カテゴリー 全て - лицензия - банки - безопасность

によって Владислав Мельников 9年前.

573

Структура и организация банковской системы

В банковской системе России ключевую роль играет Центральный Банк РФ, который регулирует деятельность различных кредитных организаций, таких как банки, кредитные кооперативы, ломбарды и филиалы иностранных банков.

Структура и организация банковской системы

Структура, организация банковской системы и её информационная безопасность

Минимальные требования безопасности

Определения и сокращения

Обозначенияи сокращения

АВС           –антивирусные средства

АРМ –автоматизированное рабочее место

ВТСС –вспомогательные технические средства и системы

ИСПДн –информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ –межсетевой экран

НСД –несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ –программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН –побочные электромагнитные излучения и наводки

САЗ –система анализа защищенности

СЗИ –средства защиты информации

СЗПДн – система (подсистема)защиты персональных данных

СОВ           –система обнаружения вторжений

ТКУ И –технические каналы утечки информации

УБПДн –угрозы безопасности персональных данных

ФСТЭК России – Федеральная службапо техническому и экспортному контролю

 

Определения

Автоматизированная система– система, состоящая из персонала и комплексасредств автоматизации его деятельности, реализующая информационнуютехнологию выполнения установленных функций.

Аутентификация отправителяданных – подтверждение того, что отправительполученных данных соответствует заявленному.

Безопасность персональныхданных

– состояниезащищенности персональных данных,характеризуемое способностью пользователей, технических средств и информационных технологий обеспечитьконфиденциальность, целостность идоступность персональных данных при их обработке в информационныхсистемах персональных данных.

Биометрические персональныеданные – сведения, которые характеризуютфизиологические особенности человека и на основе которых можно установить еголичность, включая фотографии, отпечатки пальцев, образ сетчатки глаза,особенности строения тела и другую подобную информацию.

Блокирование персональныхданных – временное прекращение сбора, систематизации, накопления, использования,распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный,программный) – исполняемый программный код или интерпретируемый набор инструкций,обладающий свойствами несанкционированного распространения исамовоспроизведения. Созданные дубликаты компьютерного вируса не всегдасовпадают с оригиналом, но сохраняютспособность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа– программа, предназначенная для осуществлениянесанкционированного доступа и (или) воздействия на персональные данные илиресурсы информационной системы персональных данных.

Вспомогательные техническиесредства и системы – технические средстваи системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно стехническими средствами и системами, предназначенными для обработкиперсональных данных или в помещениях, в которых установленыинформационные системы персональных данных.

Доступ в операционную средукомпьютера (информационной системы персональных данных) –получение возможности запуска на выполнение штатных команд,функций, процедур операционной системы (уничтожения, копирования,перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации –возможность получения информации и ее использования.

Закладочное устройство –элемент средства съема информации, скрытно внедряемый(закладываемый или вносимый) в места возможного съема информации(в том числе в ограждение, конструкцию, оборудование, предметыинтерьера, транспортные средства, а также в технические средства и системы обработкиинформации).

Защищаемая информация –информация, являющаяся предметом собственности иподлежащая защите в соответствии с требованиями правовых документовили требованиями, устанавливаемыми собственником информации.

Идентификация –присвоение субъектам и объектам доступа идентификатора и (или)сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал –электрические сигналы, акустические, электромагнитные идругие физические поля, по параметрам которых может быть раскрытаконфиденциальная информация (персональные данные) обрабатываемаяв информационной системе персональных данных.

Информационная системаперсональных данных (ИСПДн) – информационнаясистема, представляющая собой совокупность персональных данных, содержащихся вбазе данных, а также информационных технологий и технических средств,позволяющих осуществлять обработку таких персональных данных с использованиемсредств автоматизации или без использования таких средств.

Информационные технологии –процессы, методы поиска, сбора, хранения, обработки, предоставления,распространения информации и способы осуществления таких процессов иметодов.

Использование персональныхданных – действия (операции) с персональнымиданными, совершаемые оператором в целях принятия решений или совершения иныхдействий, порождающих юридические последствия в отношении субъекта персональныхданных или других лиц либо иным образом затрагивающих права и свободы субъектаперсональных данных или других лиц.

Источник угрозы безопасностиинформации – субъект доступа,материальный объект или физическое явление, являющиесяпричиной возникновения угрозы безопасности информации.

Контролируемая зона –пространство (территория, здание, часть здания, помещение), в которомисключено неконтролируемое пребывание посторонних лиц, атакже транспортных, технических и иных материальных средств.

Конфиденциальностьперсональных данных –обязательное для соблюдения оператором или инымполучившим доступ к персональным данным лицом требование не допускать ихраспространение без согласия субъекта персональныхданных или наличия иного законного основания.

Межсетевой экран –локальное (однокомпонентное) или функционально-распределенноепрограммное (программно-аппаратное) средство (комплекс),реализующее контроль за информацией, поступающей в информационнуюсистему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасностиперсональных данных –физическое лицо, случайно или преднамеренно совершающеедействия, следствием которых является нарушение безопасности персональныхданных при их обработке техническими средствами винформационных системах персональных данных.

Неавтоматизированнаяобработка персональных данных – обработкаперсональных данных, содержащихся в информационной системе персональных данныхлибо извлеченных из такой системы, считается осуществленной без использованиясредств автоматизации (неавтоматизированной), если такие действия сперсональными данными, как использование, уточнение, распространение,уничтожение персональных данных в отношении каждого из субъектов персональныхданных, осуществляются при непосредственном участии человека.

Недекларированные возможности –функциональные возможности средстввычислительной техники, не описанные или не соответствующие описаннымв документации, при использовании которых возможно нарушениеконфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ(несанкционированные действия) –доступ к информации или действия с информацией, нарушающие правила разграничениядоступа с использованием штатных средств, предоставляемых информационнымисистемами персональных данных.

Носитель информации –физическое лицо или материальный объект, в том числефизическое поле, в котором информация находит свое отражение в видесимволов, образов, сигналов, технических решений и процессов, количественных характеристикфизических величин.

Обезличивание персональныхданных – действия, в результате которыхневозможно определить принадлежность персональных данных конкретному субъектуперсональных данных.

Обработка персональныхданных – действия(операции) с персональными данными, включая сбор, систематизацию,накопление, хранение, уточнение (обновление, изменение),использование, распространение (в том числе передачу),обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональныеданные – персональные данные, доступ неограниченногокруга лиц к которым предоставлен с согласия субъекта персональных данных или накоторые в соответствии с федеральными законами не распространяется требованиесоблюдения конфиденциальности.

Оператор (персональныхданных)  – государственныйорган, муниципальный орган, юридическое илифизическое лицо, организующее и (или) осуществляющее обработку персональныхданных, а также определяющие цели и содержание обработки персональных данных.

Технические средстваинформационной системы персональных данных –средства вычислительной техники, информационно-вычислительные комплексыи сети, средства и системы передачи, приема и обработки ПДн (средства и системызвукозаписи, звукоусиления, звуковоспроизведения, переговорные ителевизионные устройства, средства изготовления, тиражированиядокументов и другие технические средства обработки речевой, графической, видео-и буквенно-цифровой информации), программные средства (операционныесистемы, системы управления базами данных и т.п.), средства защитыинформации, применяемые в информационных системах.

Перехват (информации)– неправомерное получение информации с использованием технического средства,осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные – любаяинформация, относящаяся к определенномуили определяемому на основании такой информации физическому лицу (субъектуперсональных данных), в том числе его фамилия, имя, отчество, год, месяц, датаи место рождения, адрес, семейное, социальное, имущественное положение,образование, профессия, доходы, другая информация.

Побочные электромагнитныеизлучения и наводки – электромагнитныеизлучения технических средств обработки защищаемой информации, возникающиекак побочное явление и вызванные электрическими сигналами, действующими в ихэлектрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Политика «чистого стола»– комплекс организационных мероприятий, контролирующих отсутствие записыванияна бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизиобъектов доступа.

Пользователь информационнойсистемы персональных данных – лицо, участвующее в функционировании информационнойсистемы персональных данных или использующее результаты еефункционирования.

Правила разграничениядоступа – совокупность правил, регламентирующихправа доступа субъектов доступа к объектам доступа.

Программная закладка – код программы,преднамеренно внесенный в программус целью осуществить утечку, изменить, блокировать, уничтожить информациюили уничтожить и модифицировать программное обеспечение информационной системыперсональных данных и (или) блокировать аппаратные средства.

Программное(программно-математическое) воздействие –несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованиемвредоносных программ.

Раскрытие персональныхданных – умышленное или случайное нарушениеконфиденциальности персональных данных.

Распространение персональныхданных – действия, направленные на передачуперсональных данных определенному кругу лиц (передача персональных данных) илина ознакомление с персональными данными неограниченного круга лиц, в том числеобнародование персональных данных в средствах массовой информации, размещение винформационно-телекоммуникационных сетях или предоставление доступа кперсональным данным каким-либо иным способом.

Ресурс информационнойсистемы –именованный элемент системного, прикладногоили аппаратного обеспечения функционирования информационной системы.

Специальные категорииперсональных данных – персональные данные,касающиеся расовой, национальной принадлежности, политических взглядов,религиозных или философских убеждений, состояния здоровья и интимной жизнисубъекта персональных данных.

Средства вычислительнойтехники – совокупностьпрограммных и технических элементов систем обработки данных, способныхфункционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) –лицо или процесс, действия которого регламентируются правилами разграничениядоступа.

Технический канал утечкиинформации – совокупностьносителя информации (средства обработки), физической средыраспространения информативного сигнала и средств, которымидобывается защищаемая информация.

Трансграничная передачаперсональных данных – передача персональныхданных оператором через Государственную границу Российской Федерации органувласти иностранного государства, физическому или юридическому лицу иностранногогосударства.

Угрозы безопасностиперсональных данных –совокупность условий и факторов,создающих опасность несанкционированного, в том числе случайного, доступа кперсональным данным, результатом которого может стать уничтожение, изменение,блокирование, копирование, распространение персональных данных, а также иныхнесанкционированных действий при их обработке в информационной системеперсональных данных.

Уничтожение персональныхданных – действия, врезультате которых невозможно восстановить содержаниеперсональных данных в информационной системеперсональных данных или в результате которых уничтожаются материальные носителиперсональных данных.

Утечка (защищаемой)информации по техническим каналам –неконтролируемое распространение информацииот носителя защищаемой информации через физическую среду дотехнического средства, осуществляющего перехват информации.

Учреждение –учреждения здравоохранения, социальной сферы, труда и занятости.

Уязвимость –слабость в средствах защиты, которую можно использоватьдля нарушения системы или содержащейся в ней информации.

Целостность информации –способность средства вычислительной техники или автоматизированнойсистемы обеспечивать неизменность информации в условиях случайного и/илипреднамеренного искажения (разрушения).

Концептуальная модель ИБ
Требования к парольной защите
Смена пароль не реже чем через 90 дней
Для разных входов - разные пароли
Использование минимум 3 вида регистров
Пароль от 8 символов

Полезные сайты по инфомрационной безопасности для специалистов

Отслеживание новых технологий
Постоянное совершенствование своих практических навыков в этой области поможет защитить информацию
Международные стандарты ISO 27000
Консультант +
ФСТЭК
SecurityLab Новости об угрозах

Подготовка специалистов в сфере информационной безопасности

Специалисты в области информационной безопасности
Нормативно правовая основа концепции информационной безопасности

Нормативные документы

Специальные нормативные документы ФСТЭК (Гостехкомиссии) и ФСБ (ФАП С И)

Документы, регламенти- рующие использование средств криптозащиты

Документы, регламентирующие защиту информации от НСД

Руководящие документы

Международные стандарты

ГОСТы

Организационно- распорядительные документы

Распоряжения

Руководства, и инструкции

Концепции

Положения

Правовые документы

Постановления правительства РФ

Указы и распоряжения Президента РФ

Кодексы РФ

Федеральные законы РФ

Сайты по биометрии

Сайт 6
Сайт 5
Сайт 4
Сайт 3
Сайт 2
Сайт 1

Центральный Банк РФ

Кредитные организации
Иные кредитные организации (осуществляют отдельные виды банковских операций)

Кредитные потребительские кооперативы

Клиринговые центры (осуществление расчётных операций)

Расчётно-кассовые центры (осуществление расчётных операций)

Ломбарды (кредитование физических лиц под залог имущества)

Филиалы и представительства иностранных банков
Банки (осуществляют все виды банковских операций)

Иные операции, предусмотренные банковской лицензией

Купля-продажа иностранной валюты и драгоценных металлов

Открытие и ведение банковских счетов физических и юридических лиц, осуществление расчётных операций

Размещение привлечённых денежных средств на условиях возвратности, срочности и платности

Привлечение денежных средств физических лиц во

Выдача банковских гарантий