Защита персональных данных в банковских он-лайн системах
Курсовой проект - Банковское дело
Другие курсовые по предмету Банковское дело
ом президента Российской Федерации от 6 марта 1997 г. № 188 (приложение №)разработок. [36]
Обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе.
Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации.
Использование для передачи и обработки информации каналов и способов, затрудняющих перехват.
Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:
конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);
целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);
готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).
Методами обеспечения защиты персональной информации являются: препятствия; управление доступом, маскировка, регламентация, принуждение, побуждение.
Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой персональной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.
Управлением доступом является метод защиты персональной и отчетной информации, реализуемой за счет:
идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);
аутентификации - установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);
проверки полномочий - проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам; регистрации обращений к защищаемым ресурсам;
информирования и реагирования при попытках несанкционированных действий. (Криптография - способ защиты с помощью преобразования информации (шифрования)).
В комплексе БЭСТ-4 разграничение доступа к информации производится на уровне отдельных подсистем и обеспечивается путем задания раздельных паролей доступа. При начальной настройке или в любой момент работы с программой администратор системы может задать или сменить один или несколько паролей. Пароль запрашивается при каждом входе в подсистему. [28]
Помимо этого в некоторых модулях предусмотрена своя система разграничения доступа к информации. Она обеспечивает возможность защиты специальными паролями каждого пункта меню. Паролями можно также защитить доступ к отдельным подмножествам первичных документов: так, в АРМ Учет запасов на складе и Учет товаров и продукции присутствует возможность задавать пароли доступа к каждому складу в отдельности, в АРМ Учет кассовых операций - пароли доступа к каждой кассе, в АРМ Учет расчетов с банком - пароли доступа к каждому банковскому счету.
Особо следует отметить то обстоятельство, что для эффективного разграничения доступа к информации необходимо в первую очередь защитить паролями сами режимы определения паролей по доступу к тем или иным блокам. [39]
В 1С.Предприятие, версия 7.7 существует своя защита информации - права доступа.С целью интеграции и разделения доступа пользователей к информации при работе с системой 1С.Предприятие в сети персональных компьютеров, конфигуратор системы позволяет установить для каждого пользователя права на работу с информацией, обрабатываемой системой. Права могут быть заданы в достаточно широких пределах - от возможности только просмотра некоторых видов документов до полного набора прав по вводу, просмотру, корректировке и удалению любых видов данных.
Назначение пользователю прав доступа производится в 2 этапа. На первом этапе создаются типовые наборы прав по работе с информацией, отличающиеся, как правило, широтой предоставляемых возможностей доступа. На втором этапе пользователю ставится в соответствие один из таких типовых наборов прав. [18]
Вся работа по созданию типовых наборов прав производится на закладке Права окна Конфигурация. Это окно вызывается на экран выбором пункта открыть конфигурацию из меню Конфигурация главного меню программы
2.2 Комплекс мероприятий обеспечения безопасности персональных данных в банковских он-лайн системах
Обоснование комплекса мероприятий по обеспечению безопасности ПДн в ИСПДн производится с учетом результатов оценки опасности угроз и определения класса ИСПДн на основе Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.[18]
При этом должны быть определены мероприятия по:
выявлению и закрытию технических каналов утечки ПДн в ИСПДн;
защите ПДн от несанкционированного доступа и неправомерных действий;
установке, настройке и применению средств защиты.
Мероприятия по выявлению и закрытию технических каналов утечки ПДн в ИСПДн формулируются на основе анализа и оценки угроз безопасности ПДн.
Мероприятия по защите ПДн при их обработке в ИСПДн от несанкционированного до