'

Защита информации: камень преткновения для системы бюро кредитных историй

Понравилась презентация – покажи это...




Слайд 0

Защита информации: камень преткновения для системы бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ  Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н. АЗИ Защита информации в бюро кредитных историй


Слайд 1

Темы доклада АЗИ Защита информации в бюро кредитных историй Примеры мировой практики нарушения режима информационной безопасности Идеология построения систем защиты информации Классификация объекта защиты Комплекс имущественных отношений, связанных с защитой объекта Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты


Слайд 2

Примеры мировой практики АЗИ Защита информации в бюро кредитных историй 28.10.03 - Федеральные органы США объявили о том, что у Experian (кредитное бюро) были похищены 43,000 кредитные истории. Похитил данные бывший сотрудник ИТ компании, которая разрабатывала программное обеспечение для кредитных бюро. Общий ущерб в результате хищения составил 10 млн. долларов.


Слайд 3

Примеры мировой практики АЗИ Защита информации в бюро кредитных историй 16.03.04 - Equifax Canada Inc (кредитное бюро) объявило о том, что кредитные истории 1,400 граждан были похищены. 14.03.05 – LexisNexis объявила, что данные о 32, 000 жителей Америки были похищены. 13.06.05 – Citigroup объявил, что данные о 3,9 млн. вкладчиков, возможно, были украдены в процессе пересылки в кредитное бюро.


Слайд 4

Примеры мировой практики АЗИ Защита информации в бюро кредитных историй 13.06.05 – Ezboard (финансовая компания) объявила, что подверглась массированной атаке, целью уничтожить данные о клиентах. В результате данные половины клиентов были уничтожены. 20.06.05 – Mastercard и Visa объявили, что данные о 40 млн. пользователей кредитных карт были похищены в результате хакерской атаки на системы CardSystems Solutions Inc


Слайд 5

Идеология построения систем защиты информации АЗИ Защита информации в бюро кредитных историй Ценности Угрозы Виды воздействий Оценка долгосрочных последствий Меры защиты Приемлемость остаточного риска


Слайд 6

Классификация объекта защиты АЗИ Защита информации в бюро кредитных историй Базовый объект защиты -консолидированная совокупность персонифицированных данных владельцев кредитных историй Вторичные объекты защиты – параметры бизнес-процессов кредитного бюро, параметры технической системы, параметры системы защиты информации, планы модернизации, планы предоставления новых услуг, данные личных дел сотрудников, алгоритмы скоринга


Слайд 7

Комплекс информационных отношений, связанных с защитой объекта АЗИ Защита информации в бюро кредитных историй Субъекты отношений: Субъект гражданского оборота (носитель кредитной истории) Лицо, осуществляющее первоначальный сбор данных о носителе кредитной истории Кредитное бюро Потребители услуг кредитного бюро Центральный Банк Государство


Слайд 8

Носитель кредитной истории АЗИ Защита информации в бюро кредитных историй заинтересован в том, чтобы его персональные данные обращались в режиме конфиденциальности


Слайд 9

Лицо, осуществляющее первоначальный сбор данных АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: все процедуры сбора и дальнейшей передачи были юридически выверены сбор, хранение и передача информации в кредитное бюро были технически реализованы в соответствии с нормативными требованиями и необходимым уровнем риска.


Слайд 10

Кредитное бюро АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы: Размер и вид ответственности кредитного бюро за нарушение безопасности персональных данных были четко определены Требования к кредитным бюро по защите информации со стороны государственных органов были однозначны и устойчивы Лица, собирающие информацию, и потребители услуг кредитного бюро выполняли требования государства и кредитного бюро по защите информации


Слайд 11

Потребители услуг кредитного бюро АЗИ Защита информации в бюро кредитных историй заинтересованы в том, чтобы они могли: Использовать персональные данные граждан на законных основаниях Требования по защите информации, предъявляемые к ним со стороны государства и кредитного бюро были четкими


Слайд 12

Центральный Банк АЗИ Защита информации в бюро кредитных историй выполняя возложенные на него функции развития и укрепления банковской системы и используя имеющиеся полномочия, регулирует нормативными актами вопросы защиты персональных данных граждан


Слайд 13

Государство АЗИ Защита информации в бюро кредитных историй заинтересовано в том, чтобы персональные данные граждан находились под защитой с этой целью государство предоставляет право специальным органам полномочия устанавливать правила обращения персональных данных граждан


Слайд 14

Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты АЗИ Защита информации в бюро кредитных историй Основными причинами ущерба от нарушения безопасности информации в кредитном бюро являются: - Нарушения конфиденциальности информации - Нарушения целостности информации Нарушения доступности информации Данные угрозы могут исходить от умышленных или неумышленных действий внутренних или внешних (по отношению к владельцу баз данных) лиц


Слайд 15

Основные виды угроз безопасности ИС и информации АЗИ Защита информации в бюро кредитных историй Основными видами угроз безопасности ИС и информации (угроз интересам субъектов информационных отношений) являются: сбои и отказы оборудования (технических средств) информационных систем последствия ошибок проектирования и разработки компонентов информационных систем (аппаратных средств, технологии обработки информации, программ, структур данных) ошибки эксплуатации (пользователей, операторов и другого персонала) преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников) стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар)


Слайд 16

Модель наиболее опасного нарушителя АЗИ Защита информации в бюро кредитных историй Как показывает практика, наиболее потенциально опасными являются действия группы злоумышленников, в которой участвует сотрудник организации


Слайд 17

Оценка риска АЗИ Защита информации в бюро кредитных историй Руководство кредитного бюро может попытаться измерить риск, например, оценить какова будет прямая (в том числе, имущественная) ответственность кредитного бюро в случае появления полной базы кредитных историй на рынке или какой будет косвенный ущерб бизнесу кредитного бюро в аналогичном случае. Или оценить риск, связанный с невозможностью предоставления услуг в случае неработоспособности программно-аппаратного комплекса


Слайд 18

Принципы построения системы мер защиты АЗИ Защита информации в бюро кредитных историй Система мер защиты информации (состав, стоимость) должна выстраиваться в зависимости от осознанного принятия руководством кредитного бюро рисков и в соответствии с требованиями законодательства.


Слайд 19

Система мер (методы защиты) должна включать в себя: АЗИ Защита информации в бюро кредитных историй Подсистему мер на административном уровне (поддержка руководством организации работ по обеспечению защиты информации) Подсистему мер на организационном уровне (встроенность процедур и правил по защите информации в бизнес – процессы организации) Подсистему мер на техническом уровне (реализация механизмов защиты программно-техническими средствами)


Слайд 20

АЗИ Защита информации в бюро кредитных историй В качестве примера можно привести перечень документов, которые необходимо разработать и актуализировать для внедрения и поддержки системы мер на административном и организационном уровне: Политика информационной безопасности Концепция ИБ, корпоративная политика ИБ, частные политики ИБ Требования ИБ к процессам (кто, что, где, когда) Стандарты технологий, положения, порядки, регламенты на процедуры Требования ИБ к задачам, выполняемым работниками Конфигурационные стандарты, инструкции, отчетные формы, технологические карты Свидетельства выполненной деятельности Реестры, регистрационные журналы, протоколы, акты, договоры, отчеты


Слайд 21

Стоимость системы мер защиты АЗИ Защита информации в бюро кредитных историй Обычно стоимость системы мер защиты информации в кредитных учреждениях составляет 10 процентов от ИТ бюджета. Так как, технологическая система кредитных бюро проще систем кредитных учреждений, а защита информации также важна, то можно предположить, что стоимость системы мер защиты в кредитных бюро может составить 20-30 процентов от ИТ бюджета кредитного бюро.


Слайд 22

АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Федеральный закон “Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-ФЗ. Гражданский кодекс РФ, ст.ст. 139, 857 Уголовный кодекс Российской Федерации Федеральный закон от 03.02.1996 г. № 17-ФЗ «О внесении изменений и дополнений в Закон РСФСР «О банках и банковской деятельности в РСФСР», ст. 26 («Банковская тайна»). Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ. Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2002 г. № 128-ФЗ. Постановление Правительства Российской Федерации от 27.08.2002 г. № 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Положение ЦБР от 16.12.2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Письмо ЦБ РФ от 03.02.2004 г. № 16-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет»; Письмо ЦБ РФ от 07.05.2003 г. № 70-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций»;


Слайд 23

АЗИ Защита информации в бюро кредитных историй Примерный перечень нормативных - правовых актов, регламентирующих деятельность коммерческих банков в области информационной безопасности: Приказ ЦБ РФ от 03.04.1997 г. № 02-144 «О введении в действие временных требований по обеспечению безопасности технологий обработки электронных платёжных документов в системе Центрального Банка Российской Федерации»; Положение ЦБР от 20.12.2002 г. № 207-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»; «О государственном лицензировании деятельности в области защиты информации» (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г.); «О сертификации средств защиты информации по требованиям безопасности информации» (Введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. Зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995г. (Свидетельство № Р0СС RU. 0001. 01БИ00)); Федеральный закон «О кредитных историях» от 30.10.2004 №218-ФЗ


Слайд 24

Спасибо за внимание! АЗИ Защита информации в бюро кредитных историй Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ  www.azi.ru Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н. www.andek.ru V.Stepanov@andek.ru


×

HTML:





Ссылка: