d'imposer une fausse route est due aux inconvénients inhérents aux algorithmes de routage (en particulier, en raison du problème d'identification des périphériques de contrôle du réseau), à la suite desquels vous pouvez obtenir, par exemple, sur un hôte ou un réseau d'intrus , où vous pouvez entrer dans l'environnement d'exploitation d'un appareil technique dans le cadre d'un RNIS ... La mise en œuvre des menaces repose sur l'utilisation non autorisée de protocoles de routage et de gestion de réseau pour modifier les tables de routage. Dans ce cas, l'attaquant doit envoyer un message de contrôle au nom du dispositif de contrôle du réseau (par exemple, un routeur).
6. Insertion d'un faux objet réseau.
Cette menace est basée sur l'exploitation de failles dans les algorithmes de recherche à distance. Dans le cas où les objets réseau ne disposent initialement pas d'informations d'adresse les uns sur les autres, divers protocoles de recherche à distance sont utilisés, qui consistent à transmettre des requêtes spéciales sur le réseau et à recevoir des réponses avec les informations requises. Dans ce cas, il existe une possibilité d'interception d'une requête de recherche par un intrus et d'émettre une fausse réponse à celle-ci, dont l'utilisation conduira à la modification requise des données d'adresse de routage. A l'avenir, tout le flux d'informations associé à l'objet victime passera par le faux objet réseau
7. Déni de service.
Ces menaces sont basées sur des failles dans le logiciel réseau, ses vulnérabilités, permettant à un attaquant de créer des conditions lorsque système opérateur devient incapable de traiter les paquets entrants. On peut distinguer plusieurs types de telles menaces :
Déni de service latent causé par l'implication d'une partie des ressources ISPD pour le traitement des paquets transmis par un attaquant avec une diminution de la bande passante des canaux de communication, les performances des périphériques réseau, la violation des exigences de temps de traitement des requêtes. Des exemples de telles menaces sont : une tempête dirigée de requêtes d'écho ICMP, une tempête de requêtes pour établir des connexions TCP, une tempête de requêtes vers un serveur FTP ;
Déni de service explicite causé par l'épuisement des ressources ISPD lors du traitement de paquets transmis par un attaquant (occupant toute la bande passante des canaux de communication, files d'attente de demandes de service débordantes), dans lequel les demandes légales ne peuvent pas être transmises via le réseau en raison de l'inaccessibilité de la transmission support ou se voient refuser la maintenance en raison de files d'attente de requêtes débordantes, d'espace disque mémoire, etc. Des exemples de ce type de menace incluent une tempête de demandes d'écho ICMP de diffusion, une tempête dirigée, une tempête de messages vers le serveur de messagerie ;
Déni de service explicite causé par une violation de la connectivité logique entre les moyens techniques de l'ISPD lorsque l'intrus envoie des messages de contrôle au nom des périphériques du réseau, entraînant une modification des données d'adresse de routage ou des informations d'identification et d'authentification ;
Déni de service explicite causé par un attaquant transmettant des paquets avec des attributs non standard ou ayant une longueur dépassant la taille maximale autorisée, ce qui peut entraîner la défaillance des périphériques réseau impliqués dans le traitement des demandes, à condition qu'il y ait des erreurs dans les programmes qui implémentent des protocoles d'échange réseau . Le résultat de la mise en œuvre de cette menace peut être un dysfonctionnement du service correspondant pour fournir un accès à distance au PD dans ISPDN, transmission à partir d'une adresse d'un tel nombre de demandes de connexion à un appareil technique dans le cadre de ISPDN, qui peut gérer le trafic autant que possible, ce qui entraîne un débordement de la file d'attente des requêtes et le refus d'un des services du réseau ou un arrêt complet de l'ordinateur du fait de l'incapacité du système à faire autre chose que traiter les requêtes.
8. Lancement à distance d'applications.
La menace réside dans la volonté d'exécuter sur l'hôte ISPD divers logiciels malveillants pré-embarqués : programmes de signets, virus, "spywares de réseau", dont le but principal est de violer la confidentialité, l'intégrité, la disponibilité des informations et le contrôle total du fonctionnement de l'hôte. De plus, le lancement non autorisé d'applications utilisateur est possible pour obtenir sans autorisation les données nécessaires à l'intrus, pour lancer les processus contrôlés par le programme d'application, etc. Il existe trois sous-classes de ces menaces :
Distribution de fichiers contenant du code exécutable non autorisé ;
Lancement d'applications à distance par débordement de buffer des applications serveur ;
Lancement à distance de l'application en utilisant les capacités de contrôle à distance du système, fournies par des onglets logiciels et matériels cachés ou utilisées par des moyens standard.
Les menaces typiques de la première des sous-classes spécifiées sont basées sur l'activation de fichiers redistribuables en cas d'accès accidentel. Des exemples de tels fichiers sont : des fichiers contenant du code exécutable sous forme de macros (Microsoft Word, documents Excel), des documents html contenant du code exécutable sous forme de contrôles ActiveX, des applets Java, des scripts interprétés (par exemple, des malwares JavaScript) ; fichiers contenant des codes de programme exécutables.
Les services de courrier électronique, de transfert de fichiers et de système de fichiers réseau peuvent être utilisés pour distribuer des fichiers.
Les menaces de la deuxième sous-classe exploitent les lacunes des programmes qui implémentent des services réseau (en particulier, l'absence de contrôle de débordement de tampon). En ajustant les registres système, il est parfois possible de commuter le processeur après une interruption provoquée par un débordement de buffer pour exécuter le code contenu en dehors de la limite de buffer.
En cas de menaces de la troisième sous-classe, l'intrus utilise les capacités de contrôle à distance du système fournies par des composants cachés ou des outils de gestion et d'administration standard. réseaux informatiques... En raison de leur utilisation, il est possible d'obtenir un contrôle à distance de la station dans le réseau. Schématiquement, les principales étapes du travail de ces programmes sont les suivantes : installation en mémoire ; attendre une demande d'un hôte distant sur lequel le programme client s'exécute et échanger des messages de disponibilité avec lui ; transférer les informations interceptées au client ou lui donner le contrôle de l'ordinateur attaqué. Les conséquences possibles de la mise en œuvre de menaces de différentes classes sont présentées dans le tableau 1.
Tableau 1. Conséquences possibles de la mise en œuvre de menaces de différentes classes
|
№
p / p |
Type d'attaque | Conséquences possibles | |
| 1 | Analyse du trafic réseau | Enquête sur les caractéristiques du trafic réseau, interception des données transmises, y compris les identifiants et mots de passe des utilisateurs | |
| 2 | Analyse du réseau | Détermination des protocoles, des ports disponibles des services réseau, des lois pour la formation des identifiants de connexion, des services réseau actifs, des identifiants des utilisateurs et des mots de passe | |
| 3 | Attaque par mot de passe | Effectuer toute action destructrice associée à l'obtention d'un accès non autorisé | |
| 4 | Usurpation d'un objet réseau de confiance | Modification de l'acheminement des messages, modification non autorisée du routage et des données d'adresse. Accès non autorisé aux ressources du réseau, imposant de fausses informations | |
| 5 | Imposer une fausse route | Changement non autorisé des données de routage et d'adresse, analyse et modification des données transmises, imposition de faux messages | |
| 6 | Fausse injection d'objet réseau | Interception et visualisation du trafic. Accès non autorisé aux ressources du réseau, imposant de fausses informations | |
| 7 | Déni de service | Épuisement partiel des ressources | Diminution de la bande passante des canaux de communication, performances des périphériques réseau. Diminution des performances des applications serveur. |
| Épuisement total des ressources | Impossibilité de transférer des messages en raison d'un manque d'accès au support de transmission, refus d'établir une connexion. Refus de fournir le service. | ||
| Violation de la cohérence logique entre attributs, données, objets | Incapacité de transmettre des messages en raison du manque de données d'acheminement et d'adresse correctes. Impossibilité de recevoir des services en raison de la modification non autorisée des identifiants, mots de passe, etc. | ||
| Utilisation de bogues dans les programmes | Violation des performances des périphériques réseau. | ||
| 8 | Lancement d'application à distance | En envoyant des fichiers contenant un code exécutable destructeur, une infection virale. | Violation de la confidentialité, de l'intégrité, de la disponibilité des informations. |
| En débordant le buffer applicatif du serveur | |||
| En utilisant les capacités de contrôle du système à distance fournies par des onglets logiciels et matériels cachés ou utilisées par des moyens standard | Contrôle caché du système. | ||
En général, le processus de mise en œuvre des menaces comprend quatre étapes :
Collecter des informations ;
Intrusions (pénétration dans l'environnement d'exploitation) ;
Mise en œuvre d'accès non autorisés ;
Éliminez les traces d'accès non autorisé.
Au stade de la collecte d'informations, le contrevenant peut être intéressé par diverses informations sur l'ISPD, notamment :
À propos de la topologie du réseau dans lequel le système fonctionne. Dans ce cas, la zone autour du réseau peut être étudiée (par exemple, l'attaquant peut être intéressé par les adresses d'hôtes de confiance, mais moins sécurisés). Il existe des utilitaires qui effectuent une détermination parallèle de la disponibilité des hôtes, qui sont capables d'analyser une grande partie de l'espace d'adressage pour la disponibilité des hôtes dans un court laps de temps .;
Sur le type de système d'exploitation (OS) dans ISPDN. La méthode de détermination du type de système d'exploitation peut être considérée comme la demande la plus simple d'établir une connexion via le protocole d'accès à distance Telnet, à la suite de laquelle le type de système d'exploitation hôte peut être déterminé par "l'apparence" de la réponse. La présence de certains services peut également servir d'indicateur supplémentaire pour déterminer le type d'OS hôte ;
À propos des services fonctionnant sur les hôtes. La définition des services s'exécutant sur un hôte est basée sur la méthode des « ports ouverts » pour recueillir des informations sur la disponibilité d'un hôte.
Au stade de l'invasion, la présence de vulnérabilités typiques dans les services système ou d'erreurs dans l'administration du système est étudiée. Le résultat réussi de l'exploitation des vulnérabilités est généralement que le processus incriminé obtient le mode d'exécution privilégié (accès au mode d'exécution privilégié du processeur), injecte dans le système Compte utilisateur illégal, obtention d'un fichier de mot de passe ou dysfonctionnement de l'hôte attaqué.
Cette étape de développement de la menace est généralement en plusieurs phases. Les phases du processus de mise en œuvre de la menace peuvent inclure, par exemple : l'établissement d'une communication avec l'hôte, par rapport auquel la menace est mise en œuvre ; identification des vulnérabilités ; l'introduction d'un programme malveillant dans l'intérêt de l'autonomisation, etc.
Les menaces mises en œuvre pendant la phase d'intrusion sont classées par niveaux de pile de protocoles TCP/IP, car elles sont générées au niveau du réseau, du transport ou de la couche application, selon le mécanisme d'intrusion utilisé. Les menaces typiques mises en œuvre au niveau des couches réseau et transport incluent :
Une menace visant à substituer un objet de confiance ;
Une menace visant à créer une fausse route dans le réseau ;
Menaces visant à créer un faux objet en utilisant les failles des algorithmes de recherche à distance ;
Menaces de déni de service.
Les menaces typiques mises en œuvre au niveau de l'application comprennent les menaces visant le lancement non autorisé d'applications, les menaces dont la mise en œuvre est associée à l'introduction de signets logiciels, à l'identification de mots de passe pour accéder à un réseau ou à un hôte spécifique, etc. Si la mise en œuvre de la menace n'a pas apporté au contrevenant les droits d'accès les plus élevés dans le système, des tentatives d'extension de ces droits au niveau maximum possible sont possibles. Pour cela, les vulnérabilités des services réseau peuvent être utilisées, mais également les vulnérabilités du logiciel système des hôtes ISPdn.
Au stade de la mise en œuvre de l'accès non autorisé, l'objectif de mise en œuvre de la menace est atteint :
Violation de la confidentialité (copie, diffusion illégale) ;
Violation de l'intégrité (destruction, changement);
Violation d'accessibilité (blocage).
Au même stade, après ces actions, en règle générale, une "porte dérobée" est formée sous la forme de l'un des services desservant un certain port et exécutant les commandes du contrevenant. La « porte dérobée » est laissée dans le système afin d'assurer : la possibilité d'accéder à l'hôte, même si l'administrateur élimine la vulnérabilité utilisée pour mettre en œuvre avec succès la menace ; la possibilité d'accéder à l'hôte aussi furtivement que possible ; la possibilité d'accéder rapidement à l'hôte (sans répéter à nouveau le processus de mise en œuvre de la menace). La porte dérobée permet à un intrus d'injecter des logiciels malveillants dans un réseau ou un hôte spécifique, par exemple, un « analyseur de mots de passe » - un programme qui extrait les ID utilisateur et les mots de passe du trafic réseau lorsque des protocoles de haut niveau sont en cours d'exécution). Les objets de l'injection de logiciels malveillants peuvent être des programmes d'authentification et d'identification, des services réseau, le noyau du système d'exploitation, système de fichiers, bibliothèques, etc.
Enfin, au stade de l'élimination des traces de la réalisation de la menace, une tentative est faite pour détruire les traces des actions du contrevenant. Cela supprime les enregistrements correspondants de tous les journaux d'audit possibles, y compris les enregistrements du fait que les informations ont été collectées.
1.4 Caractéristiques de la Banque et de ses activités
PJSC Citibank est une organisation financière et de crédit du système bancaire de la Fédération de Russie qui effectue des transactions financières avec de l'argent et des titres. La Banque fournit des services financiers aux personnes physiques et morales.
Principaux domaines d'activité - prêts aux personnes morales et aux particuliers, tenue de compte clientèle, l'attraction des fonds de la population dans les dépôts, les opérations sur les marchés des changes et interbancaires, les investissements en obligations et en billets.
La Banque exerce ses activités financières depuis le 1er août 1990 sur la base de la Licence générale de la Banque de Russie pour les activités bancaires n° 356.
La Banque dispose de trois systèmes d'information sur les données personnelles :
Système d'information des données personnelles des employés de la Banque - permet d'identifier 243 sujets de données personnelles ;
Système d'information sur les données personnelles du système de contrôle et de gestion d'accès - vous permet d'identifier 243 personnes concernées;
Système d'information sur les données personnelles du système bancaire automatisé - vous permet d'identifier 9681 personnes concernées.
1.5 Bases de données de données personnelles
La Banque a besoin de protéger plusieurs informations données personnelles à la fois, à savoir :
Système d'information des données personnelles des salariés de la Banque ;
Système d'information sur les données personnelles du système de contrôle et de gestion d'accès ;
Système d'information sur les données personnelles du système bancaire automatisé.
1.5.1 Système d'information des données personnelles des employés de l'organisation
ISPDn des employés de la Banque est utilisé pour accumuler les employés de la Banque les salaires, l'automatisation du travail du personnel du service du personnel, l'automatisation du travail des employés du service comptable de la Banque et la résolution d'autres problèmes de personnel et de comptabilité. Se compose de la base de données 1C "Gestion des salaires et du personnel", située sur un lieu de travail automatisé séparé avec la possibilité de se connecter au lieu de travail via le réseau. AWP est situé dans le bureau du département des ressources humaines. Le poste de travail est équipé du système d'exploitation Microsoft Windows XP. Il n'y a pas de connexion Internet au poste de travail.
Nom et prénom;
Date de naissance;
Série et numéro de passeport ;
Numéro de téléphone;
Le droit de travailler avec le logiciel 1C "Gestion des salaires et du personnel" et une base de données de données personnelles ont :
Chef comptable;
Assistante chef comptable;
Chef du service des ressources humaines ;
L'employé responsable du calcul de la masse salariale des employés de la Banque.
Modification manuelle des données ;
1.5.2 Système d'information des données personnelles du système de contrôle d'accès et de gestion
Le système d'information sur les données personnelles du système de contrôle et de gestion des accès est utilisé pour stocker les données personnelles des employés et des visiteurs de la Banque qui ont accès aux différents locaux de la Banque. L'ISPDN du système de contrôle d'accès et de gestion est utilisé par le service sécurité de la Banque. La base de données ISPD est installée sur l'AWP situé dans la salle de sécurité du service de sécurité. Le système d'exploitation Microsoft Windows 7 est installé sur le poste de travail ISPD, le SGBD Microsoft SQL Server 2012 est utilisé comme système de gestion de base de données. Le poste de travail ISPD n'a pas accès au réseau local, et n'a pas non plus accès à Internet.
Les données personnelles suivantes sont stockées dans l'ISPD :
Nom et prénom;
Photo de l'employé.
Les systèmes de contrôle d'accès et de gestion ont le droit de travailler avec ISPD :
Chef du Département de la sécurité de la Banque ;
Chef adjoint du Département de la sécurité de la Banque ;
Employés du service de sécurité de la Banque.
L'accès au poste de travail automatisé du système de contrôle et de gestion d'accès est disponible pour :
Administrateurs système, pour l'administration d'un poste de travail automatisé et d'un logiciel 1C "Gestion des salaires et du personnel" et d'une base de données de données personnelles ;
Les employés de la subdivision responsable de la sécurité de l'information de la Banque pour administrer le système de sécurité de l'information AWP.
Les fonctions suivantes peuvent être exécutées dans l'ISPD des employés de banque :
Suppression automatisée des données personnelles ;
Suppression manuelle des données personnelles ;
Modification manuelle des données ;
Ajout manuel de données personnelles ;
Recherche automatisée de données personnelles.
Le système d'information sur les données personnelles stocke des données qui permettent l'identification de 243 employés de la Banque.
Après avoir atteint les objectifs de traitement des données personnelles de l'employé, ses données personnelles sont supprimées de l'ISPD.
1.5.3 Système d'information des données personnelles du système bancaire automatisé
Le système d'information sur les données personnelles du système bancaire automatisé est conçu pour automatiser le travail de la plupart des employés de la banque. Il vous permet d'augmenter la productivité des employés. Le complexe est utilisé comme un système bancaire automatisé. produits logiciels"CFT-Bank", produit par le groupe de sociétés "Center for Financial Technologies". Le logiciel Oracle est utilisé comme système de gestion de base de données. L'ISPDN est déployé sur le serveur de la Banque, le système d'exploitation installé sur le serveur est Microsoft Windows Server 2008 R2. L'ISPDN du système bancaire automatisé est connecté au réseau informatique local de la banque, mais n'a pas accès à Internet. Les utilisateurs sont connectés à la base de données ISPDN à l'aide des produits logiciels CFT-Bank à partir de terminaux virtuels dédiés. Chaque utilisateur a son propre nom d'utilisateur et mot de passe dans ISPDN.
Données personnelles traitées dans ISPD :
Nom et prénom;
Date de naissance;
Série et numéro de passeport ;
Numéro de téléphone;
Les personnes suivantes ont le droit de travailler avec le logiciel CFT-Bank et la base de données personnelles :
Personnel comptable;
Employés du service de crédit ;
Employés du département de gestion des risques ;
Employés du département des garanties ;
Gestionnaires personnels ;
Gestionnaires de clientèle ;
Personnel du service de sécurité.
L'accès au poste de travail automatisé est disponible pour :
Administrateurs système pour administrer le serveur, la base de données personnelles et le logiciel CFT-Bank ;
Employés du service responsable de la sécurité de l'information de la Banque pour administrer le serveur, la base de données personnelles et le logiciel CFT-Bank.
Les fonctions suivantes peuvent être exécutées dans l'ISPD des employés de banque :
Suppression automatisée des données personnelles ;
Suppression manuelle des données personnelles ;
Ajout manuel de données personnelles ;
Modification manuelle des données ;
Recherche automatisée de données personnelles.
Le système d'information sur les données personnelles stocke des données permettant d'identifier 243 employés de la Banque et 9 438 clients de la Banque.
Après avoir atteint les objectifs de traitement des données personnelles de l'employé, ses données personnelles sont supprimées de l'ISPD.
1.6 Conception et menaces du réseau local de la Banque
La banque a déployé un réseau client-serveur. Le nom du domaine dans lequel se trouvent les postes de travail des utilisateurs est vitabank.ru. Au total, la banque dispose de 243 postes de travail utilisateurs automatisés, ainsi que de 10 serveurs virtuels et 15 postes de travail virtuels. Le réseau est surveillé par le service d'administration du système. Le réseau est construit principalement sur l'équipement réseau de la société Cisco. La communication avec des bureaux supplémentaires est prise en charge à l'aide de canaux VPN utilisant Internet via les canaux existants et de secours du fournisseur d'accès Internet. L'échange d'informations avec la Banque centrale s'effectue par un canal dédié, ainsi que par des canaux de communication ordinaires.
Tous les utilisateurs des postes de travail locaux ont accès à Internet, mais le travail avec les documents et les systèmes d'information de la Banque s'effectue uniquement à l'aide de postes de travail virtuels, sur lesquels l'accès à Internet est limité et seules les ressources locales de la Banque sont chargées.
L'accès à Internet depuis les postes locaux est délimité par des groupes d'accès :
Accès minimum - accès uniquement aux ressources des services fédéraux, au site Web de la Banque de Russie;
Accès normal - toutes les ressources sont autorisées à l'exception des divertissements, réseaux sociaux, il est interdit de regarder des vidéos et de télécharger des fichiers.
Accès complet - toutes les ressources et les téléchargements de fichiers sont autorisés ;
Le filtrage des ressources par groupes d'accès est implémenté par le serveur proxy.
Vous trouverez ci-dessous un schéma du réseau Citibank (Fig. 5).
1.7 Outils de sécurité de l'information
Les moyens de sécurité de l'information sont un ensemble de dispositifs et dispositifs d'ingénierie, électriques, électroniques, optiques et autres, d'instruments et de systèmes techniques, ainsi que d'autres éléments utilisés pour résoudre diverses tâches de sécurité de l'information, notamment la prévention des fuites et la garantie de la sécurité des informations protégées. .
Les moyens de protection de l'information en termes de prévention des actions délibérées, selon la méthode de mise en œuvre, peuvent être divisés en groupes :
Moyens techniques (matériels). Ce sont des dispositifs de divers types (mécaniques, électromécaniques, électroniques, etc.) qui résolvent les problèmes de sécurité de l'information avec le matériel. Ils empêchent l'accès à l'information, y compris en la masquant. Le matériel comprend : des générateurs de bruit, des protecteurs de surtension, des radios à balayage et de nombreux autres dispositifs qui « bloquent » les canaux de fuite d'informations potentiels ou permettent de les détecter. Les avantages des moyens techniques sont liés à leur fiabilité, leur indépendance vis-à-vis des facteurs subjectifs et leur haute résistance à la modification. Faiblesses - manque de flexibilité, volume et poids relativement importants, coût élevé.
Figure 5 Schéma du réseau de PJSC Citibank
Les outils logiciels comprennent des programmes pour l'identification des utilisateurs, le contrôle d'accès, le cryptage des informations, la suppression des informations résiduelles (de travail) telles que les fichiers temporaires, le contrôle des tests du système de sécurité, etc. Les avantages des outils logiciels sont la polyvalence, la flexibilité, la fiabilité, la facilité d'installation , capacité de modification et de développement. Inconvénients - fonctionnalité réseau limitée, utilisation de certaines des ressources du serveur de fichiers et des postes de travail, sensibilité élevée aux modifications accidentelles ou délibérées, dépendance possible aux types d'ordinateurs (leur matériel).
Le matériel/logiciel mixte implémente les mêmes fonctions que le matériel et le logiciel séparément et possède des propriétés intermédiaires.
Tous les locaux de la Banque sont contrôlés par le service de sécurité à l'aide d'un système de contrôle d'accès et de surveillance, ainsi que d'un système de vidéosurveillance. L'entrée dans les locaux de la banque s'effectue avec les autorisations appropriées dans le système de contrôle et de gestion d'accès. Un employé, lors de sa candidature à un emploi, ou un visiteur de la Banque, s'il est nécessaire d'accéder aux locaux de la Banque, se voient délivrer des cartes de Proximité sans contact, sur lesquelles l'identifiant est enregistré et, lorsqu'il tente d'accéder aux locaux, cet identifiant est transféré au système de contrôle et de gestion d'accès. Le système compare la liste des chambres dans lesquelles l'utilisateur de la carte est autorisé à entrer avec la chambre dans laquelle il souhaite entrer et autorise ou restreint le passage vers la chambre.
Le logiciel anti-virus Kaspersky Endpoint Security 10 est installé sur les postes de travail de la Banque, qui dispose du certificat de conformité FSTEC de Russie n°3025, valable jusqu'au 25 novembre 2019, les bases de signatures de virus sont mises à jour de manière centralisée par la partie serveur de l'antivirus installé sur le serveur situé dans la Banque.
Pour l'organisation de la circulation électronique des documents avec la Banque Centrale, les autorités de la Banque disposent d'une ligne de communication dédiée.
Pour organiser le flux de documents électroniques avec les services fédéraux (Service fédéral des impôts, Caisse de retraite de Russie, Service de surveillance financière, etc.), une signature électronique est utilisée. Travailler avec signature électronique sur les postes de travail locaux des exécuteurs chargés des flux documentaires avec les services fédéraux, un logiciel spécialisé est installé :
Crypto Pro CSP ;
Crypto-poste de travail ;
SKZI Verba-OW ;
Validation SKZI ;
Signal-COM CSP.
L'utilisation de certains logiciels par l'entrepreneur dépend des exigences d'un certain organisme fédéral.
Un pare-feu Cisco ASA 5512, fabriqué par Cisco Corporation, est installé en bordure du réseau local de la Banque. De plus, les systèmes bancaires critiques (AWP du client de la Banque de Russie, SWIFT, ISPDN Bank) sont en outre séparés du réseau local de la Banque par des pare-feu Cisco. Des tunnels VPN pour la communication avec le bureau supplémentaire sont organisés à l'aide de pare-feu Cisco.
1.8 Garanties organisationnelles
Selon une étude réalisée en 2014 par le cabinet d'audit et de conseil britannique Ernst & Yong, 69 % des entreprises interrogées considèrent leurs employés comme la principale source de menaces à la sécurité de l'information.
Les employés de l'entreprise peuvent, par ignorance ou par leur incompétence dans le domaine de la sécurité de l'information, divulguer des informations critiques nécessaires pour mener des attaques ciblées contre l'organisation. Les cybercriminels envoient également des messages de phishing avec des logiciels malveillants intégrés qui permettent aux attaquants de prendre le contrôle du lieu de travail de l'employé et à partir de ce lieu de travail pour attaquer les systèmes d'information de la Banque.
Par conséquent, le service de sécurité de l'information de la Banque est tenu de former les employés de la Banque sur les principes fondamentaux de la sécurité de l'information, de surveiller le respect des exigences de sécurité lorsqu'ils travaillent sur les lieux de travail et d'informer les employés de la Banque des nouvelles menaces de sécurité de l'information auxquelles ils peuvent être confrontés.
Chez Citibank, tous les employés suivent une formation d'intégration lorsqu'ils postulent à un emploi. De plus, les nouveaux employés, les employés transférés d'autres divisions structurelles subissent un premier briefing au sein du service de sécurité de l'information, au cours duquel les employés se voient expliquer les règles de base de la sécurité de l'information lorsqu'ils travaillent avec les systèmes d'information de la Banque, les règles de sécurité lorsqu'on travaille sur Internet, les règles de sécurité lorsqu'on travailler avec e-mail De la Banque, la politique de mot de passe de la Banque.
Les employés du service de sécurité de l'information de la Banque participent au développement et à la mise en œuvre des nouveaux systèmes d'information de la Banque à tous les niveaux de développement des systèmes.
Au stade de la conception du système et de la préparation des spécifications techniques pour le développement d'un système d'information, le service de sécurité de l'information formule des exigences de sécurité pour le système.
Au stade du développement d'un système d'information, les employés du service de sécurité de l'information étudient la documentation actuelle, testent le logiciel pour détecter d'éventuelles vulnérabilités dans le code du programme.
Au stade des tests et de la mise en service du système d'information, la direction de la sécurité de l'information participe activement aux tests du système d'information, réalise des tests d'intrusion dans le système d'information et des tests de déni de service, et distribue également les droits d'accès au système d'information.
Au stade de fonctionnement du système d'information déjà mis en service, la direction de la sécurité de l'information surveille et détecte les activités suspectes.
Au stade de la finalisation du système d'information, la direction de la sécurité de l'information, à partir des données obtenues lors du fonctionnement du système d'information, construit de nouveaux besoins pour le système d'information.
Le Département Sécurité de l'Information de Citibank coordonne toutes les demandes d'accès aux ressources Internet, ainsi qu'aux ressources internes de la Banque.
1.9 Cycle de traitement des données personnelles
Les données personnelles stockées à la Banque ne sont obtenues que par des moyens légaux.
Les données personnelles reçues de l'employé de la Banque sont traitées uniquement pour que la Banque remplisse ses obligations en vertu de l'accord conclu avec l'employé. Les données personnelles de l'employé de la Banque ont été obtenues auprès de l'employé lui-même. Tous les employés de la Banque sont familiarisés avec les documents de la Banque, établissant la procédure de traitement des données personnelles des employés de la Banque, ainsi que leurs droits et obligations en la matière.
Les données personnelles des employés de banque stockées dans l'ISPDN du système de contrôle et de gestion d'accès sont destinées à admettre l'employé à lieu de travail.
Les données personnelles des clients de la Banque stockées dans le RNIS du système bancaire automatisé n'y sont traitées que pour que la Banque remplisse ses obligations au titre de la convention conclue avec le client de la Banque. En outre, les données personnelles des personnes qui n'ont pas conclu d'accord avec la Banque, mais obtenues de manière légale, sont traitées dans l'ISPDN du système bancaire automatisé, par exemple, les données personnelles reçues et traitées à la demande de la loi fédérale. N° 115-FZ du 7 août 2001 « Sur la lutte contre la légalisation (blanchiment) des revenus illicitement obtenus et le financement du terrorisme ».
Après avoir atteint les objectifs de traitement des données personnelles, celles-ci sont détruites ou dépersonnalisées.
2. DÉVELOPPEMENT DES MESURES DE PROTECTION DES DONNÉES PERSONNELLES DANS LA BANQUE
Chez Citibank, le système de protection des données personnelles est régi à la fois par les lois nationales et les réglementations locales (par exemple, les règles de banque à distance entités juridiques et les entrepreneurs individuels de PJSC CITIBANK "à l'annexe 1).
Citibank a installé son système de protection des données personnelles dans une mesure suffisante pour éviter les attaques simples telles que le phishing et l'infection des postes de travail par des virus ransomware, mais elle est incapable de résister aux attaques ciblées visant à voler des données personnelles.
J'ai effectué des travaux de reconstruction et de modernisation du système de protection des données personnelles.
2.1 Mesures de protection du réseau informatique local de la banque et du système d'information des données personnelles
Le réseau de Citibank présente des faiblesses prononcées, grâce auxquelles les attaquants peuvent obtenir un accès complet au réseau de la banque et en intercepter le contrôle, après quoi ils peuvent facilement voler, modifier ou supprimer les données personnelles des clients ou des employés de la banque.
Le réseau de la Banque étant un seul segment, afin de minimiser les risques d'intrusion d'intrus dans le réseau de la Banque, il doit être divisé en plusieurs segments à l'aide de la technologie des réseaux virtuels.
Le concept de la technologie de construction de réseaux virtuels (VLAN) est que l'administrateur réseau peut y créer des groupes logiques d'utilisateurs, quelle que soit la partie du réseau à laquelle ils sont connectés. Il est possible de regrouper les utilisateurs en groupes de travail logiques, par exemple, sur la base de la communauté du travail effectué ou d'un problème résolu conjointement. Dans ce cas, les groupes d'utilisateurs peuvent interagir les uns avec les autres ou être complètement invisibles les uns pour les autres. L'appartenance à un groupe peut être modifiée et un utilisateur peut être membre de plusieurs groupes logiques. Les réseaux virtuels forment des domaines de diffusion logiques, restreignant le passage des paquets de diffusion sur le réseau, tout comme les routeurs qui isolent le trafic de diffusion entre les segments de réseau. Ainsi, le réseau virtuel empêche l'apparition de tempêtes de diffusion, puisque les messages de diffusion sont limités aux membres du réseau virtuel et ne peuvent pas être reçus par les membres d'autres réseaux virtuels. Les réseaux virtuels peuvent autoriser l'accès aux membres d'un autre réseau virtuel dans les cas où il est nécessaire d'accéder à des ressources partagées, telles que des serveurs de fichiers ou des serveurs d'applications, ou lorsqu'une tâche commune nécessite l'interaction de divers services, tels que les services de crédit et de règlement. Des réseaux virtuels peuvent être créés sur la base de ports de commutation, d'adresses physiques d'appareils inclus dans le réseau et d'adresses logiques des protocoles de troisième couche du modèle OSI. L'avantage des réseaux virtuels est la grande vitesse des commutateurs, car les commutateurs modernes contiennent un ensemble spécialisé de circuits intégrés spécialement conçus pour résoudre les problèmes de commutation au deuxième niveau du modèle OSI. Les réseaux virtuels du troisième niveau sont les plus faciles à installer, si vous n'avez pas besoin de reconfigurer les clients réseau, ils sont les plus difficiles à administrer, car toute action avec un client réseau nécessite soit la reconfiguration du client lui-même, soit du routeur, et est la moins flexible, puisque la connexion des réseaux virtuels nécessite du routage, ce qui augmente le coût du système et diminue ses performances.
Ainsi, la création de réseaux virtuels au sein de la Banque empêchera les attaques par usurpation d'ARP. Les attaquants ne pourront pas intercepter les informations passant entre le serveur et le client. En pénétrant dans le réseau, les attaquants ne pourront pas scanner l'ensemble du réseau de la Banque, mais uniquement le segment de réseau auquel ils ont eu accès.
Lorsqu'ils pénètrent dans le réseau de la Banque, les attaquants analysent d'abord le réseau pour trouver les nœuds de réseau critiques. Ces nœuds sont :
contrôleur de domaine ;
Serveur proxy;
Serveur de courrier;
Serveur de fichiers;
Serveur d'applications.
Étant donné que le réseau local de la Banque sera organisé à l'aide de la technologie des réseaux virtuels, les attaquants ne pourront pas détecter ces nœuds sans actions supplémentaires. Afin de rendre plus difficile pour les attaquants de trouver des nœuds critiques du réseau local et de les confondre, et à l'avenir d'étudier la stratégie des attaquants lors de la réalisation d'une attaque sur le réseau, il est nécessaire d'utiliser de faux objets qui attirer les attaquants. Ces objets sont appelés Honeypots.
La tâche du Honeypot est de subir une attaque ou une enquête non autorisée, qui permettra par la suite d'étudier la stratégie des attaquants et de déterminer la liste des moyens par lesquels des attaques sur des objets de sécurité réels peuvent être livrées. Une implémentation Honeypot peut être un serveur dédié dédié ou un service réseau unique conçu pour attirer l'attention des attaquants.
Un pot de miel est une ressource qui ne fait rien sans l'affecter. Le pot de miel recueille une petite quantité d'informations, après analyse, il établit des statistiques sur les méthodes utilisées par les pirates, ainsi que détermine la présence de toute nouvelle solution qui sera ensuite utilisée pour lutter contre eux.
Par exemple, un serveur Web qui n'a pas de nom et qui est pratiquement inconnu de tous ne devrait donc pas avoir d'invités qui le visitent, de sorte que toutes les personnes qui tentent de s'y introduire sont des pirates potentiels. Le pot de miel collecte des informations sur le comportement de ces attaquants et leurs manières d'influencer le serveur. Après cela, les spécialistes du département de sécurité de l'information collectent des informations sur l'attaque des cybercriminels sur la ressource et développent des stratégies pour repousser les attaques à l'avenir.
Pour contrôler les informations provenant d'Internet et détecter les menaces à la sécurité de l'information au stade de leur transmission sur le réseau, ainsi que pour détecter l'activité d'intrus ayant pénétré le réseau local de la Banque, il est nécessaire d'installer un système de prévention des intrusions au frontière du réseau.
Système de prévention des intrusions - Un système logiciel ou matériel pour la sécurité du réseau et de l'ordinateur qui détecte les intrusions ou les failles de sécurité et s'en protège automatiquement.
Les systèmes de prévention d'intrusion peuvent être considérés comme une extension des systèmes de détection d'intrusion, car la tâche de suivi des attaques reste la même. Cependant, ils diffèrent par le fait que le système de prévention des intrusions surveille l'activité en temps réel et met en œuvre rapidement des actions pour empêcher les attaques.
Les systèmes de détection et de prévention des intrusions sont divisés en :
Systèmes de prévention des intrusions dans le réseau - Analysez le trafic dirigé vers le réseau d'une organisation, passant sur le réseau lui-même ou dirigé vers un ordinateur spécifique. Les systèmes de détection et de prévention des intrusions peuvent être mis en œuvre à l'aide de méthodes logicielles ou matérielles-logicielles, installées sur le périmètre du réseau d'entreprise et parfois à l'intérieur de celui-ci.
Systèmes personnels Intrusion Prevention est un logiciel qui est installé sur les postes de travail ou les serveurs et vous permet de surveiller l'activité des applications, ainsi que de surveiller l'activité du réseau pour détecter d'éventuelles attaques.
Un système de prévention des intrusions dans le réseau a été choisi pour être déployé dans le réseau de la Banque.
Nous avons considéré les systèmes d'intrusion réseau d'IBM, Check Point, Fortinet, Palo Alto, car la fonctionnalité déclarée des fabricants de ces systèmes correspondait aux exigences du service de sécurité de l'information de la Banque.
Après avoir déployé des bancs de test et testé les systèmes de prévention des intrusions, un système Check Point a été choisi, car il présentait les meilleures performances, le meilleur sous-système pour détecter les logiciels antivirus transmis sur le réseau local, les meilleurs outils pour enregistrer et enregistrer les événements importants et le prix d'achat. .
Le système de prévention des intrusions d'IBM a été rejeté en raison du coût des appareils dépassant le budget du service de sécurité de l'information pour un système de prévention des intrusions.
Le système de prévention des intrusions de Fortinet a été rejeté en raison d'un déclenchement incomplet par le personnel de cybersécurité des tests de transfert de fichiers infectés et d'outils de journalisation insuffisamment informatifs pour les événements importants.
Le système de prévention des intrusions de Palo Alto a été rejeté en raison d'une journalisation inadéquate des événements importants, d'une complexité excessive du système et de son fonctionnement plus semblable à un routeur.
Le système de prévention des intrusions Check Point a été choisi pour être mis en œuvre dans le réseau local. Ce système a montré un haut niveau de détection des menaces de sécurité de l'information, des paramètres flexibles, la possibilité d'étendre les fonctionnalités en achetant des modules logiciels supplémentaires, dispose d'un système de journalisation puissant pour les événements importants et d'outils puissants pour fournir des rapports d'incident, avec lesquels il est beaucoup plus facile pour enquêter sur les incidents de sécurité de l'information qui se sont produits.
Le schéma du réseau de PJSC Citibank avec l'architecture repensée est illustré à la figure 6.
2.2 Protection logicielle et matérielle
Car la sécurité des données personnelles ne peut être assurée que par la protection du réseau, car les attaquants, malgré toutes les mesures prises pour protéger le réseau, peuvent accéder au réseau de la Banque.
Figure 6 Schéma du réseau Citibank avec des systèmes de sécurité supplémentaires
Pour une protection plus robuste contre les attaques, il est nécessaire d'ajouter aux dispositifs destinés à protéger le réseau, des dispositifs logiciels et matériels de protection des postes de travail locaux, des postes de travail virtuels, des serveurs virtuels et réguliers.
Comme vous le savez, les programmes antivirus n'offrent pas une protection complète contre les logiciels malveillants, car ils fonctionnent sur le principe de l'analyse des signatures. La société de logiciels antivirus emploie des experts qui surveillent l'activité des virus sur Internet, étudient le comportement des logiciels antivirus dans les stations de test et créent des signatures qui sont ensuite envoyées aux ordinateurs des utilisateurs en mettant à jour les bases de données de signatures des logiciels antivirus. L'antivirus, ayant reçu une base de données mise à jour des signatures du logiciel antivirus, analyse les fichiers sur le poste de travail de l'utilisateur et recherche des signes de logiciels malveillants ; si de tels signes sont trouvés lors de l'analyse, l'antivirus le signale et agit conformément aux paramètres définis par l'utilisateur ou l'administrateur antivirus. Ainsi, si un logiciel malveillant n'est pas détecté et analysé par les experts de la société de logiciels antivirus, l'antivirus ne sera pas en mesure de détecter le logiciel malveillant et ne prendra aucune mesure, considérant que le fichier scanné est sûr. Ainsi, afin de réduire la probabilité d'entrée sur le réseau et le lancement de logiciels malveillants, la Banque a installé un deuxième circuit de protection antivirus. Étant donné que la plupart des sociétés de logiciels antivirus fonctionnent séparément, les logiciels malveillants qui n'ont pas encore été détectés par une société de logiciels antivirus peuvent être détectés par une autre société de développement et des signatures peuvent déjà être créées pour la menace détectée.
Pour mettre en œuvre un tel schéma, un poste de travail virtuel a été créé, sur lequel a été installé la combinaison de sécurité Doctor WEB Enterprise, qui dispose d'un certificat de conformité au FSTEC de Russie n° 2446, valable jusqu'au 20 septembre 2017. Tous les fichiers que les employés de la banque ont téléchargés pendant leur travail vont à cette station et sont vérifiés par l'antivirus. Si un logiciel malveillant est détecté, l'antivirus envoie une lettre au service de sécurité de l'information avec le nom de la menace et le chemin où le fichier infecté est stocké. Le personnel de sécurité de l'information prend des mesures pour supprimer les logiciels malveillants. Si les fichiers téléchargés par les utilisateurs sont vérifiés par le logiciel antivirus, l'utilisateur qui a téléchargé le fichier fait une demande au service de sécurité de l'information et les employés du service transfèrent le fichier téléchargé à l'utilisateur.
De plus, une grande quantité de logiciels malveillants parvient aux employés de la Banque via e-mail... Il peut s'agir à la fois de virus ransomware courants et de logiciels malveillants qui permettent à des intrus de pénétrer dans l'ordinateur infecté d'un employé de la Banque à l'aide d'une connexion à distance.
Afin de minimiser les risques de telles menaces, un logiciel antivirus ClamAW a été installé sur le serveur de messagerie de la Banque. serveurs de messagerie.
Pour se protéger contre les accès non autorisés par des intrus internes qui ont appris d'une manière ou d'une autre le mot de passe d'un utilisateur d'un poste local ayant accès aux systèmes d'information de données personnelles, il est nécessaire d'installer un système de protection de l'information contre les accès non autorisés sur les postes de travail locaux des utilisateurs travaillant avec des systèmes d'information sur les données.
.La formation des collaborateurs de la Banque est assurée par un spécialiste du département sécurité de l'information.
Un employé du service de sécurité de l'information dispense une formation dans la subdivision de la Banque spécifiée dans le plan. Après la formation, les employés du département passent des tests dans lesquels ils confirment les connaissances acquises au cours de la formation.
La politique de sécurité de base réglemente le déroulement de la formation dans chaque unité au moins quatre fois par an.
Aussi, parallèlement à la formation des employés, les employés du service de sécurité de l'information sont tenus d'adresser au moins une fois par mois des lettres d'information à tous les employés de la Banque, qui décrivent les règles de sécurité de base, les nouvelles menaces pour la sécurité de l'information de la Banque, le cas échéant.
2.3.2 La procédure d'accès des salariés aux ressources Internet
La Banque a créé 3 groupes d'accès à Internet, mais une telle division d'accès est inefficace, car un employé, pour accomplir ses tâches, peut avoir besoin d'obtenir des informations à partir d'une ressource réseau incluse dans le groupe d'accès complet, puis il devra donner un accès complet à Internet qui n'est pas sûr.
Groupe 6 : téléchargement d'archives - le groupe ne fournit aucun accès aux ressources Internet ;Groupe 7 : téléchargement de fichiers exécutables - le groupe ne fournit aucun accès aux ressources Internet ;
Groupe 8 : accès complet à Internet - accès complet aux ressources Internet, téléchargez tous les fichiers.
Pour accéder aux ressources Internet, un employé crée une application via le système ServiceDesk et après approbation du chef du département ou du département et de l'employé du service de sécurité de l'information, l'employé a accès aux ressources Internet en fonction du groupe demandé.
2.3.3 La procédure d'accès des salariés aux ressources intrabancaires
Les principaux documents sur le travail de l'employé se trouvent sur le lieu de travail local ou dans le système automatisé dans lequel il travaille. Aussi, chaque subdivision de la Banque dispose d'une section sur le serveur de fichiers de la Banque, qui stocke les informations nécessaires à plusieurs employés de la subdivision et qui est de grande taille pour la transmission par courrier électronique de la Banque.
Lorsqu'un nouvel employé obtient un emploi à la Banque, son responsable direct envoie une candidature via le système ServiceDesk au département d'administration du système pour lui donner accès à la ressource interne de la banque, et une fois la candidature approuvée par le responsable de la sécurité de l'information, l'employé de le service d'administration système ouvre au nouvel employé l'accès à la ressource demandée.
Il existe souvent des situations dans lesquelles les travaux de plusieurs divisions de la Banque se chevauchent et pour l'échange d'informations, ces divisions ont besoin d'une division distincte sur le serveur de fichiers de la Banque.
Pour créer cette rubrique, le chef de projet, le responsable d'un des départements impliqué dans le processus de travail sur le projet crée une application via le système ServiceDesk de création d'une ressource partagée et d'accès à cette ressource pour certains employés de son département travaillant sur un projet commun et le chef de service avec qui il coopère au sein du projet... Après approbation par l'employé du service d'information, l'employé du service d'administration du système crée la ressource demandée et donne accès aux employés déclarés. Chaque chef de service participant au projet ne demande l'accès que pour les employés qui lui sont subordonnés.
2.3.4 Comment les employés travaillent avec le courrier électronique
Auparavant, avant la création de la politique de sécurité de base, chaque employé déterminait lui-même le degré de danger des lettres et des fichiers reçus par e-mail en provenance de serveurs de messagerie externes.
Après avoir créé une politique de sécurité de base, chaque utilisateur est chargé de l'obligation d'envoyer chaque fichier reçu par e-mail à partir de serveurs de messagerie externes au service de sécurité de l'information pour le vérifier pour les logiciels malveillants, l'employé détermine le degré de danger des lettres de manière indépendante. Si un employé de la Banque soupçonne qu'un message entrant contient du spam ou du phishing, il est obligé d'envoyer la lettre dans son intégralité, c'est-à-dire contenant toutes les informations de service sur l'expéditeur, sa boîte aux lettres et son adresse IP, au service de sécurité de l'information. Après avoir analysé la lettre suspecte et confirmé la menace de cette lettre, le service de sécurité de l'information envoie l'adresse de l'expéditeur de la lettre au service d'administration système, et l'employé du service d'administration système ajoute l'adresse de l'expéditeur à la liste noire.
Bloquez toujours le lieu de travail en cas d'excommunication.
2.3.6 Règles d'accès des employés aux données personnelles
Conformément à l'article 89 du chapitre 14 du Code du travail de la Fédération de Russie, un employé de la Banque a le droit d'accéder à ses données personnelles, mais est autorisé à traiter les données personnelles d'autres employés de la Banque ou des clients de la Banque uniquement pour l'exercice de ses fonctions officielles.
Pour assurer le contrôle de l'accès aux systèmes d'information des données personnelles, la banque a établi les règles suivantes pour l'accès aux systèmes d'information des données personnelles :
Seuls les employés dont les responsabilités professionnelles incluent le traitement des données personnelles ont accès à l'ISPD ;
L'accès à ISPD n'est autorisé que depuis le lieu de travail local de l'employé travaillant avec des données personnelles ;
La Banque a créé un document définissant les noms des employés qui sont autorisés à accéder aux données personnelles des employés et des clients de la Banque, indiquant le Système d'Information des Données Personnelles et une liste des données personnelles autorisées pour le traitement par l'employé.
3. JUSTIFICATION ECONOMIQUE DU PROJET
Pour mettre en œuvre le système de protection des données personnelles, il est nécessaire d'acheter :
Équipements de protection du réseau de la Banque ;
Matériel de sécurité de l'information ;
Logiciel de sécurité de l'information.
Pour reconstruire le réseau de l'organisation, il est nécessaire d'acheter 3 commutateurs Cisco Catalyst 2960. Un switch est nécessaire pour travailler au cœur du réseau de la Banque, 2 autres pour travailler au niveau de la distribution. Les équipements de réseau qui fonctionnaient dans la banque avant la restructuration du réseau seront également utilisés.
Coût total (RUB) 9 389 159 613
Combinaison de sécurité Doctor WEB Enterprise155005500
Coût total 1 371 615
CONCLUSION
Dans mon projet de thèse, j'ai passé en revue le cadre juridique de la protection des données personnelles. J'ai examiné les principales sources de menaces sur la sécurité des données personnelles.
Sur la base des menaces personnelles envisagées, j'ai analysé le système de protection des données personnelles existant chez Citibank et j'ai conclu qu'il devait être sérieusement révisé.
Au cours du projet de fin d'études, des faiblesses dans le réseau local de la Banque ont été découvertes. Compte tenu des faiblesses révélées du réseau local de la Banque, des mesures ont été déterminées pour minimiser les risques de sécurité de l'information du réseau de la Banque.
Nous avons également examiné et sélectionné des appareils et des logiciels pour protéger les lieux de travail locaux des employés qui traitent les données personnelles des employés et des clients de la Banque.
Avec ma participation, un dispositif de sensibilisation des salariés aux problématiques de sécurité de l'information a été créé.
La procédure d'accès à Internet des salariés de la Banque a été profondément revue, les groupes d'accès à Internet ont été revus. Les nouveaux groupes d'accès Internet permettent de minimiser considérablement les risques de sécurité de l'information en raison de la capacité limitée des utilisateurs à télécharger des fichiers et à accéder à des ressources non fiables.
Des calculs du coût de reconstruction d'un réseau et de création d'un système viable de protection des données personnelles capable de repousser la plupart des menaces de sécurité de l'information sont présentés.
LISTE DE LA LITTÉRATURE UTILISÉE
1. "Constitution de la Fédération de Russie" (adoptée par vote populaire le 12.12.1993) (en tenant compte des amendements introduits par les lois de la Fédération de Russie sur les amendements à la Constitution de la Fédération de Russie du 30.12.2008 N 6-FKZ , du 30.12.2008 N 7-FKZ, du 05.02.2014 N 2-FKZ, du 21.07.2014 N 11-FKZ) // Le texte officiel de la Constitution de la Fédération de Russie telle que modifiée le 21.07.2014 a été publié sur le Portail Internet officiel d'informations juridiques http://www.pravo.gov.ru, 01.08.2014
2. "Modèle de base des menaces à la sécurité des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles" (Extrait) (approuvé par le FSTEC RF 15.02.2008)
3. Loi fédérale du 27 juillet 2006 N 149-FZ (telle que modifiée le 6 juillet 2016) "sur l'information, les technologies de l'information et la protection de l'information" // Le document n'a pas été publié sous cette forme. g le texte original du document a été publié dans Rossiyskaya Gazeta, n° 165, 29.07.2006
4. "Code du travail de la Fédération de Russie" du 30.12.2001 N 197-FZ (tel que modifié le 03.07.2016) (tel que modifié et complété, entré en vigueur le 03.10.2016) // Le document n'a pas été publié sous cette forme , le texte original du document a été publié dans "Rossiyskaya Gazeta", n° 256, 31.12.2001
5. Décret du gouvernement de la Fédération de Russie du 01.11.2012 N 1119 "sur l'approbation des exigences pour la protection des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles" // "Rossiyskaya Gazeta", N 256, 07.11.2012
6. Ordonnance du FSTEC de Russie du 18/02/2013 N 21 "Sur l'approbation de la composition et du contenu des mesures organisationnelles et techniques visant à assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles" (enregistrée au ministère de Justice de Russie 14/05/2013 N 28375) // "Journal russe", N 107, 22/05/2013
7. "Norme de la Banque de Russie" Assurer la sécurité de l'information des organisations du système bancaire de la Fédération de Russie. Dispositions générales "STO BR IBBS-1.0-2014" (adoptées et mises en vigueur par arrêté de la Banque de Russie du 17.05.2014 N R-399) // Bulletin de la Banque de Russie, N 48-49, 30.05.2014
8. "Règlement sur les exigences visant à assurer la protection des informations lors des transferts d'argent et sur la procédure de mise en œuvre par la Banque de Russie du contrôle du respect des exigences visant à assurer la protection des informations lors des transferts de fonds" (approuvé par la Banque de Russie le 09.06.2012 N 382-P) (révisé . du 14.08.2014) (Enregistré au ministère de la Justice de Russie le 14.06.2012 N 24575) // Le document n'a pas été publié sous cette forme, le le texte original du document a été publié dans le "Bulletin de la Banque de Russie", N 32, 22.06.2012
9. «Règlement sur la procédure de soumission par les établissements de crédit à l'organisme autorisé des informations prévues par la loi fédérale« sur la lutte contre la légalisation (blanchiment) des revenus obtenus de manière criminelle et le financement du terrorisme »(approuvé par la Banque de Russie le 29 août, 2008 N 321-P) (rév. du 15.10.2015) (conjointement avec la "Procédure pour assurer la sécurité des informations lors du transfert et de la réception d'un ECO", "Règles pour la formation d'un ECO et le remplissage de certains champs des enregistrements ECO ") (Enregistré au ministère de la Justice de Russie le 16.09.2008 N 12296) // Sous cette forme, le document n'a pas été publié, Le texte original du document a été publié dans le "Bulletin de la Banque de Russie", N°54, 26 septembre 2008
10. Ordonnance du FSTEC de Russie du 18.02.2013 N 21 "Sur l'approbation de la composition et du contenu des mesures organisationnelles et techniques pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles" (enregistré au ministère de la justice de Russie 14.05.2013 N 28375) // "Journal russe", N 107, 22/05/2013
11. Averchenkov V.I., Rytov M.Yu., Gainulin T.R. Protection des données personnelles dans les organisations. Moscou : Flinta, 2018
12.Agapov A. B. Fondements de l'administration publique dans le domaine de l'informatisation dans la Fédération de Russie. M. : Youriste, 2012
13. Kostin A. A., Kostina A. A., Latyshev D. M., Moldovyan A. A. Complexes logiciels de la série "AURA" pour la protection des systèmes d'information sur les données personnelles // Izv. les universités. instrumentation. 2012.Vol 55, n° 11
14.Moldovyan A.A. Cryptographie pour la protection des informations informatiques (partie 1) // Intégrale. 2014. N° 4 (18)
15. Romanov O.A., Babin S.A., Zhdanov S.G. Soutien organisationnel de la sécurité de l'information. - M. : Académie, 2016
16. Shultz V.L., Rudchenko A.D., Yurchenko A.V. Sécurité des entreprises. Moscou : Maison d'édition Yurayt, 2017
Applications (disponibles dans les archives avec le travail).