Защита информации: камень преткновения для системы бюро кредитных историй презентация

Содержание

Темы доклада АЗИ Защита информации в бюро кредитных историй Примеры мировой практики нарушения режима информационной безопасности Идеология построения систем защиты

Слайд 1Защита информации: камень преткновения для системы бюро кредитных историй
Емельянов Г.В.


Председатель совета АЗИ
Член-корреспондент Академии криптографии РФ 
Степанов В.В.
Генеральный директор ЗАО «АНДЭК», к.ю.н.



















АЗИ


Защита информации в бюро кредитных историй


Слайд 2Темы доклада

АЗИ

Защита информации в бюро кредитных историй
Примеры мировой практики

нарушения
режима информационной безопасности

Идеология построения систем защиты
информации

Классификация объекта защиты

Комплекс имущественных отношений,
связанных с защитой объекта

Оценка риска, модель угроз, модель
нарушителя, система мер, методы
защиты





















Слайд 3Примеры мировой практики

АЗИ

Защита информации в бюро кредитных историй

28.10.03 -

Федеральные органы США объявили о том, что у Experian (кредитное бюро) были похищены 43,000 кредитные истории. Похитил данные бывший сотрудник ИТ компании, которая разрабатывала программное обеспечение для кредитных бюро. Общий ущерб в результате хищения составил 10 млн. долларов.




















Слайд 4Примеры мировой практики

АЗИ

Защита информации в бюро кредитных историй

16.03.04

- Equifax Canada Inc (кредитное бюро) объявило о том, что кредитные истории 1,400 граждан были похищены.
14.03.05 – LexisNexis объявила, что данные о 32, 000 жителей Америки были похищены.
13.06.05 – Citigroup объявил, что данные о 3,9 млн. вкладчиков, возможно, были украдены в процессе пересылки в кредитное бюро.




















Слайд 5Примеры мировой практики

АЗИ

Защита информации в бюро кредитных историй

13.06.05 –

Ezboard (финансовая компания) объявила, что подверглась массированной атаке, целью уничтожить данные о клиентах. В результате данные половины клиентов были уничтожены.

20.06.05 – Mastercard и Visa объявили, что данные о 40 млн. пользователей кредитных карт были похищены в результате хакерской атаки на системы CardSystems Solutions Inc




















Слайд 6Идеология построения систем защиты информации

АЗИ

Защита информации в бюро кредитных историй

Ценности
Угрозы
Виды воздействий
Оценка долгосрочных последствий
Меры защиты
Приемлемость остаточного риска




















Слайд 7Классификация объекта защиты

АЗИ

Защита информации в бюро кредитных историй

Базовый объект защиты -консолидированная совокупность персонифицированных данных владельцев кредитных историй

Вторичные объекты защиты – параметры бизнес-процессов кредитного бюро, параметры технической системы, параметры системы защиты информации, планы модернизации, планы предоставления новых услуг, данные личных дел сотрудников, алгоритмы скоринга




















Слайд 8Комплекс информационных отношений, связанных с защитой объекта

АЗИ

Защита информации в бюро

кредитных историй


Субъекты отношений:

Субъект гражданского оборота (носитель кредитной истории)
Лицо, осуществляющее первоначальный сбор данных о носителе кредитной истории
Кредитное бюро
Потребители услуг кредитного бюро
Центральный Банк
Государство




















Слайд 9Носитель кредитной истории

АЗИ

Защита информации в бюро кредитных историй

заинтересован в

том, чтобы его персональные данные обращались
в режиме конфиденциальности




















Слайд 10Лицо, осуществляющее первоначальный сбор данных


















АЗИ

Защита информации в бюро кредитных историй

заинтересовано в том, чтобы:

все процедуры сбора и дальнейшей
передачи были юридически выверены

сбор, хранение и передача информации в кредитное бюро были технически реализованы в соответствии с нормативными требованиями и необходимым уровнем риска.




Слайд 11 Кредитное бюро

АЗИ

Защита информации в бюро кредитных историй
заинтересовано в том,

чтобы:
Размер и вид ответственности кредитного бюро за нарушение безопасности персональных данных были четко определены

Требования к кредитным бюро по защите информации со стороны государственных органов были однозначны и устойчивы

Лица, собирающие информацию, и потребители услуг кредитного бюро выполняли требования государства и кредитного бюро по защите информации





















Слайд 12Потребители услуг кредитного бюро

АЗИ

Защита информации в бюро кредитных историй
заинтересованы в

том, чтобы они могли:

Использовать персональные данные граждан на законных основаниях

Требования по защите информации, предъявляемые к ним со стороны государства и кредитного бюро были четкими




















Слайд 13Центральный Банк

АЗИ

Защита информации в бюро кредитных историй

выполняя возложенные на него

функции развития и укрепления банковской системы и используя имеющиеся полномочия, регулирует нормативными актами вопросы защиты персональных данных граждан




















Слайд 14 Государство

АЗИ

Защита информации в бюро кредитных историй
заинтересовано в том, чтобы

персональные данные граждан находились под защитой

с этой целью государство предоставляет право специальным органам полномочия устанавливать правила обращения персональных данных граждан




















Слайд 15Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты

АЗИ

Защита

информации в бюро кредитных историй

Основными причинами ущерба от нарушения безопасности информации в кредитном бюро являются:
- Нарушения конфиденциальности информации
- Нарушения целостности информации
Нарушения доступности информации

Данные угрозы могут исходить от умышленных или неумышленных действий внутренних или внешних (по отношению к владельцу баз данных) лиц




















Слайд 16 Основные виды угроз безопасности ИС и информации

АЗИ

Защита информации в бюро

кредитных историй

Основными видами угроз безопасности ИС и информации (угроз интересам субъектов информационных отношений) являются:
сбои и отказы оборудования (технических средств) информационных систем
последствия ошибок проектирования и разработки компонентов информационных систем (аппаратных средств, технологии обработки информации, программ, структур данных)
ошибки эксплуатации (пользователей, операторов и другого персонала)
преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников)
стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар)




















Слайд 17 Модель наиболее опасного нарушителя

АЗИ

Защита информации в бюро кредитных историй

Как показывает

практика, наиболее потенциально опасными являются действия группы злоумышленников, в которой участвует сотрудник организации





















Слайд 18 Оценка риска

АЗИ

Защита информации в бюро кредитных историй
Руководство кредитного

бюро может попытаться измерить риск, например, оценить какова будет прямая (в том числе, имущественная) ответственность кредитного бюро в случае появления полной базы кредитных историй на рынке или какой будет косвенный ущерб бизнесу кредитного бюро в аналогичном случае. Или оценить риск, связанный с невозможностью предоставления услуг в случае неработоспособности программно-аппаратного комплекса





















Слайд 19 Принципы построения системы мер защиты

АЗИ

Защита информации в бюро кредитных историй

Система мер защиты информации (состав, стоимость) должна выстраиваться в зависимости от осознанного принятия руководством кредитного бюро рисков и в соответствии с требованиями законодательства.




















Слайд 20 Система мер (методы защиты) должна включать в себя:

АЗИ

Защита информации

в бюро кредитных историй

Подсистему мер на административном уровне (поддержка руководством организации работ по обеспечению защиты информации)
Подсистему мер на организационном уровне (встроенность процедур и правил по защите информации в бизнес – процессы организации)
Подсистему мер на техническом уровне (реализация механизмов защиты программно-техническими средствами)




















Слайд 21
АЗИ

Защита информации в бюро кредитных историй
В качестве примера можно привести

перечень документов, которые необходимо разработать и актуализировать для внедрения и поддержки системы мер на административном и организационном уровне:
Политика информационной безопасности
Концепция ИБ, корпоративная политика ИБ, частные политики ИБ
Требования ИБ к процессам (кто, что, где, когда)
Стандарты технологий, положения, порядки, регламенты на процедуры
Требования ИБ к задачам, выполняемым работниками
Конфигурационные стандарты, инструкции, отчетные формы, технологические карты
Свидетельства выполненной деятельности
Реестры, регистрационные журналы, протоколы, акты, договоры, отчеты



















Слайд 22Стоимость системы мер защиты

АЗИ

Защита информации в бюро кредитных историй
Обычно

стоимость системы мер защиты информации в кредитных учреждениях составляет 10 процентов от ИТ бюджета. Так как, технологическая система кредитных бюро проще систем кредитных учреждений, а защита информации также важна, то можно предположить, что стоимость системы мер защиты в кредитных бюро может составить 20-30 процентов от ИТ бюджета кредитного бюро.




















Слайд 23
АЗИ

Защита информации в бюро кредитных историй
Примерный перечень нормативных - правовых

актов, регламентирующих деятельность коммерческих банков в области информационной безопасности:

Федеральный закон “Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-ФЗ.
Гражданский кодекс РФ, ст.ст. 139, 857
Уголовный кодекс Российской Федерации
Федеральный закон от 03.02.1996 г. № 17-ФЗ «О внесении изменений и дополнений в Закон РСФСР «О банках и банковской деятельности в РСФСР», ст. 26 («Банковская тайна»).
Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ.
Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2002 г. № 128-ФЗ.
Постановление Правительства Российской Федерации от 27.08.2002 г. № 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».
Положение ЦБР от 16.12.2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
Письмо ЦБ РФ от 03.02.2004 г. № 16-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет»;
Письмо ЦБ РФ от 07.05.2003 г. № 70-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций»;




















Слайд 24
АЗИ

Защита информации в бюро кредитных историй
Примерный перечень нормативных - правовых

актов, регламентирующих деятельность коммерческих банков в области информационной безопасности:

Приказ ЦБ РФ от 03.04.1997 г. № 02-144 «О введении в действие временных требований по обеспечению безопасности технологий обработки электронных платёжных документов в системе Центрального Банка Российской Федерации»;
Положение ЦБР от 20.12.2002 г. № 207-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»;
«О государственном лицензировании деятельности в области защиты информации» (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г.);
«О сертификации средств защиты информации по требованиям безопасности информации» (Введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. Зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995г. (Свидетельство № Р0СС RU. 0001. 01БИ00));
Федеральный закон «О кредитных историях» от 30.10.2004 №218-ФЗ




















Слайд 25Спасибо за внимание!

АЗИ

Защита информации в бюро кредитных историй
Емельянов Г.В.


Председатель совета АЗИ
Член-корреспондент Академии криптографии РФ  www.azi.ru

Степанов В.В.
Генеральный директор ЗАО «АНДЭК»,
к.ю.н.
www.andek.ru V.Stepanov@andek.ru




















Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика