Защита персональных данных в банке

Описание:
Доступные действия
Введите защитный код для скачивания файла и нажмите "Скачать файл"
Защитный код
Введите защитный код
Нажмите на изображение для генерации защитного кода

Текст:

Негосударственное профессиональное образовательное учреждение

 «Чебоксарский кооперативный техникум»

Чувашского республиканского союза потребительских обществ

РЕФЕРАТ

на тему: Защита персональных данных в банке

по дисциплине «Введение в специальность»

Работу выполнил студент 1 курса

группы БД-11 специальности

38.02.01 Банковское дело (по отраслям)

Немцев Алексей Сергеевич

Руководитель:

Куприна Нина Васильевна

Чебоксары, 2016


СОДЕРЖАНИЕ

ВВЕДЕНИЕ  3

1. Общие понятия информационной системы   5

1.1. Анализ угроз информационной безопасности  5

1.2. Юридические основы информационной безопасности  7

2. ОСНОВНЫЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ   10

2.1. Обеспечение достоверности и сохранности информации в автоматизированных системах. 14

2.2. Обеспечение конфедециальности информации  14

2.3 Защита персональных данных в Чувашкредитпромбанке  23

Заключение  26

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ: 28

ВВЕДЕНИЕ

Персональные компьютеры, системы управления и сети на их основе быстро входят во все области человеческой деятельности. Среди них можно выделить такие сферы применения, как военная. Коммерческая, банковская, посредническая, научные исследования по высоким технологиям и др. очевидно, широко используя компьютеры и сети для обработки и передачи информации, эти отрасли должны быть надежно защищены от возможности доступа к ней посторонних лиц. Ее утраты или искажения. Согласно статистическим данным, более 80% компаний несут финансовые убытки из-за нарушения целостности и конфиденциальности используемых данных.

Кроме информации, составляющей государственную или коммерческую тайну, существует информация, представляющая собой интеллектуальную собственность. К ней можно отнести результаты научных исследований, программы, обеспечивающие функционирование компьютера, игровые программы, оригинальные аудио- и видеоклипы, которые защищаются законами, принятыми в большинстве стран мирового сообщества. Стоимость такой информации в мире составляет несколько триллионов долларов в год. Ее несанкционированное копирование снижает доходы компаний и авторов, занятых ее разработкой.

В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно – работодателю. Работник в данной ситуации передает конфиденциальную информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.

Усложнение методов и средств организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ к ресурсам, программам и данным, недостаточный уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п.

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

Поэтому цель данной работы: наиболее детально рассмотреть вопросы информационной безопасности, изучить способы и средства нарушения конфиденциальности информации, а также методы ее защиты.


1.      Общие понятия информационной системы

1.1.   Анализ угроз информационной безопасности

Эффективность любой информационной системы в значительной мере определяется состоянием защищенности (безопасностью) перерабатываемой в ней информации.

Безопасность информации – состояние защищенности информации при ее получении, обработке, хранении, передаче и использовании от различного вида угроз.

Для успешного противодействия угрозам и атакам информационных систем, а также выбора способов и средств защиты, политики безопасности и анализа рисков от возможного несанкционированного доступа необходимо классифицировать существующие угрозы информационной безопасности. Каждый признак классификации должен отражать одно из обобщенных требований к системе защиты, а сами угрозы позволяют детализировать эти требования. Современные компьютерные системы и сети являются сложными системами, подверженными, кроме того, влиянию чрезвычайно большого числа факторов и поэтому формализовать задачу описания полного множества угроз не представляется возможным. Как следствие, для защищенной компьютерной системы определяется не полный перечень угроз, а перечень классов угроз, которым должен противостоять комплекс средств защиты.

Классификация угроз может быть проведена по ряду базовых признаков:

1. По природе возникновения: объективные природные явления, не зависящие от человека; субъективные действия, вызванные деятельностью человека.

2. По степени преднамеренности: ошибки конечного пользователя или персонала; преднамеренного действия, для получения несанкционированного доступа к информации.

3. По степени зависимости от активности Информационных систем: проявляющиеся независимо от активности информационных систем (вскрытие шифров, хищение носителей информации); проявляющиеся в процессе обработки данных (внедрение вирусов, сбор «мусора» в памяти, сохранение и анализ работы клавиатуры и устройств отображения).

4. По степени воздействия на информационные системы: пассивные угрозы (сбор данных путем выведывания или подсматривания за работой пользователей); активные угрозы ; внедрение программных или аппаратных закладок и вирусов для модификации информации или дезорганизации работы информационной системы).

5. По способу доступа к ресурсам информационных систем: получение паролей и прав доступа, используя халатность владельцев и персонала, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования и др.; обход средств защиты, путем загрузки посторонней операционной защиты со сменного носителя; использование недокументированных возможностей операционной системы.

6. По текущему месту расположения информации в информационной системе: внешние запоминающие устройства; оперативная память; сети связи; монитор или другое отображающее устройство (возможность скрытой съемки работы принтеров, графопостроителей, световых панелей и т.д.).

Необходимо отметить, что абсолютно надежных систем защиты не существует. Кроме того, любая система защиты увеличивает время доступа к информации, поэтому построение защищенных информационных систем не ставит целью надежно защититься от всех классов угроз. Уровень системы защиты – это компромисс между понесенными убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения, удорожания информационной системы и увеличения времени доступа к ресурсам от введения систем защиты, с другой стороны.

1.2. Юридические основы информационной безопасности

Наследником римской юридической традиции продолжала оставаться Византия.

В арабских странах господство перешло к религиозному праву — шариату, поэтому правовые знания приобретались с религиозным исламским обучением.

В Западной Европе в период раннего Средневековья специального юридического образования не было. Однако в X веке в Павии была основана школа, где преподавалось лангобардское право. В конце XI века в Болонье помимо школы свободных искусств возникла школа права, позже преобразованная в Болонский университет, где в середине XII века обучалось римскому праву несколько тысяч студентов из разных стран Европы.

В XII-XV веках в ряде стран Западной Европы возникают университеты (Оксфордский, Кембриджский, Парижский, Падуанский и др.), где ведущими были юридические факультеты, на которых изучалось преимущественно римское право.

У народов Западной Европы юриспруденция становится неизменным спутником культурного развития. Постепенно развивающееся сословие юристов в Италии, Англии, Франции и Германии занято на протяжении веков теоретической и практической разработкой как римского, так и отечественного права, а также философским анализом доктрин так называемого естественного права. Трактаты юристов ложатся здесь в основание законодательной и судебной деятельности; многие из них приобретают авторитет, равный законодательному. Западноевропейские законоведы с первых же шагов своей деятельности ставят себе чисто практические задачи, чуждые интересов религии и политики. Первоначальные трактаты этих юристов являются практическими сборниками формуляров для заключения юридических сделок и судебного процесса.

Особенностью юриспруденции средневековой Англии стало появление многочисленных  brevia (writs), содержащие индивидуализированные, подобно римским, иски на каждый случай нарушения прав, охраняемых законами. Постепенно такие brevia подвергаются юридической разработке со стороны законоведов. Рядом со сборниками brevia появляются сборники судебных решений (records), комментарии к ним, судебные руководства (reports), с изложением наиболее важных судебных случаев и аргументации, на которой стороны основывали свои притязания. Наконец, появляются целые обзоры действующего права, имевшие огромное воспитательное и практическое юридическое значение. В XII и XIII веках среди таких сборников наиболее известен «Трактат о законах и обычаях королевства Англии» (Tractatus de legibus et consuetudinibus regni Angliae) Глэнвилла — первый трактат по общему праву[2], а также «De legibus et consuetudinibus regni Angliae libri quinque» (англ. On the Laws and Customs of England) Генриха Брэктона — наиболее значительное из средневековых юридических сочинений Англии, представляющее собой обработку многочисленных судебных казусов и решений, проникнутую характерной для английской юриспруденции логикой и практическим смыслом. В нём также заметно влияние римского права и знакомство с Институциями Юстиниана.

Значительное отличие английской местной юридической традиции от континентальной, базировавшейся на романском праве, в дальнейшем предопределило раздельное развитие англо-саксонской и романо-германской правовых семей.

Французская юриспруденция до XV века направляет своё внимание на собирание и обработку обычного права в кутюмы (фр. coutume — обычай) но преимущественно с изучением римского права. Например, известны Великие Кутюмы Нормандии, Кутюмы Бовези Филиппа де Бомануара и кутюмы других французских земель и городов. На их основе в 1389 году был составлен «Большой сборник обычаев Франции», который  не смог преодолеть разрозненность национального права во Франции (вплоть до Великой Французской революции).

Юриспруденция в Германии в ранний период своего развития отставала в развитии от английской и французской. Только к концу XIV века образуются значительные центры изучения права — Карлов университет в Праге, Гейдельбергский и Лейпцигский университеты, где каноническое право изучалось наряду с гражданским римским.

2. ОСНОВНЫЕ МЕТОДЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обеспечение достоверности и сохранности информации в автоматизированных системах

Проблема обеспечения (повышения) достоверности информации при ее обработке в автоматизированных системах заключается главным образом в контроле правильности информационных массивов, обнаружении ошибок и их исправлении на различных этапах обработки информации. Исследование проблемы обеспечения достоверности информации в автоматизированных системах осуществляется на трех уровнях:

Синтаксическом (связан с контролем и защитой элементарных составляющих информационных массивов – знаков или символов);

Семантическом (связан с обеспечением достоверности смыслового значения информационных массивов, их логичности, непротиворечивости и согласованности);

Прагматическом (связан с изучением вопросов ценности информации при принятии управленческих решений, ее доступности и своевременности, влияния ошибок на качество и эффективность функционирования автоматизированных систем).

Ошибки, возникающие в процессе обработки информации, связаны с помехами, сбоями и отказами технических и программных средств, ошибками пользователей и обслуживающего персонала, недостаточной точностью или ошибками в исходных, промежуточных и выходных данных, неадекватностью реализованных математических моделей реальным процессам.

Для достижения требуемой или максимальной достоверности обработки информации в автоматизированных системах используются специальные методы, основанные на введении в структуры обработки информационных массивов информационной, временной или структурной избыточности.

Информационная избыточность характеризуется введением дополнительных разрядов в используемые информационные массивы и дополнительных операций в процедуры переработки информационных массивов, имеющих математическую или логическую связь с алгоритмом переработки, обеспечивающих выявление и исправление ошибок определенного типа.

Временная избыточность связана с возможностью неоднократного повторения определенного контролируемого этапа обработки информации.

Структурная избыточность характеризуется введением в состав автоматизированных систем дополнительных элементов.

По виду реализации известные методы обеспечения достоверности обрабатываемой информации в автоматизированных системах можно разделить на две основные группы: организационные (системные и административные) и аппаратно-программные (программные и аппаратные).

Надежность автоматизированных систем – свойство автоматизированных систем выполнять функции, сохраняя во времени значения установленных эксплуатационных показателей в заданных пределах, соответствующих данным режимам и условиям использования, технического обслуживания, ремонта, хранения и транспортирования.

Надежность комплекса аппаратных средств определяется в основном случайными сбоями и отказами, а надежность комплекса программных средств – наличием систематических ошибок, допущенных при его разработке.

Для обеспечения достоверности в автоматизированных системах используются общие типовые методы обеспечения надежности аппаратуры, целью которых служит поддержание характеристик аппаратных средств автоматизированных систем в заданных пределах. Надежность технических (аппаратных) средств достигается на этапах разработки, производства и эксплуатации.

Для программных средств рассматривают два этапа – этап разработки и этап эксплуатации. Этап разработки программных средств является определяющим при создании надежных компьютерных систем.

На этапе эксплуатации программные средства дорабатываются, в них устраняются замеченные ошибки, поддерживается целостность программных средств и актуальность данных, используемых этими средствами.

Аппаратно-программные методы повышения достоверности перерабатываемой в автоматизированных системах информации представляют собой совокупность методов контроля и выявления ошибок в исходных и получаемых информационных массивах, их локализации и исправления.

При эксплуатации автоматизированных систем существует возможность разрушения информационных массивов, которое приводит к появлению ошибок в результатах, невозможности решения некоторых функциональных задач или к полному отказу автоматизированных систем. Основными причинами нарушения целостности и готовности информационных массивов в процессе их непосредственного использования или хранения на носителях являются ошибки и преднамеренные действия операторов и обслуживающего персонала, деструктивные действия компьютерных вирусов, агрессивность внешней среды (температура, влажность и др.), износ носителей информации, приводящие к разрушению информационных массивов или их носителей.

Проблема обеспечения целостности и готовности информации при эксплуатации автоматизированных систем заключается в разграничении доступа к информационным массивам и программно-техническим ресурсам, контроле правильности информационных массивов, обнаружении ошибок, резервировании и восстановлении информационных массивов во внутри машинной информационной базе по зарезервированным информационным массивам.

Методы повышения сохранности информации в автоматизированных системах в зависимости от вида их реализации можно разделить на организационные и аппаратно-программные.

I. Организационные методы повышения сохранности состоят в создании и использовании рациональной технологии эксплуатации информационных массивов, предусматривающей профилактические меры по снижению доли искажений информационных массивов до определенного допустимого уровня и по обеспечению своевременного предоставления необходимых аутентичных информационных массивов для автоматизированного решения задач автоматизированных систем. Основными из них являются:

1) учет и хранение информационных массивов в базах данных автоматизированных систем;

2) контроль за качеством работы операторов и обслуживающего персонала;

3) контроль износа и старения технических средств, функционирования автоматических систем, а также правильности их эксплуатации;

4) профотбор, обучение и стимулирование персонала автоматизированных систем;

5) организация труда персонала автоматизированных систем, обеспечивающая уменьшение возможностей нарушения им требований сохранности информационных массивов;

6) обеспечение противопожарной защиты и температурно-влажностного режима.

II. Аппаратно-программными методами повышения сохранности информации являются:

1) резервирование информации (обеспечивает защиту информации как от случайных угроз, так и от преднамеренных воздействий):

 оперативное резервирование – создание и хранение резервных рабочих копий информационных массивов, используемых для решения функциональных задач автоматизированных систем в реальном масштабе времени;

восстановительное резервирование – создание и хранение дополнительных копий информационных массивов, используемых только для восстановления разрушенных рабочих копий информационных массивов;

 долговременное резервирование – создание, длительное хранение и обслуживание архивов оригиналов, дубликатов и резервных копий информационных массивов.

2) контроль, обнаружение и исправление ошибок информационных массивов (реализуются как в аппаратном варианте, так и в виде программных модулей):

 получение контрольных сумм – сумма всех символов, полученная циклическим сложением после обновления информационных массивов;

использование контрольных чисел – цифра, связанная с символами информационных массивов некоторым соотношением;

 использование избыточных кодов – позволяют выявлять и автоматически исправлять имеющиеся в информационных массивах ошибки;

программная проверка по четности – обеспечивает более качественный контроль по сравнению со схемной проверкой четности;

 контроль верности входных информационных массивов – контроль допустимого диапазона изменения некоторого показателя.

3) контроль верности входных данных и защита от вирусов:

 обнаружение вирусов в автоматизированных системах (сканирование, обнаружение изменений, эвристический анализ, вакцинация программ, аппаратно-программная защита от вирусов);

блокирование работы программ-вирусов

 устранение последствий воздействия вирусов.

Для решения данных задач используются специальные антивирусные средства.

4) блокировка ошибочных операций (действий) – использует технические и аппаратно-программные средства. Технические средства применяются в основном для предотвращения ошибочных действий людей (блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записей на магнитные ленты, дискеты и т.п.). Аппаратно-программные средства позволяют, например, блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти.

Все эти методы позволяют повысить достоверность информации и сохранить целостность и готовность информационных массивов в процессе их непосредственного использования или хранения на носителях.

2.2. Обеспечение конфиденциальности информации

В общей проблеме обеспечения защищенности информации в автоматизированных системах особая роль отводится обеспечению требуемого уровня конфиденциальности информационных массивов. Это обусловлено тем, что возможное нарушение конфиденциальности информационных массивов и как следствие раскрытие, модификация ( с целью дезинформации), случайное или преднамеренное разрушение, а также несанкционированное использование информации могут привести к крайне тяжелым последствиям с нанесением неприемлемого ущерба владельцам или пользователям информации.

Основными направлениями обеспечения конфиденциальности информации в автоматизированных системах являются:

- защита информации от утечки по техническим каналам;

- криптографическая защита информационных массивов;

- защита объектов от несанкционированного доступа посторонних лиц;

- разграничение доступа в автоматизированных системах.

Всю совокупность мер и мероприятий по обеспечению конфиденциальности информации в автоматизированных системах можно условно разделить на две группы:

1) организационные (административные, законодательные);

2) инженерно-технические (физические, аппаратные, программные и криптографические).

Административные – комплекс организационно-правовых мер и мероприятий, регламентирующих (на основе нормативно правовых актов: приказов, директив, инструкций и т.п.) процессы функционирования автоматизированных систем, использование ее аппаратно-программных средств, а также взаимодействие пользователей и обслуживающего персонала с автоматизированными системами с целью исключения возможностей или существенного затруднения несанкционированного доступа к информационным массивам.

Комплекс законодательных мер определяется законами страны, постановлениями, регламентирующими правила переработки и использования информации ограниченного доступа и ответственность за их нарушение.

Комплекс физических мер и мероприятий предназначен для создания физических препятствий для потенциальных нарушителей на пути в места, в которых можно иметь доступ к защищаемой информации.

Аппаратные методы обеспечения конфиденциальности информации – это комплекс мероприятий по разработке и использованию механических, электрических, электронных и других устройств, предназначенных для защиты информации от несанкционированного доступа, утечки и модификации.

Программными решениями (методами) обеспечения конфиденциальности информации являются комплексы специальных программ и компонентов общего программного обеспечения автоматизированных систем, предназначенных для выполнения функций контроля, разграничения доступа и исключения несанкционированного использования информации.

Криптографические методы обеспечения конфиденциальности информации в автоматизированных системах – это комплекс процедур и алгоритмов преобразования информации, обеспечивающих скрытность смыслового содержания информационных массивов.

2.3. Защита персональных данных в Чувашкредитпромбанке

Заключение

Таким образом, рассмотрев способы и средства нарушения конфиденциальности информации в области персональных данных, а также методы ее защиты в информационных системах, можно сделать следующие выводы.

Личная тайна работника или любого другого человека охраняется законом на самом высшем уровне. Необходимо учесть, что основная причина правонарушений в данных вопросах – это неграмотность работников отделов кадров. На очень многих предприятиях нет конкретных правил хранения персональных данных. Ростру инспекция при проведении проверок все же требует веские доказательства сохранности данных сведений.

Необходимо выделить, что существуют законы, в которых предусмотрены наказания за нарушения в вопросах охраны персональных данных работника. Но все таки в этих законах прописаны санкции, которые восстанавливают справедливость, но не снижают количество правонарушений.

Большое значение имеет то, как руководитель каждого предприятия относится к правам своих работников. Так как только администрация предприятия или организации может и должна контролировать соблюдение порядка по хранению и защите персональных данных своих работников.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ:

1.                Акулов О.А. Информатика: базовый курс: учеб. для студентов вузов, бакалавров, магистров. - 4-е изд., стер. - Москва: Омега-Л, 2007.-560с.

2.                Анин Б.А. Защита компьютерной информации. - СПб. БХВ-Петербург. 2000.- 384с.

3.                Завгородний В.И. Комплексная защита информации в компьютерных системах: учебное пособие. М.: Логос; ПБОЮЛ Н. А. Егоров, 2001. - 376 с.

4.                Кадровое дело. № 9, 2003.

5.                Кадровое дело. № 4, 2003.

6.                Комментарий к Кодексу Российской Федерации об административных правонарушениях (под ред. Ю. М. Козлова) - Юрист, 2002.

7.                Ловцов Д.А. Контроль и защита информации в АСУ; в 2 кн. Кн.1. Вопросы теории и применения. М.: ВА им. Ф.Э. Дзержинского, 1991. 587 с.

8.                Постатейный Комментарий к Уголовному кодексу РФ 1996 г. (под ред. Наумова А.В.).

9.                Соболь Б.В., Галин А.Б., Панов Ю.В., Рашидова Е.В., Садовой Н.Н. Информатика: Учебник. – Ростов н/Д: Феникс, 2005. – 448 с.

10.           Торокин А.А. Основы инженерно-технической защиты информации. М.: Ось-99, 1999. – 299с.

11.           Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных

Соболь Б.В., Галин А.Б., Панов Ю.В., Рашидова Е.В., Садовой Н.Н. Информатика: Учебник. – Ростов н/Д: Феникс, 2005. – 448 с., с.397

Акулов О.А. Информатика: базовый курс: учеб. для студентов вузов, бакалавров, магистров. - 4-е изд., стер. – Москва: Омега-Л, 2007.-560с., с.498

Информация о файле
Название файла Защита персональных данных в банке от пользователя riwonake
Дата добавления 5.5.2020, 18:36
Дата обновления 5.5.2020, 18:36
Тип файла Тип файла (zip - application/zip)
Скриншот Не доступно
Статистика
Размер файла 27.86 килобайт (Примерное время скачивания)
Просмотров 587
Скачиваний 83
Оценить файл