Структура, организация банковской системы и её информационная безопасность

Центральный Банк РФ

Центральный Банк РФ

Кредитные организации

Банки
(осуществляют все виды
банковских операций)

Выдача банковских гарантий

Привлечение денежных
средств физических лиц во

Размещение привлечённых
денежных средств на условиях
возвратности, срочности и платности

Открытие и ведение банковских
счетов физических и юридических лиц,
осуществление расчётных операций

Купля-продажа иностранной
валюты и драгоценных металлов

Иные операции, предусмотренные
банковской лицензией

Филиалы и представительства
иностранных банков

Иные кредитные организации
(осуществляют отдельные виды
банковских операций)

Ломбарды
(кредитование физических лиц
под залог имущества)

Расчётно-кассовые центры
(осуществление расчётных операций)

Клиринговые центры
(осуществление расчётных операций)

Кредитные потребительские кооперативы

Сайты по биометрии

Сайт 1

Сайт 2

Сайт 3

a

Сайт 4

a

Сайт 5

Сайт 6

Подготовка специалистов в сфере информационной безопасности

Подготовка специалистов в сфере информационной безопасности

Специалисты в области информационной безопасности

Нормативно правовая основа концепции
информационной безопасности

Правовые документы

Федеральные законы РФ

Кодексы РФ

Указы и распоряжения
Президента РФ

Постановления
правительства РФ

Организационно-
распорядительные документы

Положения

Концепции

Руководства, и
инструкции

Распоряжения

Нормативные документы

ГОСТы

Международные
стандарты

Руководящие
документы

Специальные
нормативные документы
ФСТЭК (Гостехкомиссии)
и ФСБ (ФАП С И)

Документы, регламентирующие
защиту информации от НСД

Документы, регламенти-
рующие использование средств
криптозащиты

Полезные сайты по инфомрационной безопасности для специалистов

Полезные сайты по инфомрационной безопасности для специалистов

SecurityLab
Новости об угрозах

ФСТЭК

Консультант +

Международные
стандарты ISO 27000

a

Постоянное совершенствование
своих практических навыков в этой
области поможет защитить информацию

Отслеживание новых технологий

Минимальные требования
безопасности

Минимальные требования
безопасности

Требования к
парольной защите

Пароль от 8 символов

Использование
минимум 3 вида регистров

Для разных входов -
разные пароли

Смена пароль не реже чем
через 90 дней

Концептуальная модель ИБ

Концептуальная модель ИБ

Определения
и сокращения

r

Обозначенияи сокращенияАВС           –антивирусные средстваАРМ –автоматизированное рабочее местоВТСС –вспомогательные технические средства и системыИСПДн –информационная система персональных данныхКЗ – контролируемая зонаЛВС – локальная вычислительная сетьМЭ –межсетевой экранНСД –несанкционированный доступОС – операционная системаПДн – персональные данныеПМВ –программно-математическое воздействиеПО – программное обеспечениеПЭМИН –побочные электромагнитные излучения и наводкиСАЗ –система анализа защищенностиСЗИ –средства защиты информацииСЗПДн – система (подсистема)защиты персональных данныхСОВ           –система обнаружения вторженийТКУ И –технические каналы утечки информацииУБПДн –угрозы безопасности персональных данныхФСТЭК России – Федеральная службапо техническому и экспортному контролю ОпределенияАвтоматизированная система– система, состоящая из персонала и комплексасредств автоматизации его деятельности, реализующая информационнуютехнологию выполнения установленных функций.Аутентификация отправителяданных – подтверждение того, что отправительполученных данных соответствует заявленному.Безопасность персональныхданных – состояниезащищенности персональных данных,характеризуемое способностью пользователей, технических средств и информационных технологий обеспечитьконфиденциальность, целостность идоступность персональных данных при их обработке в информационныхсистемах персональных данных.Биометрические персональныеданные – сведения, которые характеризуютфизиологические особенности человека и на основе которых можно установить еголичность, включая фотографии, отпечатки пальцев, образ сетчатки глаза,особенности строения тела и другую подобную информацию.Блокирование персональныхданных – временное прекращение сбора, систематизации, накопления, использования,распространения, персональных данных, в том числе их передачи.Вирус (компьютерный,программный) – исполняемый программный код или интерпретируемый набор инструкций,обладающий свойствами несанкционированного распространения исамовоспроизведения. Созданные дубликаты компьютерного вируса не всегдасовпадают с оригиналом, но сохраняютспособность к дальнейшему распространению и самовоспроизведению.Вредоносная программа– программа, предназначенная для осуществлениянесанкционированного доступа и (или) воздействия на персональные данные илиресурсы информационной системы персональных данных.Вспомогательные техническиесредства и системы – технические средстваи системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно стехническими средствами и системами, предназначенными для обработкиперсональных данных или в помещениях, в которых установленыинформационные системы персональных данных.Доступ в операционную средукомпьютера (информационной системы персональных данных) –получение возможности запуска на выполнение штатных команд,функций, процедур операционной системы (уничтожения, копирования,перемещения и т.п.), исполняемых файлов прикладных программ.Доступ к информации –возможность получения информации и ее использования.Закладочное устройство –элемент средства съема информации, скрытно внедряемый(закладываемый или вносимый) в места возможного съема информации(в том числе в ограждение, конструкцию, оборудование, предметыинтерьера, транспортные средства, а также в технические средства и системы обработкиинформации).Защищаемая информация –информация, являющаяся предметом собственности иподлежащая защите в соответствии с требованиями правовых документовили требованиями, устанавливаемыми собственником информации.Идентификация –присвоение субъектам и объектам доступа идентификатора и (или)сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.Информативный сигнал –электрические сигналы, акустические, электромагнитные идругие физические поля, по параметрам которых может быть раскрытаконфиденциальная информация (персональные данные) обрабатываемаяв информационной системе персональных данных.Информационная системаперсональных данных (ИСПДн) – информационнаясистема, представляющая собой совокупность персональных данных, содержащихся вбазе данных, а также информационных технологий и технических средств,позволяющих осуществлять обработку таких персональных данных с использованиемсредств автоматизации или без использования таких средств.Информационные технологии –процессы, методы поиска, сбора, хранения, обработки, предоставления,распространения информации и способы осуществления таких процессов иметодов.Использование персональныхданных – действия (операции) с персональнымиданными, совершаемые оператором в целях принятия решений или совершения иныхдействий, порождающих юридические последствия в отношении субъекта персональныхданных или других лиц либо иным образом затрагивающих права и свободы субъектаперсональных данных или других лиц.Источник угрозы безопасностиинформации – субъект доступа,материальный объект или физическое явление, являющиесяпричиной возникновения угрозы безопасности информации.Контролируемая зона –пространство (территория, здание, часть здания, помещение), в которомисключено неконтролируемое пребывание посторонних лиц, атакже транспортных, технических и иных материальных средств.Конфиденциальностьперсональных данных –обязательное для соблюдения оператором или инымполучившим доступ к персональным данным лицом требование не допускать ихраспространение без согласия субъекта персональныхданных или наличия иного законного основания.Межсетевой экран –локальное (однокомпонентное) или функционально-распределенноепрограммное (программно-аппаратное) средство (комплекс),реализующее контроль за информацией, поступающей в информационнуюсистему персональных данных и (или) выходящей из информационной системы.Нарушитель безопасностиперсональных данных –физическое лицо, случайно или преднамеренно совершающеедействия, следствием которых является нарушение безопасности персональныхданных при их обработке техническими средствами винформационных системах персональных данных.Неавтоматизированнаяобработка персональных данных – обработкаперсональных данных, содержащихся в информационной системе персональных данныхлибо извлеченных из такой системы, считается осуществленной без использованиясредств автоматизации (неавтоматизированной), если такие действия сперсональными данными, как использование, уточнение, распространение,уничтожение персональных данных в отношении каждого из субъектов персональныхданных, осуществляются при непосредственном участии человека.Недекларированные возможности –функциональные возможности средстввычислительной техники, не описанные или не соответствующие описаннымв документации, при использовании которых возможно нарушениеконфиденциальности, доступности или целостности обрабатываемой информации.Несанкционированный доступ(несанкционированные действия) –доступ к информации или действия с информацией, нарушающие правила разграничениядоступа с использованием штатных средств, предоставляемых информационнымисистемами персональных данных.Носитель информации –физическое лицо или материальный объект, в том числефизическое поле, в котором информация находит свое отражение в видесимволов, образов, сигналов, технических решений и процессов, количественных характеристикфизических величин.Обезличивание персональныхданных – действия, в результате которыхневозможно определить принадлежность персональных данных конкретному субъектуперсональных данных.Обработка персональныхданных – действия(операции) с персональными данными, включая сбор, систематизацию,накопление, хранение, уточнение (обновление, изменение),использование, распространение (в том числе передачу),обезличивание, блокирование, уничтожение персональных данных. Общедоступные персональныеданные – персональные данные, доступ неограниченногокруга лиц к которым предоставлен с согласия субъекта персональных данных или накоторые в соответствии с федеральными законами не распространяется требованиесоблюдения конфиденциальности.Оператор (персональныхданных)  – государственныйорган, муниципальный орган, юридическое илифизическое лицо, организующее и (или) осуществляющее обработку персональныхданных, а также определяющие цели и содержание обработки персональных данных.Технические средстваинформационной системы персональных данных –средства вычислительной техники, информационно-вычислительные комплексыи сети, средства и системы передачи, приема и обработки ПДн (средства и системызвукозаписи, звукоусиления, звуковоспроизведения, переговорные ителевизионные устройства, средства изготовления, тиражированиядокументов и другие технические средства обработки речевой, графической, видео-и буквенно-цифровой информации), программные средства (операционныесистемы, системы управления базами данных и т.п.), средства защитыинформации, применяемые в информационных системах.Перехват (информации)– неправомерное получение информации с использованием технического средства,осуществляющего обнаружение, прием и обработку информативных сигналов.Персональные данные – любаяинформация, относящаяся к определенномуили определяемому на основании такой информации физическому лицу (субъектуперсональных данных), в том числе его фамилия, имя, отчество, год, месяц, датаи место рождения, адрес, семейное, социальное, имущественное положение,образование, профессия, доходы, другая информация.Побочные электромагнитныеизлучения и наводки – электромагнитныеизлучения технических средств обработки защищаемой информации, возникающиекак побочное явление и вызванные электрическими сигналами, действующими в ихэлектрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.Политика «чистого стола»– комплекс организационных мероприятий, контролирующих отсутствие записыванияна бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизиобъектов доступа.Пользователь информационнойсистемы персональных данных – лицо, участвующее в функционировании информационнойсистемы персональных данных или использующее результаты еефункционирования.Правила разграничениядоступа – совокупность правил, регламентирующихправа доступа субъектов доступа к объектам доступа.Программная закладка – код программы,преднамеренно внесенный в программус целью осуществить утечку, изменить, блокировать, уничтожить информациюили уничтожить и модифицировать программное обеспечение информационной системыперсональных данных и (или) блокировать аппаратные средства.Программное(программно-математическое) воздействие –несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованиемвредоносных программ.Раскрытие персональныхданных – умышленное или случайное нарушениеконфиденциальности персональных данных.Распространение персональныхданных – действия, направленные на передачуперсональных данных определенному кругу лиц (передача персональных данных) илина ознакомление с персональными данными неограниченного круга лиц, в том числеобнародование персональных данных в средствах массовой информации, размещение винформационно-телекоммуникационных сетях или предоставление доступа кперсональным данным каким-либо иным способом.Ресурс информационнойсистемы –именованный элемент системного, прикладногоили аппаратного обеспечения функционирования информационной системы.Специальные категорииперсональных данных – персональные данные,касающиеся расовой, национальной принадлежности, политических взглядов,религиозных или философских убеждений, состояния здоровья и интимной жизнисубъекта персональных данных.Средства вычислительнойтехники – совокупностьпрограммных и технических элементов систем обработки данных, способныхфункционировать самостоятельно или в составе других систем.Субъект доступа (субъект) –лицо или процесс, действия которого регламентируются правилами разграничениядоступа.Технический канал утечкиинформации – совокупностьносителя информации (средства обработки), физической средыраспространения информативного сигнала и средств, которымидобывается защищаемая информация.Трансграничная передачаперсональных данных – передача персональныхданных оператором через Государственную границу Российской Федерации органувласти иностранного государства, физическому или юридическому лицу иностранногогосударства.Угрозы безопасностиперсональных данных –совокупность условий и факторов,создающих опасность несанкционированного, в том числе случайного, доступа кперсональным данным, результатом которого может стать уничтожение, изменение,блокирование, копирование, распространение персональных данных, а также иныхнесанкционированных действий при их обработке в информационной системеперсональных данных.Уничтожение персональныхданных – действия, врезультате которых невозможно восстановить содержаниеперсональных данных в информационной системеперсональных данных или в результате которых уничтожаются материальные носителиперсональных данных.Утечка (защищаемой)информации по техническим каналам –неконтролируемое распространение информацииот носителя защищаемой информации через физическую среду дотехнического средства, осуществляющего перехват информации.Учреждение –учреждения здравоохранения, социальной сферы, труда и занятости.Уязвимость –слабость в средствах защиты, которую можно использоватьдля нарушения системы или содержащейся в ней информации.Целостность информации –способность средства вычислительной техники или автоматизированнойсистемы обеспечивать неизменность информации в условиях случайного и/илипреднамеренного искажения (разрушения).