أسئلة حول ما إذا كانت البنوك ومكاتب الائتمان ووكالات التحصيل هي مشغلي البيانات الشخصية ، وما إذا كانت الأنظمة المصرفية الآلية (ABS) والأنظمة المصرفية عن بُعد (RBS) تنتمي إلى أنظمة معلومات البيانات الشخصية (ISPDN) ، وما إذا كانت بحاجة إلى شهادة أو شهادة وما إلى ذلك ، لم تعد تستحق ذلك. وردت إجابات عليها من ممثلي الهيئات التنظيمية في مجال البيانات الشخصية (FSB ، FSTEK ، Rossvyazkomnadzor) ومن المجتمع المصرفي. انتقلت المشكلات إلى المستوى العملي - ماذا وكيف نفعل ذلك عند التعامل مع البيانات الشخصية ، يتم استيفاء أحكام القانون. لم يمض وقت طويل قبل "الامتحانات" - بحلول 1 يناير 2010 ، يجب أن تتم معالجة البيانات في ISPD بما يتماشى مع متطلبات التشريع.

النطاق والحدود

من الواضح بالفعل أن إجراءات ضمان أمن معالجة البيانات الشخصية معقدة تقنيًا ، وتتطلب مؤهلات عالية من فناني الأداء ، ومعرفة خاصة ، وفهمًا عميقًا لوظائف كل من التطبيقات التي تعالج البيانات الشخصية وأدوات أمن المعلومات. هذا هو السبب في أن الوثائق التنظيمية للجهات التنظيمية تنص على ترخيص أنشطة مشغلي البيانات الشخصية من أجل الحماية التقنية. معلومات سرية... المخرج بالنسبة للمؤسسات المصرفية التي ، لسبب أو لآخر ، لا تستطيع أو لا ترغب في الحصول على ترخيص ، هو إبرام اتفاقية مع منظمة مرخصة متخصصة للاستعانة بمصادر خارجية لخدمات الحماية الفنية للبيانات الشخصية.

بغض النظر عمن سينفذ العمل لضمان أمان معالجة البيانات الشخصية ، فإن الخطوات الأولى للمشغل واضحة تمامًا. من الضروري (1) تحديد جميع أنظمة المعلومات التي تعالج البيانات الشخصية (ISPDN) ، (2) لتصنيف جميع ISPDN التي تم تحديدها و (3) لتشكيل وتحديث نموذج تهديد لكل منها أو لمجموعات من الأنظمة المماثلة.

من المهم أن نفهم أن تحديد حدود ISPD وتصنيفها هي مهام غير رسمية تتطلب فهم عمليات الأعمال. النقاط الرئيسية في مرحلة جمع وتحليل البيانات الأولية على ISPD هي تعريف أغراض معالجة البيانات الشخصية وتشكيل قائمة بالبيانات الشخصية (تحديد تكوين المعلومات المصنفة في هذه الفئة).

مثالان.

معظم المؤسسات الكبيرة والبنوك هنا ليست استثناءً ، لديها بوابات داخلية للشركات تحتوي ، من بين أشياء أخرى ، على نظام مرجعي يحتوي على معلومات حول الموظفين مع الاسم الأخير والاسم الأول والعائلة والوظيفة وهاتف المكتب وأرقام المكاتب والعنوان e- البريد ، في بعض الحالات - والصور. عند تحديد فئة هذه البيانات الشخصية وفقًا لطريقة الترتيب المشترك لـ FSTEC و FSB ووزارة المعلومات والاتصالات في الاتحاد الروسي
بتاريخ 13.02.2008 N 55/86/20 "عند الموافقة على إجراء تصنيف أنظمة المعلومات الخاصة بالبيانات الشخصية" ، من الضروري الانطلاق من الغرض من معالجة البيانات - تحديد الموظفين لإقامة اتصال معهم (الفئة 3 ) ، وعند تقييم المعامل الذي يميز عدد السجلات المعالجة (X NPD) ، حدد "البيانات الشخصية لموضوعات البيانات الشخصية داخل مؤسسة معينة" كمعامل. في هذه الحالة نظام مرجعيتنتمي إلى الفئة 3 (K3) من ISPD النموذجي ، حتى لو كانت المنظمة توظف أكثر من 1000 موظف.

المثال الثاني. عند تكوين قائمة البيانات الشخصية لقطاع ABS المرتبط بالحفاظ على السجل الائتماني للعميل ، يمكن تحديد قائمة البيانات الشخصية التي تمت معالجتها على أساس القانون الفيدرالي "في تاريخ الائتمان". ثم ستشير المعلومات التالية حول المقترض إلى PD في PDIS هذا:

• الاسم بالكامل؛
• تاريخ ومكان الميلاد؛
• بيانات جواز السفر أو وثيقة الهوية الأخرى (رقم وتاريخ ومكان الإصدار واسم السلطة المصدرة) ؛
• رقم التأمين لحساب شخصي فردي ؛
• مكان التسجيل ومكان الإقامة الفعلي ؛
• معلومات حول تسجيل الدولةكفرد كرجل أعمال فردي.

في مرحلة جرد وتصنيف ISPD ، من الضروري تقييم الحاجة وجدوى تصنيف ISPD كنظم خاصة ، بناءً على أحكام الأمر المشترك المذكور أعلاه وخصائص معالجة البيانات في نظام معين.

إن بناء نموذج تهديد حديث يمثل تحديًا أيضًا وغير رسمي. يُعتقد أنه في هذه المرحلة من الممكن تقليل متطلبات الأمان بشكل كبير وتبسيط نظام الحماية ، مع الاعتراف بأن معظم التهديدات غير ذات صلة. هذا ليس صحيحا. إن تحقيق التهديدات ، بالطبع ، ينتمي إلى سلطة المشغل ، لكن لا يمكن القيام به بشكل تعسفي. في سياق ذلك ، من الضروري اتباع منهجية المنظمين المنصوص عليها في الوثائق التنظيمية والمنهجية ، ومراعاة معايير تقييم الملاءمة المحددة فيها.

مشاكل قانونية

جزء مهم من العمل لجعل النموذج يتماشى مع متطلبات المنظمين هو تحديد وتحليل شرعية أسباب معالجة البيانات الشخصية ، وهو أمر صعب بشكل خاص ، لنقلها إلى أطراف ثالثة. هذه الأسباب فيما يتعلق بالبنوك هي:

• الحالات المنصوص عليها مباشرة في القوانين الاتحادية ؛
• اتفاق على تقديم الخدمات للفرد ؛
• الوفاء بالتزامات صاحب العمل فيما يتعلق بموظفيه.

يجب أن تحتوي الاتفاقيات المبرمة مع الأفراد على موافقتهم الصريحة على جميع حالات معالجة البيانات التي تتجاوز التوفير الفعلي للخدمات المصرفية. من وجهة نظر قانونية ، تبدو أحكام الاتفاقيات التي تنص على نقل البيانات الشخصية في الحالات التي لا تنص عليها القوانين مشكوكًا فيها للغاية ، على سبيل المثال: "يتعهد البنك والمقترض بعدم إفشاء المعلومات لأطراف ثالثة بأي شكل من الأشكال" ، ... التشريع الاتحاد الروسيوهذه الاتفاقية ، بما في ذلك ... لأشخاص آخرين ، أثناء ممارسة وحماية البنك لحقوقه والتزاماته ومصالحه المشروعة ، عند تقديم البيانات الشخصية وفقًا للعرف المعمول به في معدل دوران الأعمال " (أبرزها المؤلف). لا يوجد أساس من هذا القبيل للنقل في القانون الاتحادي مثل عادات دوران الأعمال.

نظام الأمن ISPDN bank

بناءً على البيانات الأولية المحددة في قانون تصنيف ISPD ونموذج التهديد المحدث ، يتم تحديد آليات الأمان التي يجب تنفيذها في نظام الحماية والمتطلبات المحددة لوظيفة هذه الآليات.

دعونا ننظر في هذه الأطروحة بمثال.

بالنسبة للغالبية العظمى من ISPD ، من الضروري اتخاذ تدابير لحماية البيانات الشخصية من الوصول غير المصرح به (NSD) والإجراءات غير القانونية الأخرى ، بما في ذلك:

• صلاحية التحكم صلاحية الدخول؛
• التسجيل والمحاسبة
• ضمان النزاهة.
• السيطرة على غياب الفرص غير المعلنة ؛
• الحماية من الفيروسات.
• ضمان الاتصال البيني الآمن ISPDN ؛
• تحليل الأمن؛
• كشف التسلل.

يوصى بتنفيذ النظام الفرعي للتحكم في الوصول على أساس أدوات برمجية لحظر العبث والإشارة والتسجيل (وسائل خاصة لحماية نظام التشغيل نفسه غير المدرجة في جوهر أي نظام تشغيل) ، وقواعد البيانات الإلكترونية للبيانات الشخصية وبرامج التطبيقات التي تنفذ وظائف التشخيص والتسجيل والتدمير والتشوير والتقليد ...

بالمقابل، يعني التأشير يجب تقديم تحذيرات للمشغلين عند وصولهم إلى PD المحمي ، بالإضافة إلى تحذيرات للمسؤول حول اكتشاف الحقائق

• NSD إلى البيانات الشخصية ؛
• تشويه حماية البرمجيات ؛
• فشل أو فشل حماية الأجهزة ؛
• وقائع أخرى تتعلق بانتهاك الأداء الطبيعي لـ ISPD.

يجب إجراء نفس التحليل عند تحديد طرق تحييد التهديدات الحالية المتبقية ، والتي على أساسها يتم تحديد أدوات أمن المعلومات المعتمدة مع الوظائف المطلوبة. تعد أدوات أمن المعلومات المعتمدة المتوفرة حاليًا كافية لتنفيذ جميع المتطلبات تقريبًا المنصوص عليها في الوثائق التنظيمية والمنهجية لـ FSTEC و FSB ، والسؤال الوحيد هو معرفة قدراتها والجمع الصحيح.

اليوم ، تم إنشاء جميع الشروط اللازمة للوفاء بمتطلبات ضمان أمان البيانات الشخصية ، وفي الوقت المتبقي حتى 1 يناير 2010 ، يلزم إنشاء نظام حماية فرعي لهذه الفئة من المعلومات ذات الوصول المحدود في جميع المؤسسات الائتمانية والمالية.

المقدمة

ملاءمة. في العالم الحديث ، أصبحت المعلومات موردا استراتيجيا ، وأحد الثروات الرئيسية للدولة المتقدمة اقتصاديا. أدى التحسن السريع للمعلوماتية في روسيا ، وتغلغلها في جميع مجالات المصالح الحيوية للفرد والمجتمع والدولة ، بالإضافة إلى المزايا التي لا شك فيها ، إلى ظهور عدد من المشاكل الهامة. كان أحدها الحاجة إلى حماية المعلومات. بالنظر إلى أن الإمكانات الاقتصادية في الوقت الحاضر يتم تحديدها بشكل متزايد من خلال مستوى تطوير هيكل المعلومات ، فإن الضعف المحتمل للاقتصاد من تأثيرات المعلومات يتزايد بشكل متناسب.

ينتشر أنظمة الكمبيوترإن دمجها في شبكات اتصال يعزز احتمالات الاختراق الإلكتروني لها. إن مشكلة جرائم الكمبيوتر في جميع دول العالم ، بغض النظر عن موقعها الجغرافي ، تجعل من الضروري جذب المزيد والمزيد من الاهتمام وقوى الجمهور لتنظيم مكافحة هذا النوع من الجرائم. تنتشر بشكل خاص الجرائم في الأنظمة المصرفية الآلية والتجارة الإلكترونية. وبحسب بيانات أجنبية ، فإن الخسائر في البنوك نتيجة جرائم الكمبيوتر تصل إلى عدة مليارات من الدولارات سنويًا. على الرغم من أن مستوى إدخال أحدث تقنيات المعلومات في الممارسة العملية في روسيا ليس مهمًا جدًا ، إلا أن جرائم الكمبيوتر كل يوم تجعل نفسها محسوسة أكثر فأكثر ، وأصبحت حماية الدولة والمجتمع منها مهمة عظمى للسلطات المختصة .

لا أحد يشك في أهمية مسألة حماية البيانات الشخصية. بادئ ذي بدء ، يرجع هذا إلى الفترة المحددة لجلب أنظمة معلومات البيانات الشخصية (ISPD) وفقًا للقانون الفيدرالي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية". هذا الموعد النهائي يقترب بلا هوادة ، وفي نفس الوقت يثير التعقيد الواضح للوفاء بمتطلبات الوثائق التنظيمية للهيئات التنظيمية الكثير من الخلافات والتفسيرات الغامضة. في الوقت نفسه ، لا تساهم الطبيعة المغلقة لبعض وثائق التوجيه ، ووضعها القانوني غير المحدد ، بالإضافة إلى عدد من القضايا الأخرى ، في حل المشكلة. كل هذا يخلق حالة عندما لا يتم تحديد الإطار التنظيمي بشكل نهائي ، ومن الضروري الامتثال لمتطلبات التشريع الآن.

في مايو 2009 ، تم عقد الاجتماع الأول لمجموعة العمل حول قضايا البيانات الشخصية في ARB. في هذا الحدث ، خلال مناقشة مفتوحة ، تم تحديد مجالات المشاكل التي تهم المجتمع المصرفي بوضوح. في الأساس ، كانوا معنيين على وجه التحديد بالحماية التقنية للبيانات الشخصية والتفاعل المستقبلي بين المؤسسات المالية و FSTEC. أعلن ممثلو بنك روسيا في حديثهم عن أفضل الممارسات من حيث تنظيم تنفيذ قانون "البيانات الشخصية". جديدة ومهمة بشكل أساسي هي محاولات بنك روسيا لإيجاد حل وسط مع المنظمين فيما يتعلق بصياغة المتطلبات الفنية للمجتمع المصرفي. أود أن أشير بشكل خاص إلى نشاط البنك المركزي للاتحاد الروسي في العمل مع FSTEC لروسيا. مع الأخذ في الاعتبار كل الحجم الهائل من الصعوبات في تلبية متطلبات المبادئ التوجيهية FSTEC ، اتخذ بنك روسيا قرارًا لإعداد وثائقه الخاصة (مسودات الوثائق) ، والتي يتم تنسيقها حاليًا مع FSTEC. يمكن الافتراض أن احتمالية وجود معيار صناعي جديد للمؤسسات المالية بشأن البيانات الشخصية مرتفع.

الهدف من عمل الدورة هو دراسة طرق حماية البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت.

لتحقيق الهدف تم حل المهام التالية:

دراسة المناهج والمبادئ الأساسية للأمن ؛

تحديد طرق ووسائل ضمان السلامة ؛

تحديد ميزات ضمان أمن البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت ؛

تطوير إجراءات لضمان أمن البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت.

الهدف من الدراسة هو نظم المعلومات المصرفية.

موضوع البحث هو أمن المعلومات الشخصية في الأنظمة المصرفية على الإنترنت.

كان الأساس النظري والمنهجي للبحث هو الأحكام النظرية ، وعمل العلماء ، وبحث المتخصصين في قضايا توفير المعلومات.

كان الأساس المنهجي للدورة التدريبية نهجًا منهجيًا لدراسة المشكلات الأمنية.

استخدام التحليل المنطقي والقانوني والنظامي المقارن. بالإضافة إلى ذلك ، فإن طريقة التحليل الهيكلي المستخدمة تجعل من الممكن دراسة المكونات الفردية للظاهرة قيد الدراسة بالدقة اللازمة وتحليل العلاقة بين هذه العناصر مع بعضها البعض ، وكذلك مع الكل العام.

1. الجوانب النظرية لحماية البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت

1.1 المناهج ومبادئ الأمن

يُفهم أمن أنظمة المعلومات على أنه تدابير تحمي نظام المعلومات من التدخل العرضي أو المتعمد في أساليب عمله.

هناك طريقتان أساسيتان لأمن الكمبيوتر.

أولها مجزأ ، في إطاره هناك توجه نحو مواجهة التهديدات المحددة بدقة في ظل ظروف معينة (على سبيل المثال ، أدوات مكافحة الفيروسات المتخصصة ، وأدوات التشفير المستقلة ، وما إلى ذلك). النهج له كل من الجدارة - افتراض مستوى عالالانتقائية من حيث مشكلة محددة بدقة ، وكذلك المساوئ - مما يعني تجزئة الحماية - أي عناصر محددة بدقة.

تتضمن عملية إدارة أمن المعلومات المكونات الموضحة في الشكل. 1.

الطريقة الثانية هي منهجية ، وتتمثل خصوصيتها في أنه في إطارها ، يتم التعامل مع حماية المعلومات على نطاق أوسع - يتم إنشاء بيئة محمية لمعالجة المعلومات وتخزينها ونقلها ، والجمع بين الأساليب والوسائل غير المتجانسة لمواجهة التهديدات: البرمجيات والأجهزة والقانونية والتنظيمية والاقتصادية. عن طريق البيئة الآمنة المحددة ، يمكن ضمان مستوى معين من الأمن لنظام المعلومات الآلي.

يعتمد النهج المنتظم لحماية المعلومات على المبادئ المنهجية التالية:

الهدف النهائي - الأولوية المطلقة للهدف النهائي (العالمي) ؛

الوحدة - النظر المشترك للنظام ككل "وكمجموعة من الأجزاء (العناصر) ؛

الاتصال - النظر في أي جزء من النظام مع اتصالاته بالبيئة ؛

البناء المعياري - تخصيص الوحدات في النظام واعتبارها مجموعة من الوحدات ؛

التسلسل الهرمي - إدخال التسلسل الهرمي للأجزاء (العناصر) وترتيبها ؛

الوظيفة - دراسة مشتركة للهيكل والوظيفة مع إعطاء الأولوية للوظيفة على الهيكل ؛

التطوير - مع الأخذ في الاعتبار تنوع النظام وقدرته على تطوير وتوسيع واستبدال الأجزاء وتجميع المعلومات ؛

اللامركزية - مزيج من المركزية واللامركزية في صنع القرار والإدارة ؛

عدم اليقين - مراعاة حالات عدم اليقين والحوادث في النظام.

يميز الباحثون الحديثون المنهجية التالية ،

المبادئ التنظيمية والتنفيذية لأمن المعلومات (بما في ذلك الكمبيوتر).

مبدأ الشرعية. تتكون من اتباع التشريعات الحالية في مجال أمن المعلومات.

ينشأ مبدأ عدم اليقين بسبب غموض سلوك الموضوع ، أي من ومتى وأين وكيف يمكن أن ينتهك أمان الكائن المحمي.

مبدأ استحالة إنشاء نظام حماية مثالي. وهو ينبع من مبدأ عدم اليقين ومحدودية موارد هذه الأموال.

تنبع مبادئ الحد الأدنى من المخاطر والحد الأدنى من الضرر من استحالة إنشاء نظام حماية مثالي. وفقًا لذلك ، من الضروري مراعاة الشروط المحددة لوجود موضوع الحماية في أي لحظة من الزمن.

- مبدأ الوقت الآمن وهو مراعاة الوقت المطلق أي. عندما يكون من الضروري الحفاظ على أشياء الحماية ؛ والوقت النسبي ، أي الفترة الزمنية من لحظة اكتشاف الإجراءات الضارة حتى وصول المهاجم إلى الهدف.

مبدأ "حماية الجميع من الجميع". إنه ينطوي على تنظيم تدابير وقائية ضد جميع أشكال التهديدات التي تتعرض لها أهداف الحماية ، والتي هي نتيجة لمبدأ عدم اليقين.

مبادئ المسؤولية الشخصية. إنه يفترض المسؤولية الشخصية لكل موظف في المؤسسة والمؤسسة والمنظمة عن الامتثال للنظام الأمني ​​في إطار صلاحياتهم وواجباتهم الوظيفية والتعليمات الحالية.

يشير مبدأ تقييد الصلاحيات إلى تقييد صلاحيات الشخص المعني للتعرف على المعلومات التي لا تتطلب الوصول إلى الأداء العادي لواجباته الوظيفية ، فضلاً عن إدخال حظر على الوصول إلى الأشياء والمناطق غير المطلوبة حسب طبيعة النشاط.

مبدأ التفاعل والتعاون. داخليًا ، إنه ينطوي على تنمية علاقة ثقة بين الموظفين المسؤولين عن الأمن (بما في ذلك أمن المعلومات) والموظفين. في المظهر الخارجي - إقامة تعاون مع جميع المنظمات والأفراد المهتمين (على سبيل المثال ، وكالات إنفاذ القانون).

مبدأ التعقيد والفردانية: وهو ينطوي على استحالة ضمان سلامة الكائن المحمي بأي مقياس واحد ، ولكن فقط من خلال مجموعة من التدابير المعقدة والمترابطة والمضاعفة ، والتي يتم تنفيذها بإشارة فردية إلى شروط محددة.

مبدأ خطوط الأمان المتسلسلة. إنه يعني ضمناً الإخطار في أقرب وقت ممكن بحدوث انتهاك على سلامة عنصر حماية معين أو حادث غير مواتٍ آخر من أجل زيادة احتمالية أن الإنذار المبكر لمعدات الحماية سيوفر للموظفين المسؤولين عن السلامة فرصة لتحديد سبب الإنذار في الوقت المناسب وتنظيم إجراءات مضادة فعالة.

مبادئ القوة المتساوية والقوة المتساوية لخطوط الدفاع. القوة المتساوية تعني عدم وجود مناطق غير محمية في خطوط الدفاع. تفترض القوة المتساوية قدرًا متساويًا نسبيًا من الحماية لخطوط الحماية وفقًا لدرجة التهديد على الكائن المحمي.

طرق ضمان حماية المعلومات في المؤسسة هي كما يلي:

العقبة هي طريقة لمنع المهاجم ماديًا من الوصول إلى المعلومات المحمية (إلى المعدات ووسائط التخزين وما إلى ذلك).

التحكم في الوصول هو وسيلة لحماية المعلومات من خلال تنظيم استخدام جميع موارد نظام المعلومات الآلي للمؤسسة. يتضمن التحكم في الوصول ميزات الأمان التالية:

تحديد المستخدمين والموظفين وموارد نظام المعلومات (تعيين معرف شخصي لكل كائن) ؛

المصادقة (المصادقة) على شيء أو موضوع وفقًا للمعرف الذي قدمه ؛

التحقق من التفويض (التحقق من امتثال يوم الأسبوع ، والوقت من اليوم ، والموارد والإجراءات المطلوبة للوائح المعمول بها) ؛

تسجيل المكالمات إلى الموارد المحمية ؛

الاستجابة (التنبيه ، الإغلاق ، التأخير في العمل ، رفض الطلب عند محاولة القيام بأعمال غير مصرح بها).

التنكر هو وسيلة لحماية المعلومات في نظام معلومات آلي لمؤسسة عن طريق إغلاقها المشفر.

التنظيم هو طريقة لحماية المعلومات تخلق ظروفًا للمعالجة الآلية للمعلومات وتخزينها ونقلها ، حيث يتم تقليل إمكانية الوصول غير المصرح به إليها.

الإكراه هو وسيلة لحماية المعلومات ، حيث يُجبر المستخدمون وموظفو النظام على الامتثال لقواعد معالجة ونقل واستخدام المعلومات المحمية تحت تهديد المسؤولية المادية والإدارية والجنائية.

الحافز هو وسيلة لحماية المعلومات التي تشجع المستخدمين وموظفي النظام على عدم انتهاك القواعد المعمول بها من خلال الامتثال للمعايير الأخلاقية والأخلاقية المعمول بها.

يتم تنفيذ الأساليب المذكورة أعلاه لضمان أمن المعلومات باستخدام الوسائل الأساسية التالية: المادية ، والأجهزة ، والبرمجيات ، والأجهزة والبرامج ، والتشفير ، والتنظيمية ، والتشريعية ، والأخلاقية.

تهدف وسائل الحماية المادية إلى الحماية الخارجية لإقليم الأشياء ، وحماية مكونات نظام المعلومات الآلي للمؤسسة ويتم تنفيذها في شكل أجهزة وأنظمة مستقلة.

وسائل حماية الأجهزة هي أجهزة إلكترونية وكهروميكانيكية وغيرها من الأجهزة المدمجة مباشرة في كتل نظام المعلومات الآلي أو مصممة كأجهزة مستقلة ومتفاعلة مع هذه الكتل. وهي مخصصة للحماية الداخلية للعناصر الهيكلية لمنشآت وأنظمة الكمبيوتر: المحطات الطرفية والمعالجات والمعدات الطرفية وخطوط الاتصال وما إلى ذلك.

تم تصميم أدوات حماية البرامج لأداء وظائف الحماية المنطقية والفكرية ويتم تضمينها إما في برنامج نظام المعلومات الآلي ، أو في تكوين الأدوات والمجمعات وأنظمة معدات التحكم.

برمجيات أمن المعلومات هي أكثر أنواع الحماية شيوعًا ، ولها الخصائص الإيجابية التالية: التنوع ، والمرونة ، وسهولة التنفيذ ، والقدرة على التغيير والتطوير. هذا الظرف يجعلها في نفس الوقت العناصر الأكثر ضعفًا لحماية نظام معلومات المؤسسة.

تعني حماية الأجهزة والبرامج أن تكون البرامج (البرامج الثابتة) وأجزاء الأجهزة مترابطة تمامًا وغير قابلة للفصل.

وسائل التشفير - وسائل الحماية عن طريق تحويل المعلومات (التشفير).

الوسائل التنظيمية - التدابير التنظيمية والفنية والتنظيمية والقانونية لتنظيم سلوك الموظفين.

الوسائل التشريعية - الإجراءات القانونية للدولة التي تنظم قواعد استخدام ومعالجة ونقل المعلومات ذات الوصول المحدود والتي تحدد تدابير المسؤولية عن انتهاك هذه القواعد.

الوسائل الأخلاقية والمعنوية - الأعراف والتقاليد في المجتمع ، على سبيل المثال: مدونة قواعد السلوك المهني لأعضاء رابطة مستخدمي الكمبيوتر في الولايات المتحدة.

1.2 طرق ووسائل ضمان السلامة

يتم استخدام آليات تشفير مختلفة لتنفيذ الإجراءات الأمنية ، ما هي هذه الأساليب المستخدمة؟ في البداية ، عند إرسال البيانات (نص أو كلام أو صورة) ، تكون غير محمية ، أو كما يسميها الخبراء مفتوحة. يمكن بسهولة اعتراض البيانات المفتوحة من قبل المستخدمين الآخرين (عمدا أو بذكاء). إذا كان هناك هدف لمنع وصول معلومات معينة إلى أطراف ثالثة ، يتم تشفير هذه البيانات. يقوم المستخدم الذي تستهدفه المعلومات المحددة بفك تشفيرها باستخدام التحويل العكسي للتشفير ، واستلام البيانات بالشكل الذي يحتاجه.

التشفير متماثل (يتم استخدام مفتاح سري واحد للتشفير) وغير متماثل (يتم استخدام مفتاح عام واحد للتشفير ، وللفك التشفير - آخر غير مترابط - أي أنك تعرف أحدهما لا يمكنك تحديد الآخر).

آليات الأمان هي أيضًا مثل:

) تعتمد آليات التوقيع الإلكتروني الرقمي على خوارزميات التشفير غير المتماثل وتشمل إجراءين: إنشاء التوقيع من قبل المرسل والاعتراف به من قبل المتلقي. يضمن تشكيل التوقيع من قبل المرسل تشفير كتلة البيانات أو استكمالها بمجموع تدقيق تشفير ، وفي كلتا الحالتين ، يتم استخدام المفتاح السري للمرسل. يستخدم المفتاح العمومي لتحديد الهوية.

) تتحقق آليات التحكم في الوصول من سلطة البرامج والمستخدمين للوصول إلى موارد الشبكة. عند الوصول إلى مورد من خلال اتصال ، يتم إجراء التحكم في كل من نقطة البدء والنقاط الوسيطة ، وكذلك عند نقطة النهاية.

) يتم تطبيق آليات سلامة البيانات على الكتلة الفردية وعلى تدفق البيانات. يكمل المرسل الكتلة المرسلة بكمية تشفير ، ويقارنها المستقبل بالقيمة المشفرة المقابلة للكتلة المستلمة. يشير عدم التطابق إلى تشويه المعلومات في الكتلة.

) آليات ضبط حركة المرور. وهي تستند إلى إنشاء الكتل بواسطة كائنات AIS وتشفيرها وتنظيم الإرسال عبر قنوات الشبكة. هذا يحيد إمكانية الحصول على المعلومات من خلال المراقبة الخصائص الخارجيةالتدفقات المتداولة عبر قنوات الاتصال.

) تضمن آليات التحكم في التوجيه أن المعلومات تتدفق عبر شبكة الاتصالات بطريقة تستبعد نقل المعلومات المصنفة عبر قنوات غير آمنة ماديًا غير موثوق بها.

) توفر آليات التحكيم تأكيدًا لخصائص البيانات المنقولة بين الكائنات بواسطة طرف ثالث. لهذا ، تمر المعلومات المرسلة أو المستلمة من خلال الحكم ، مما يسمح له لاحقًا بتأكيد الخصائص المذكورة.

العيوب الرئيسية لنظام الأمن للأشياء الاقتصادية هي:

-الفهم الضيق وغير المنتظم لمشكلة سلامة الأشياء ؛

-إهمال منع التهديدات ، والعمل وفق مبدأ "هناك تهديد - نبدأ في القضاء عليه" ؛

-عدم الكفاءة في اقتصاديات الأمن ، وعدم القدرة على مقارنة التكاليف والفوائد ؛

-"تكنوقراطية" المتخصصين في الإدارة والأمن ، تفسير جميع المهام بلغة مجال مألوف لديهم.

في ختام الفصل الأول من العمل ، دعونا نحدد ما يلي. يشير أمن أنظمة المعلومات إلى بعض الإجراءات التي تحمي من خلالها نظام المعلومات من التدخل العرضي أو المتعمد في أساليب تشغيله. لضمان الأمن ، تم تصور نهجين رئيسيين: 1) مجزأة ، في إطارها يتم تنفيذ مواجهة تهديدات معينة في ظل ظروف معينة ؛ 2) نظامي ، يتم من خلاله إنشاء بيئة محمية لمعالجة المعلومات وتخزينها ونقلها ، والجمع بين مختلف الأساليب والوسائل لمواجهة التهديدات ، وتستخدم وسائل وآليات مختلفة لحماية المعلومات. تشمل الوسائل: التشفير ، والتسجيل الإلكتروني الرقمي ، والتحكم في الوصول ، وإعداد حركة المرور ، وما إلى ذلك.

مصرف نظام عبر الإنترنتالأمان

2. ميزات ضمان أمن البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت

2.1. الشروط العامة لضمان أمن البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت

حماية المعلومات الشخصية هي حالة حماية المعلومات والبنية التحتية الداعمة لها (أجهزة الكمبيوتر وخطوط الاتصال وأنظمة الإمداد بالطاقة وما إلى ذلك) من التأثيرات العرضية أو المتعمدة المحفوفة بالضرر لمالكي هذه المعلومات أو مستخدميها.

أيضًا ، يُفهم أمن معلومات أوراق الاعتماد على أنه: ضمان موثوقية الكمبيوتر ؛ سلامة أوراق الاعتماد القيمة ؛ حماية المعلومات الشخصية من التغييرات التي تطرأ عليها من قبل أشخاص غير مصرح لهم ؛ الحفاظ على بيانات الاعتماد الموثقة في الاتصالات الإلكترونية.

عناصر أمن المعلومات في المحاسبة هي موارد المعلومات التي تحتوي على معلومات مصنفة على أنها أسرار تجارية ومعلومات سرية ؛ وكذلك وسائل وأنظمة المعلوماتية.

مالك موارد المعلومات وأنظمة المعلومات والتقنيات ووسائل دعمها هو كيان يمتلك ويستخدم الأشياء المحددة ويمارس صلاحيات التصرف ضمن الحدود التي ينص عليها القانون.

مستخدم المعلومات هو الشخص الذي يلجأ إلى نظام معلومات أو وسيط للحصول على المعلومات التي يحتاجها ويستخدمها.

موارد المعلومات هي مستندات فردية ومصفوفات منفصلة من المستندات والمستندات ومصفوفات المستندات بتنسيق نظم المعلومات.

يتمثل التهديد لأمن المعلومات في إجراء محتمل محتمل يمكن أن يؤدي ، من خلال التأثير على مكونات النظام الشخصي ، إلى إلحاق الضرر بمالكي موارد المعلومات أو مستخدمي النظام.

يتم تحديد النظام القانوني لموارد المعلومات من خلال القواعد المنشئة لما يلي:

إجراء توثيق المعلومات ؛

ملكية المستندات الفردية والمصفوفات الفردية

المستندات والوثائق ومصفوفات المستندات في أنظمة المعلومات ؛ فئة المعلومات حسب مستوى الوصول إليها ؛ إجراء الحماية القانونية للمعلومات.

المبدأ الرئيسي الذي يتم انتهاكه في تنفيذ تهديد المعلومات في المحاسبة هو مبدأ توثيق المعلومات. يكتسب مستند المحاسبة الذي يتم الحصول عليه من نظام المعلومات المحاسبية الآلي قوة قانونية بعد توقيعه من قبل مسؤول بالطريقة المنصوص عليها في تشريعات الاتحاد الروسي.

يمكن تقسيم كل مجموعة التهديدات المحتملة في المحاسبة حسب طبيعة حدوثها إلى فئتين: طبيعية (موضوعية) ومصطنعة.

تنجم التهديدات الطبيعية عن أسباب موضوعية ، كقاعدة عامة ، خارجة عن سيطرة المحاسب ، مما يؤدي إلى التدمير الكامل أو الجزئي لقسم المحاسبة إلى جانب مكوناته. تشمل هذه الظواهر الطبيعية: الزلازل ، الصواعق ، الحرائق ، إلخ.

ترتبط التهديدات من صنع الإنسان بالأنشطة البشرية. يمكن تقسيمها إلى أخطاء غير مقصودة (غير مقصودة) ناتجة عن قدرة الموظفين على ارتكاب أي أخطاء بسبب عدم الانتباه ، أو التعب ، أو الحالة المؤلمة ، إلخ. على سبيل المثال ، قد يقوم المحاسب ، عند إدخال المعلومات في جهاز الكمبيوتر ، بالضغط على المفتاح الخطأ ، أو ارتكاب أخطاء غير مقصودة في البرنامج ، أو إدخال فيروس ، أو الكشف عن كلمات المرور عن طريق الخطأ.

ترتبط التهديدات المتعمدة (المتعمدة) بالتطلعات الأنانية للأشخاص - المجرمين ، الذين ينشئون عن عمد مستندات غير دقيقة.

من حيث تركيزها ، يمكن تقسيم التهديدات الأمنية إلى المجموعات التالية:

التهديدات لاختراق وقراءة البيانات من قواعد بيانات الاعتماد و برامج الحاسوبمعالجتهم

التهديدات لسلامة أوراق الاعتماد ، مما يؤدي إما إلى إتلافها أو تغييرها ، بما في ذلك تزوير مستندات الدفع (طلبات الدفع ، والأوامر ، وما إلى ذلك) ؛

تهديدات توفر البيانات التي تنشأ عندما يتعذر على المستخدم الوصول إلى بيانات الاعتماد ؛

التهديد برفض تنفيذ العمليات ، عندما يرسل أحد المستخدمين رسالة إلى آخر ، ثم لا يؤكد البيانات المرسلة.

عمليات المعلومات هي عمليات جمع المعلومات ومعالجتها وتجميعها وتخزينها والبحث عنها ونشرها.

نظام المعلومات هو مجموعة من الوثائق مرتبة تنظيمياً (صفائف من الوثائق وتقنيات المعلومات ، بما في ذلك تلك التي تستخدم تكنولوجيا الكمبيوتر والاتصالات التي تنفذ عمليات المعلومات).

يتم توثيق المعلومات وفقًا للإجراءات التي وضعتها سلطات الدولة المسؤولة عن تنظيم العمل المكتبي ، وتوحيد المستندات ومصفوفاتها ، وأمن الاتحاد الروسي.

اعتمادًا على مصدر التهديدات ، يمكن تقسيمها إلى داخلية وخارجية.

مصدر التهديدات الداخلية هو أنشطة موظفي المنظمة. تأتي التهديدات الخارجية من الخارج من موظفي المنظمات الأخرى ، من المتسللين وغيرهم.

يمكن تصنيف التهديدات الخارجية إلى:

محلي ، والذي يتضمن دخول الدخيل إلى أراضي المنظمة والوصول إلى جهاز كمبيوتر منفصل أو شبكة محلية ؛

تعتبر التهديدات عن بعد نموذجية للأنظمة المتصلة بالشبكات العالمية (الإنترنت ، ونظام تسوية البنوك الدولية SWIFT ، وما إلى ذلك).

غالبًا ما تظهر مثل هذه المخاطر في نظام الدفع الإلكتروني أثناء التسويات بين الموردين والمشترين ، وعند استخدام شبكات الإنترنت في المستوطنات. يمكن أن تكون مصادر مثل هذه الهجمات الإعلامية على بعد آلاف الكيلومترات. علاوة على ذلك ، لا يتم الكشف عن أجهزة الكمبيوتر فحسب ، بل يتم الكشف أيضًا عن المعلومات المحاسبية.

الأخطاء المتعمدة وغير المقصودة في المحاسبة ، والتي تؤدي إلى زيادة المخاطر المحاسبية ، هي كما يلي: أخطاء في تسجيل البيانات المحاسبية ؛ رموز غير صحيحة المعاملات المحاسبية غير المصرح بها ؛ انتهاك حدود الرقابة ؛ مفتقد حسابات؛ أخطاء في معالجة البيانات أو إخراجها ؛ أخطاء في تكوين أو تصحيح الكتب المرجعية ؛ حسابات غير مكتملة التخصيص غير الصحيح للسجلات حسب الفترات ؛ تزوير البيانات انتهاك متطلبات التشريعات التنظيمية ؛ انتهاك مبادئ السياسة الشخصية ؛ عدم كفاية جودة الخدمات لاحتياجات المستخدمين.

من الخطورة بشكل خاص المعلومات التي تشكل سرًا تجاريًا والمتعلقة بالمعلومات الشخصية ومعلومات التقارير (بيانات حول الشركاء والعملاء والبنوك والمعلومات التحليلية حول نشاط السوق). من أجل حماية هذه المعلومات وما شابهها ، من الضروري إبرام عقود مع موظفي قسم المحاسبة والخدمات المالية والوحدات الاقتصادية الأخرى ، مع الإشارة إلى قائمة المعلومات التي لا تخضع للدعاية.

تعتمد حماية المعلومات في أنظمة المحاسبة الآلية على المبادئ الأساسية التالية.

ضمان الفصل المادي بين المناطق المخصصة لمعالجة المعلومات السرية وغير المصنفة.

توفير حماية تشفير للمعلومات. توفير التوثيق للمشتركين والمنشآت الخاصة بالمشتركين. توفير التمايز في وصول الموضوعات وعملياتها إلى المعلومات. التأكد من صحة وسلامة الرسائل الوثائقية أثناء نقلها عبر قنوات الاتصال.

ضمان حماية المعدات والوسائل التقنية للنظام والمباني التي توجد بها من تسرب المعلومات السرية عبر القنوات الفنية.

ضمان حماية تكنولوجيا التشفير والمعدات والأجهزة والبرامج من تسرب المعلومات من خلال علامات تبويب الأجهزة والبرامج.

ضمان السيطرة على سلامة البرمجيات وأجزاء المعلومات للنظام الآلي.

باستخدام المحلي فقط

موارد المعلومات الحكومية في الاتحاد الروسي مفتوحة ومتاحة للجمهور. استثناء هو المعلومات الموثقة المصنفة بموجب القانون كفئة وصول مقيد. معلومات موثقة من وصول محدودبموجب أحكام نظامها القانوني ، يتم تقسيمها إلى معلومات مصنفة على أنها من أسرار الدولة وسرية. تم وضع قائمة المعلومات السرية ، ولا سيما المعلومات المتعلقة بالأنشطة التجارية ، بموجب المرسوم الصادر عن رئيس الاتحاد الروسي بتاريخ 6 مارس 1997 رقم 188 (الملحق رقم) للتطورات.

توفير الإجراءات التنظيمية والأمنية. من المستحسن استخدام تدابير إضافية لضمان أمن الاتصالات في النظام.

تنظيم حماية المعلومات حول كثافة ومدة وحركة تبادل المعلومات.

استخدام القنوات والطرق لنقل ومعالجة المعلومات التي تعرقل الاعتراض.

تهدف حماية المعلومات من الوصول غير المصرح به إلى تكوين ثلاث خصائص رئيسية للمعلومات المحمية:

السرية (يجب أن تكون المعلومات السرية متاحة فقط للشخص المقصود بها) ؛

النزاهة (يجب أن تكون المعلومات التي يتم على أساسها اتخاذ القرارات المهمة موثوقة ودقيقة ومحمية تمامًا من التشوهات المحتملة غير المقصودة والخبيثة) ؛

الجاهزية (يجب أن تكون المعلومات وخدمات المعلومات ذات الصلة متاحة وجاهزة لخدمة أصحاب المصلحة كلما دعت الحاجة).

طرق ضمان حماية المعلومات الشخصية هي: عقبات؛ التحكم في الوصول ، الإخفاء ، التنظيم ، الإكراه ، التحفيز.

يجب اعتبار العائق طريقة لمنع المهاجم ماديًا من الوصول إلى المعلومات الشخصية المحمية. يتم تنفيذ هذه الطريقة من خلال نظام الوصول الخاص بالمؤسسة ، بما في ذلك وجود الأمن عند مدخلها ، وعرقلة مسار الأشخاص غير المصرح لهم إلى قسم المحاسبة ، وأمين الصندوق ، وما إلى ذلك.

التحكم في الوصول هو وسيلة لحماية المعلومات الشخصية وإعداد التقارير ، ويتم تنفيذه من خلال:

المصادقة - إثبات أصالة كائن أو موضوع وفقًا للمعرف الذي قدمه (يتم إجراؤه من خلال مقارنة المعرف المدخل بالمعرف المخزن في ذاكرة الكمبيوتر) ؛

فحوصات التفويض - التحقق من امتثال الموارد المطلوبة والعمليات التي يتم إجراؤها على الموارد المخصصة والإجراءات المسموح بها ؛ تسجيل المكالمات إلى الموارد المحمية ؛

الإعلام والرد على محاولات القيام بأعمال غير مصرح بها. (التشفير هو وسيلة للحماية عن طريق تحويل المعلومات (التشفير)).

في مجمع BEST-4 ، يتم التفريق في الوصول إلى المعلومات على مستوى الأنظمة الفرعية الفردية ويتم توفيره عن طريق تعيين كلمات مرور وصول منفصلة. أثناء الإعداد الأولي أو في أي وقت عند العمل مع البرنامج ، يمكن لمسؤول النظام تعيين أو تغيير كلمة مرور واحدة أو عدة كلمات مرور. يتم طلب كلمة المرور في كل مرة تقوم فيها بتسجيل الدخول إلى النظام الفرعي.

بالإضافة إلى ذلك ، تحتوي بعض الوحدات النمطية على نظامها الخاص للتمييز في الوصول إلى المعلومات. يوفر القدرة على الحماية كلمات مرور خاصةكل عنصر من عناصر القائمة. يمكنك أيضًا حماية الوصول إلى مجموعات فرعية فردية من المستندات الأساسية بكلمات مرور: على سبيل المثال ، في محطة العمل "محاسبة المخزون" و "محاسبة السلع والمنتجات" ، من الممكن تعيين كلمات مرور الوصول إلى كل مستودع على حدة ، كل سجل نقدي ، في محطة عمل آلية "محاسبة التسويات مع بنك" - الوصول إلى كلمات المرور لكل حساب مصرفي.

وتجدر الإشارة بشكل خاص إلى أنه من أجل تحديد الوصول إلى المعلومات بشكل فعال ، فمن الضروري أولاً وقبل كل شيء الحماية بكلمات المرور لأنماط تحديد كلمات المرور للوصول إلى كتل معينة.

في 1C. Enterprise ، الإصدار 7.7 ، هناك حماية للمعلومات الخاصة بها - حقوق الوصول. من أجل دمج وفصل وصول المستخدمين إلى المعلومات عند العمل مع نظام 1C. مؤسسة في شبكة من أجهزة الكمبيوتر الشخصية ، يسمح لك مُكوِّن النظام لتعيين حقوق كل مستخدم للعمل مع نظام معالجة المعلومات. يمكن تعيين الحقوق في نطاق واسع إلى حد ما - من القدرة على عرض أنواع معينة فقط من المستندات إلى مجموعة كاملة من الحقوق لإدخال أي نوع من البيانات وعرضها وتصحيحها وحذفها.

يتم تخصيص حقوق الوصول للمستخدم على مرحلتين. في المرحلة الأولى ، يتم إنشاء مجموعات قياسية من حقوق التعامل مع المعلومات ، والتي ، كقاعدة عامة ، تختلف في اتساع خيارات الوصول المتوفرة. في المرحلة الثانية ، يتم تعيين واحدة من هذه المجموعات النموذجية من الحقوق للمستخدم.

يتم تنفيذ جميع الأعمال المتعلقة بإنشاء مجموعات قياسية من الحقوق في علامة التبويب "الحقوق" في نافذة "التكوين". يتم استدعاء هذه النافذة على الشاشة عن طريق تحديد عنصر "فتح التكوين" من قائمة "التكوين" في قائمة البرنامج الرئيسية

2.2 مجموعة من الإجراءات لضمان أمن البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت

يتم تنفيذ تبرير مجموعة من التدابير لضمان أمن PD في ISPD مع الأخذ في الاعتبار نتائج تقييم خطر التهديدات وتحديد فئة ISPD على أساس "التدابير الرئيسية للتنظيم والأمن الفني للأفراد البيانات التي تتم معالجتها في أنظمة معلومات البيانات الشخصية ".

في الوقت نفسه ، يجب تحديد التدابير من أجل:

تحديد وإغلاق القنوات الفنية لتسرب PD في ISPDN ؛

حماية البيانات الشخصية من الوصول غير المصرح به والإجراءات غير القانونية ؛

تركيب وتهيئة وتطبيق وسائل الحماية.

تتم صياغة إجراءات تحديد وإغلاق القنوات الفنية لتسرب PD في PDIS على أساس تحليل وتقييم التهديدات لأمن PD.

تشمل تدابير حماية PD أثناء معالجتها في ISPD من الوصول غير المصرح به والإجراءات غير القانونية ما يلي:

صلاحية التحكم صلاحية الدخول؛

التسجيل والمحاسبة

ضمان النزاهة ؛

السيطرة على غياب الفرص غير المعلنة ؛

الحماية من الفيروسات

ضمان التوصيل البيني الآمن لـ ISPDN ؛

تحليل الأمن؛

كشف التسلل.

يوصى بتنفيذ النظام الفرعي للتحكم في الوصول والتسجيل والمحاسبة على أساس برنامج لمنع الإجراءات غير المصرح بها والإشارات والتسجيل. هذه حماية خاصة للبرامج والبرامج والأجهزة لأنظمة التشغيل نفسها ، وقواعد البيانات الإلكترونية للبيانات الشخصية وبرامج التطبيقات ، والتي لا يتم تضمينها في جوهر أي نظام تشغيل. يؤدون وظائف الحماية بشكل مستقل أو بالاشتراك مع وسائل الحماية الأخرى ويهدفون إلى استبعاد أو إعاقة تنفيذ إجراءات المستخدم أو المخالف التي تشكل خطورة على ISPD. وتشمل هذه المرافق الخاصةومجمعات الحماية البرمجية ، حيث تتحقق وظائف التشخيص والتسجيل والتدمير والتشوير والتقليد.

تقوم أدوات التشخيص بإجراء الاختبار نظام الملفاتوقواعد بيانات PD ، جمع مستمر للمعلومات عن عمل عناصر النظام الفرعي لأمن المعلومات.

تم تصميم أدوات التدمير لتدمير البيانات المتبقية ويمكن أن توفر تدميرًا طارئًا للبيانات في حالة وجود تهديد NSD لا يمكن للنظام حظره.

تم تصميم وسائل الإشارة لتحذير المشغلين عند وصولهم إلى PDs المحمية ولتحذير المسؤول عند اكتشاف حقيقة التلاعب بـ PD وغيرها من الحقائق المتعلقة بانتهاك الوضع العادي لعمل PDIS.

تحاكي أدوات المحاكاة العمل مع المخالفين عند اكتشاف محاولة هجوم غير مصرح به لحماية PD أو البرنامج. يتيح لك التقليد زيادة الوقت لتحديد مكان وطبيعة UAN ، وهو أمر مهم بشكل خاص في الشبكات الموزعة جغرافيًا ، ولإبلاغ المخالف عن موقع PD المحمي.

يتم تنفيذ النظام الفرعي لضمان النزاهة بشكل أساسي من خلال أنظمة التشغيل وأنظمة إدارة قواعد البيانات. تعتمد وسائل زيادة الموثوقية وضمان سلامة البيانات المرسلة وموثوقية المعاملات ، المضمنة في أنظمة التشغيل وأنظمة إدارة قواعد البيانات ، على حساب المجاميع الاختبارية ، والإخطار بفشل في إرسال حزمة رسالة ، وإعادة إرسال حزمة حزمة غير مستلمة.

يتم تنفيذ النظام الفرعي لرصد غياب القدرات غير المعلنة في معظم الحالات على أساس أنظمة إدارة قواعد البيانات وأدوات حماية المعلومات وأدوات حماية المعلومات المضادة للفيروسات.

لضمان أمان البيانات الشخصية وبيئة البرامج والأجهزة الخاصة بـ ISPD التي تعالج هذه المعلومات ، يوصى باستخدام أدوات حماية خاصة لمكافحة الفيروسات تؤدي:

اكتشاف و (أو) منع التأثيرات الفيروسية المدمرة على النظام بأكمله والبرامج التطبيقية التي تنفذ معالجة PD ، وكذلك على PD ؛

كشف وإزالة الفيروسات غير المعروفة ؛

ضمان المراقبة الذاتية (الوقاية من العدوى) لأداة مكافحة الفيروسات هذه عند إطلاقها.

عند اختيار أدوات الحماية من الفيروسات ، يُنصح بمراعاة العوامل التالية:

توافق هذه الأدوات مع برامج ISPD القياسية ؛

درجة الانخفاض في إنتاجية أداء ISPDn للغرض الرئيسي ؛

توافر وسائل السيطرة المركزية على عمل الحماية ضد الفيروسات من مكان عمل مسؤول أمن المعلومات في ISPD ؛

القدرة على إخطار مسؤول أمن المعلومات في ISPD على الفور بجميع الأحداث والحقائق المتعلقة بمظهر التأثيرات البرمجية والرياضية (PMA) ؛

توافر وثائق مفصلة عن تشغيل الحماية ضد الفيروسات ؛

القدرة على الاختبار الدوري أو الاختبار الذاتي للحماية من الفيروسات ؛

إمكانية زيادة تكوين وسائل الحماية ضد سلطة النقد الفلسطينية بوسائل إضافية جديدة دون قيود كبيرة على كفاءة ISPD و "التضارب" مع أنواع أخرى من وسائل الحماية.

يجب وصف إجراءات تثبيت أدوات الحماية من الفيروسات وتكوينها وتكوينها وإدارتها ، وكذلك إجراءات الإجراءات في حالة اكتشاف حقيقة هجوم فيروسي أو انتهاكات أخرى لمتطلبات الحماية من التأثيرات البرمجية والرياضية. أن يتم تضمينها في دليل مسؤول أمن المعلومات في ISPDN.

من أجل التمييز بين الوصول إلى موارد ISPD أثناء التوصيل البيني ، يتم استخدام جدار الحماية ، والذي يتم تنفيذه بواسطة برامج وبرامج وأجهزة جدران الحماية (ME). يتم تثبيت جدار حماية بين الشبكة المحمية ، وتسمى الشبكة الداخلية ، والشبكة الخارجية. يعد جدار الحماية جزءًا من الشبكة المحمية. بالنسبة لها ، من خلال الإعدادات ، يتم تعيين القواعد بشكل منفصل التي تقيد الوصول من الشبكة الداخلية إلى الشبكة الخارجية والعكس صحيح.

لضمان الاتصال البيني الآمن في ISPDN للفئات 3 و 4 ، يوصى باستخدام ME على الأقل من المستوى الخامس من الأمان.

لضمان الاتصال البيني الآمن في ISPD من الفئة 2 ، يوصى باستخدام ME على الأقل من مستوى الأمان الرابع.

لضمان التوصيل البيني الآمن في ISPD من الفئة 1 ، يوصى باستخدام ME بمستوى أمان ثالث على الأقل.

يتم تنفيذ النظام الفرعي لتحليل الأمان على أساس استخدام أدوات الاختبار (التحليل الأمني) والتحكم في أمن المعلومات (التدقيق).

تُستخدم أدوات تحليل الأمان للتحكم في إعدادات الحماية لأنظمة التشغيل على محطات العمل والخوادم وتمكين من تقييم إمكانية قيام المتطفلين بهجمات على معدات الشبكة والتحكم في أمان البرامج. للقيام بذلك ، يبحثون في طوبولوجيا الشبكة ، ويبحثون عن غير مؤمن أو غير مصرح به اتصالات الشبكةتحقق من إعدادات جدار الحماية. يعتمد هذا التحليل على الأوصاف التفصيلية للثغرات الأمنية (مثل المحولات وأجهزة التوجيه والجدران النارية) أو ثغرات نظام التشغيل أو البرامج التطبيقية. نتيجة تشغيل أداة تحليل الأمان هي تقرير يلخص المعلومات حول الثغرات الأمنية المكتشفة.

يمكن أن تعمل أجهزة الكشف عن الثغرات الأمنية في طبقة الشبكة (في هذه الحالة ، يطلق عليها "المستندة إلى الشبكة") ونظام التشغيل ("المستندة إلى المضيف") والتطبيق ("المستندة إلى التطبيق"). باستخدام برنامج المسح ، يمكنك بسرعة رسم خريطة لجميع عقد ISPD المتاحة ، وتحديد الخدمات والبروتوكولات المستخدمة في كل منها ، وتحديد إعداداتها الأساسية ووضع افتراضات حول احتمالية تنفيذ NDS.

بناءً على نتائج فحص النظام ، يتم وضع توصيات وتدابير للقضاء على أوجه القصور المحددة.

تُستخدم أنظمة كشف التسلل لتحديد تهديدات كشف التسلل من خلال التوصيل البيني. وقد تم تصميم هذه الأنظمة مع مراعاة خصوصيات تنفيذ الهجمات ومراحل تطورها ، وتعتمد على عدد من الأساليب لاكتشاف الهجمات.

توجد ثلاث مجموعات من طرق اكتشاف الهجوم:

طرق التوقيع

طرق الكشف عن الحالات الشاذة.

طرق مجمعة (باستخدام الخوارزميات المحددة في طرق كشف التوقيع والعيوب).

للكشف عن عمليات التطفل على ISPDN من الفئتين 3 و 4 ، يوصى باستخدام أنظمة الكشف هجمات الشبكةباستخدام طرق تحليل التوقيع.

لاكتشاف عمليات التطفل على مزودي خدمات الإنترنت من الفئتين 1 و 2 ، يوصى باستخدام أنظمة الكشف عن هجمات الشبكة التي تستخدم أساليب الكشف عن الشذوذ جنبًا إلى جنب مع طرق تحليل التوقيع.

لحماية البيانات الشخصية من التسرب من خلال القنوات التقنية ، يتم استخدام التدابير التنظيمية والتقنية للقضاء على تسرب الصوت (الكلام) ، ومعلومات الأنواع ، وكذلك تسرب المعلومات بسبب الإشعاع والتداخل الكهرومغناطيسي الجانبي.

في ختام الفصل الثاني من العمل ، نستخلص الاستنتاجات التالية. حماية المعلومات الشخصية هي حالة حماية المعلومات والبنية التحتية الداعمة لها من التأثيرات العرضية أو المتعمدة ذات الطبيعة الطبيعية أو الاصطناعية ، والمحفوفة بإلحاق الضرر بمالكي أو مستخدمي هذه المعلومات. ويتم تعريف عناصر أمن المعلومات في المحاسبة: المعلومات الموارد التي تحتوي على معلومات مصنفة على أنها أسرار تجارية ووسائل ونظم معلوماتية. الطرق الرئيسية المستخدمة في إطار حماية المعلومات هي: الكشف والحماية المباشرة.

استنتاج

إن مشكلة أمن المعلومات الخاصة بالأشياء الاقتصادية متعددة الأوجه وتحتاج إلى مزيد من التفصيل.

في العالم الحديث ، أصبحت المعلوماتية موردا استراتيجيا وطنيا ، وأحد الثروات الرئيسية للدولة المتقدمة اقتصاديا. أدى التحسن السريع للمعلوماتية في روسيا ، وتغلغلها في جميع مجالات المصالح الحيوية للفرد والمجتمع والدولة ، بالإضافة إلى المزايا التي لا شك فيها ، إلى ظهور عدد من المشاكل الهامة. كان أحدها الحاجة إلى حماية المعلومات. بالنظر إلى أن الإمكانات الاقتصادية في الوقت الحاضر يتم تحديدها بشكل متزايد من خلال مستوى تطوير البنية التحتية للمعلومات ، فإن الضعف المحتمل للاقتصاد أمام تأثيرات المعلومات يتزايد بشكل متناسب.

تنفيذ تهديدات أمن المعلومات هو انتهاك لسرية وسلامة وتوافر المعلومات. من وجهة نظر نهج منظم لحماية المعلومات ، من الضروري استخدام الترسانة الكاملة لوسائل الحماية المتاحة في جميع العناصر الهيكلية لكائن اقتصادي وفي جميع مراحل الدورة التكنولوجية لمعالجة المعلومات. يجب أن تمنع طرق ووسائل الحماية بشكل موثوق الطرق الممكنة للوصول غير المصرح به إلى الأسرار المحمية. تعني فعالية أمن المعلومات أن تكاليف تنفيذه يجب ألا تتجاوز الخسائر المحتملة من تنفيذ تهديدات المعلومات. يتم إنجاز تخطيط أمن المعلومات من خلال وضع خطط مفصلة لأمن المعلومات من قبل كل خدمة. الوضوح مطلوب في ممارسة صلاحيات وحقوق المستخدمين للوصول إلى أنواع معينة من المعلومات ، في ضمان التحكم في معدات الحماية والاستجابة الفورية لفشلهم.

فهرس

1.تقنيات المعلومات الآلية في البنوك / محرر. الأستاذ. ج. تيتورينكو. - م: Finstatinform ، 2007

2.تقنيات المعلومات الآلية في الاقتصاد / إد. الأستاذ. ج. تيتورينكو. - م: UNITI ، 2010

.منظمة Ageev AS والأساليب الحديثة لحماية المعلومات. - م: الاهتمام ب "مركز الأعمال بالبنك" ، 2009

.Adzhiev، V. أساطير أمان البرامج: دروس من الكوارث الشهيرة. - الأنظمة المفتوحة ، 199. رقم 6

.ألكسيف و ف. أمن معلومات البلديات. - فورونيج: دار النشر VSTU ، 2008.

.أليكسييف ، ف. المعايير الدولية لتقييم أمن تقنية المعلومات وتطبيقها العملي: كتاب مدرسي. - بينزا: دار النشر بينز. حالة جامعة 2002

.أليكسييف ، ف. الدعم التنظيمي لحماية المعلومات من الوصول غير المصرح به. - بينزا: دار النشر بينز. حالة الجامعة ، 2007

.أليكسييف ، ف. ضمان أمن المعلومات في تطوير البرمجيات. - بينزا: دار النشر بينز. حالة الجامعة ، 2008

.أليشين ، ل. أمن المعلومات وأمن المعلومات: محاضرات يلقيها ل. موسكو حالة un-t للثقافة. - م: موسك. حالة جامعة الثقافة 2010

.Akhramenka، N.F. إلخ الجريمة والعقاب في نظام الدفعمع الوثائق الإلكترونية // إدارة أمن المعلومات ، 1998

.البنوك والعمليات المصرفية. كتاب / إد. إي. جوكوف. - م: البنوك والبورصات ، UNITI ، 2008

.بارسوكوف ، في. الأمن: التقنيات والوسائل والخدمات. - م: Kudits - صورة ، 2007

.باتورين ، يو. مشاكل قانون الكمبيوتر. - م: جريد. مضاءة ، 1991

.باتورين ، يو. جرائم الكمبيوتر وأمن الكمبيوتر. م: Jur.lit. ، 2009

.بيزروكوف ، ن. مقدمة في علم الفيروسات الحسابي. المبادئ العامة للتشغيل والتصنيف وكتالوج الفيروسات الأكثر شيوعًا في M5-005. ك ، 2005

.Bykov ، V.A. الأعمال الإلكترونية والأمن / ف. أ. بيكوف. - م: الراديو والاتصال 2000

.فارفولومييف ، أ. أمن المعلومات. الأسس الرياضية للتشفير. الجزء 1. - موسكو: MEPhI ، 1995

.فيكوف ، ف. جرائم الحاسوب: طرق ارتكابها وإفشاءها. - م: القانون والقانون ، 1996

.فولوبويف ، S.V. مقدمة لأمن المعلومات. - أوبنينسك: Obninsk. معهد الطاقة الذرية ، 2001

.فولوبويف ، S.V. أمن المعلومات للأنظمة الآلية. - أوبنينسك: Obninsk. معهد الطاقة الذرية ، 2001

.المؤتمر العلمي والعملي لعموم روسيا "أمن المعلومات في النظام المدرسة الثانوية"، 28-29 تشرين الثاني (نوفمبر) 2000 ، NSTU ، نوفوسيبيرسك ، روسيا: IBVSh 2000. - نوفوسيبيرسك ، 2001

23.جالاتينكو ، ف. أمن المعلومات: نهج عملي V. A. Galatenko؛ إد. VB Betelin ؛ ينمو. أكاد. العلوم ، ناوشن. معهد النظم. صدر. - م: نوكا ، 1998

.Galatenko، V.A .. أساسيات أمن المعلومات: دورة محاضرات. - م: Internet-Un-t inform. التقنيات ، 2003

.جيناديفا ، إي. اساس نظرىالمعلوماتية وأمن المعلومات. - م: الراديو والاتصال 2000

.المهوس ، سيباستيان نارتشيس. إخفاء المعلومات في ملفات رسومية من تنسيق BMP Dis. ... كان. تقنية. العلوم: 05.13.19 - SPb. ، 2001

.جيكا ، س. إخفاء المعلومات في ملفات رسومية بتنسيق BMP: Avtoref. ديس. ... كان. تقنية. العلوم: 05.13.19 S.-Petersburg. حالة في توتش. الميكانيكا والبصريات. - SPb. ، 2001

.غولوبيف ، في. إدارة الأمن. - سانت بطرسبرغ: بيتر ، 2004

.جورباتوف ، في. أمن المعلومات. أسس الحماية القانونية. - م: MEPhI (TU) ، 1995

.جورلوفا ، أنا ، أد. حرية المعلومات وأمن المعلومات: مواد دولية. علمي. Conf. ، كراسنودار ، 30-31 أكتوبر. 2001 - كراسنودار ، 2001

.جرينسبيرج ، أ. وغيرها حماية موارد المعلومات للإدارة العامة. - م: UNITI ، 2003

.أمن المعلومات في روسيا في سياق مجتمع المعلومات العالمي "INFORUM-5": Sat. مواد الخامس فسيروس. Conf. ، موسكو ، 4-5 فبراير 2003 - م: OOO إد. زورن. الأعمال والأمن في روسيا ، 2003

.أمن المعلومات: Sat. طريقة. المواد M- في التعليم روس. الاتحاد [وآخرون]. - م: TSNIIATOMINFORM ، 2003

34.تكنولوجيا المعلومات // الاقتصاد والحياة. رقم 25 ، 2001

35.تكنولوجيا المعلومات في التسويق: كتاب مدرسي للجامعات - موسكو: 2003

.تكنولوجيا المعلومات في الاقتصاد والإدارة: كتاب مدرسي / Kozyrev A.A. - M.: دار النشر ميخائيلوف V.A. ، 2005

.لوباتين ، في. أمن المعلومات في روسيا ديس. ... د. جريد. العلوم: 12.00.01

.لوكاشين ، ف. أمن المعلومات. - م: موسك. حالة جامعة الاقتصاد والإحصاء والمعلوماتية

.Luchin ، I.N. ، Zheldakov A.A. ، Kuznetsov N.A. تكسير حماية كلمة المرور // المعلوماتية لأنظمة إنفاذ القانون. م ، 1996

.مكلار ، ستيوارت. قرصنة الويب. الهجمات والدفاع ستيوارت مكلار ، سوميل شاه ، سريري شاه. - م: ويليامز ، 2003

.ماليوك ، أ. الأسس النظرية لإضفاء الطابع الرسمي على التقييم التنبئي لمستوى أمن المعلومات في أنظمة معالجة البيانات. - م: MEPhI ، 1998 SPb. ، 2000

.الكفاءة الاقتصادية لأنظمة أمن المعلومات. P.P. تشيبوتار - أكاديمية مولدوفا للاقتصاد 2003

.ياكوفليف ، ف. أمن المعلومات وحماية المعلومات في شبكات شركات النقل بالسكك الحديدية. - م ، 2002

.ياروشكين ، ف. أمن المعلومات. - م: مير ، 2003

.ياروشكين ، ف. أمن المعلومات. - م: صندوق "مير" 2003: أكاد. مشروع

.ياسينيف ، في. نظم المعلومات الآلية في الاقتصاد وضمان سلامتها: كتاب مدرسي. - ن. نوفغورود ، 2002

أعمال مماثلة ل - حماية البيانات الشخصية في الأنظمة المصرفية عبر الإنترنت

أصبح شائعًا بشكل خاص للأقسام الروسية للشركات الأجنبية فيما يتعلق بإضافة الجزء 5 من المادة 18 إلى 152-FZ "حول البيانات الشخصية": بيانات شخصيةمواطني الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي " . هناك عدد من الاستثناءات في القانون ، ولكن يجب أن تعترف أنه في حالة التحقق من قبل المنظم ، قد يرغب المرء في الحصول على بطاقات رابحة أكثر موثوقية من "لكن هذا لا يعنينا".

عقوبات المخالفين بالغة الخطورة. المتاجر عبر الإنترنت ، والشبكات الاجتماعية ، ومواقع المعلومات ، والأعمال التجارية الأخرى ذات الصلة بـ الإنترنتفي حالة وجود مطالبات من السلطات الإشرافية ، فقد يتم إغلاقها بالفعل. ربما ، خلال الفحص الأول ، يمنح المنظم الوقت لإزالة أوجه القصور ، لكن الوقت عادة ما يكون محدودًا. إذا لم يتم حل المشكلة بسرعة كبيرة (وهو أمر يصعب حله بدون إعداد أولي) ، فلا يمكن تعويض الخسائر بأي شكل من الأشكال. لا يؤدي حظر مواقع الويب إلى توقف المبيعات مؤقتًا فحسب ، بل يعني أيضًا فقدان الحصة السوقية.

ظهور منتهكي قانون البيانات الشخصية للشركات غير المتصلة بالإنترنت على "القائمة السوداء" أقل إثارة. لكن هذا ينطوي على مخاطر تتعلق بالسمعة ، وهو عامل مهم للشركات الأجنبية. بالإضافة إلى ذلك ، لم يتبق الآن أي أنشطة غير معنية على الإطلاق بحماية البيانات الشخصية. البنوك والتجارة وحتى التصنيع - جميعها تحافظ على قواعد العملاء ، مما يعني أنها تخضع للقوانين ذات الصلة.

من المهم أن نفهم هنا أنه لا يمكن النظر إلى المشكلة بمعزل داخل الشركات أيضًا. لن يكون من الممكن تقييد حماية البيانات الشخصية عن طريق تثبيت إجراءات أمنية معتمدة على الخوادم وقفل البطاقات الورقية في الخزائن. تحتوي البيانات الشخصية على العديد من نقاط الدخول إلى الشركة - أقسام المبيعات ، وأقسام الموارد البشرية ، وأقسام خدمة العملاء ، وأحيانًا أيضًا مراكز التدريب ، ولجان الشراء ، والإدارات الأخرى. تعد إدارة حماية البيانات الشخصية عملية معقدة تؤثر على هو - هيتدفق المستندات اللوائح التسجيل القانوني.

دعونا نلقي نظرة على ما يتطلبه الأمر لبدء هذه العملية والحفاظ عليها.

ما هي البيانات التي تعتبر شخصية

بالمعنى الدقيق للكلمة ، فإن أي معلومات تتعلق بشكل مباشر أو غير مباشر بفرد معين هي بياناته الشخصية. لاحظ أننا نتحدث عن الأشخاص ، وليس عن الكيانات القانونية. اتضح أنه يكفي الإشارة إلى الاسم الكامل وعنوان الإقامة من أجل الشروع في حماية هذه البيانات (وكذلك البيانات ذات الصلة). ومع ذلك ، فإن الحصول على البريد الإلكترونيمع البيانات الشخصية لشخص ما في شكل توقيع ورقم هاتف ليس سببًا لحمايته بعد. المصطلح الأساسي: "مفهوم جمع البيانات الشخصية". لتوضيح السياق ، أود أن أبرز عدة مواد من قانون "البيانات الشخصية".

المادة 5. مبادئ معالجة البيانات الشخصية. يجب أن يكون لديك أهداف واضحة توضح سبب جمع هذه المعلومات. خلاف ذلك ، حتى مع الامتثال الكامل لجميع القواعد واللوائح الأخرى ، فمن المرجح أن تكون هناك عقوبات.

المادة 10. فئات خاصة من البيانات الشخصية. على سبيل المثال ، يمكن للموارد البشرية تسجيل قيود السفر ، بما في ذلك الحمل للموظفات. بالطبع ، هذه المعلومات الإضافية تخضع أيضًا للحماية. يؤدي هذا إلى توسيع فهم البيانات الشخصية إلى حد كبير ، فضلاً عن قائمة الأقسام ومخازن المعلومات الخاصة بالشركة التي تحتاج إلى الاهتمام بالحماية فيها.

المادة 12. نقل البيانات الشخصية عبر الحدود. إذا كان نظام معلومات يحتوي على بيانات عن مواطني الاتحاد الروسي موجودًا على أراضي دولة لم تصدق على اتفاقية حماية البيانات الشخصية (على سبيل المثال ، في إسرائيل) ، فيجب عليك الالتزام بأحكام التشريع الروسي.

المادة 22. إشعار معالجة البيانات الشخصية. شرط أساسي لعدم جذب انتباه المنظم. ممارسة الأعمال المتعلقة بالبيانات الشخصية - أبلغ عنها بنفسك ، دون انتظار عمليات التفتيش.

أين يمكن أن توجد البيانات الشخصية؟

من الناحية الفنية ، يمكن وضع PD في أي مكان ، من الوسائط المطبوعة (خزانات الملفات الورقية) إلى وسائط الماكينة (الأقراص الثابتة ومحركات الأقراص المحمولة والأقراص المضغوطة وما إلى ذلك). أي أن محور الاهتمام هو أي تخزين بيانات يقع ضمن تعريف ISPDN (أنظمة معلومات البيانات الشخصية).

جغرافيا الموقع هي سؤال كبير منفصل. من ناحية أخرى ، يجب تخزين البيانات الشخصية للروس (الأفراد من مواطني الاتحاد الروسي) على أراضي الاتحاد الروسي. من ناحية أخرى ، في الوقت الحالي ، يعد الأمر بمثابة ناقل لتطور الموقف أكثر من كونه أمرًا واقعًا. تمتلك العديد من الشركات الدولية وشركات التصدير ، والممتلكات المختلفة ، والمشاريع المشتركة تاريخياً بنية تحتية موزعة - وهذا لن يتغير بين عشية وضحاها. على عكس طرق تخزين البيانات الشخصية وحمايتها ، والتي يجب تصحيحها الآن تقريبًا ، على الفور.

الحد الأدنى لقائمة الأقسام المشاركة في التسجيل والتنظيم والتراكم والتخزين والتحديث (التحديث والتغيير) واستخراج PD:

• خدمة الافراد.
• قسم المبيعات.
• قسم قانوني.

نظرًا لأنه نادرًا ما يكون هناك ترتيب مثالي ، في الواقع ، يمكن في كثير من الأحيان إضافة أكثر الوحدات التي لا يمكن التنبؤ بها إلى هذه القائمة "المتوقعة". على سبيل المثال ، قد يحتوي المستودع على معلومات شخصية عن الموردين ، أو قد تحتفظ خدمة الأمن بسجلاتها التفصيلية الخاصة بكل من يدخل المنطقة. وبالتالي ، بالمناسبة ، يمكن استكمال تكوين PD للموظفين ببيانات عن العملاء ، والشركاء ، والمتعاقدين ، وكذلك العشوائيين وحتى الغرباء - الذين يصبح PD "جريمة" عند التصوير للحصول على تصريح ، ومسح بطاقة الهوية و في بعض الحالات الأخرى. يمكن أن تعمل أنظمة التحكم في الوصول والإدارة (ACS) بسهولة كمصدر للمشاكل في سياق حماية البيانات الشخصية. لذلك فإن الجواب على سؤال أين؟ من وجهة نظر الامتثال للقانون ، يبدو الأمر كما يلي: في كل مكان في المنطقة الخاضعة للمساءلة. بتعبير أدق ، لا يمكنك الإجابة إلا من خلال إجراء تدقيق مناسب. هذه هي المرحلة الأولى المشروعبشأن حماية البيانات الشخصية. القائمة الكاملةمراحلها الرئيسية:

1) تدقيق الوضع الحالي في الشركة.

2) تصميم حل تقني.

3) التحضير لعملية حماية البيانات الشخصية.

4) التحقق من الحل التقني وعملية حماية البيانات الشخصية للامتثال لتشريعات الاتحاد الروسي ولوائح الشركة.

5) تنفيذ حل تقني.

6) إطلاق عملية حماية البيانات الشخصية.

1. تدقيق الوضع الحالي في الشركة

بادئ ذي بدء ، تحقق من قسم الموارد البشرية والأقسام الأخرى باستخدام الوسائط الورقية مع البيانات الشخصية:

• هل توجد أشكال للموافقة على معالجة البيانات الشخصية؟ هل اكتملت ووقعت؟
• هل تمت مراعاة "اللائحة الخاصة بخصائص معالجة البيانات الشخصية التي تتم بدون استخدام أدوات الأتمتة" بتاريخ 15 سبتمبر 2008 ، رقم 687؟

تحديد الموقع الجغرافي لـ ISPD:

• في أي دول يتواجدون؟
• على أي أساس؟
• هل هناك عقود لاستخدامها؟
• ما هي الحماية التكنولوجية المستخدمة لمنع تسرب PD؟
• ما هي التدابير التنظيمية التي يتم اتخاذها لحماية البيانات الشخصية؟

من الناحية المثالية ، يجب أن يمتثل نظام المعلومات الذي يحتوي على بيانات شخصية للروس لجميع متطلبات القانون 152-FZ "بشأن البيانات الشخصية" ، حتى لو كان موجودًا في الخارج.

أخيرًا ، انتبه إلى القائمة الرائعة من المستندات المطلوبة في حالة التحقق (هذا ليس كل شيء ، فقط القائمة الرئيسية):

• إشعار معالجة PD.
• وثيقة تحدد الشخص المسؤول عن تنظيم معالجة PD.
• قائمة الموظفين المقبولين في معالجة PD.
• وثيقة تحدد مكان تخزين PD.
• المساعدة في معالجة الفئات الخاصة والبيومترية للبيانات الشخصية.
• شهادة تنفيذ تحويل PD عبر الحدود.
• النماذج النموذجية للوثائق مع PD.
• شكل نموذجي للموافقة على معالجة PD.
• إجراء نقل البيانات الشخصية إلى جهات خارجية.
• إجراء تسجيل الطلبات من موضوعات البيانات الشخصية.
• قائمة نظم معلومات البيانات الشخصية (ISPDN).
• المستندات التي تنظم النسخ الاحتياطي للبيانات في ISPDN.
• قائمة وسائل حماية المعلومات المستخدمة.
• إجراءات إتلاف البيانات الشخصية.
• مصفوفة الوصول.
• نموذج التهديد.
• مجلة محاسبة شركات نقل البيانات الشخصية.
• وثيقة تحدد مستويات الأمان لكل ISPD وفقًا لـ PP-1119 بتاريخ 1 نوفمبر 2012 "بشأن الموافقة على متطلبات حماية البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية."

2. تصميم حل تقني

يرد وصف للتدابير التنظيمية والتقنية التي يجب اتخاذها لحماية البيانات الشخصية في الفصل 4. "التزامات المشغل" من القانون 152-FZ "بشأن البيانات الشخصية". يجب أن يستند الحل التقني إلى أحكام المادة 2 من القانون 242-FZ المؤرخ 21 يوليو 2014.

ولكن كيف تمتثل للقانون ومعالجة PD لمواطني الاتحاد الروسي على أراضي روسيا في حالة استمرار PDIS في الخارج؟ هناك عدة خيارات هنا:

• النقل المادي لنظام المعلومات وقاعدة البيانات إلى أراضي الاتحاد الروسي. إذا كان ذلك ممكنًا من الناحية الفنية ، فسيكون أسهل.
• نترك ISPD في الخارج ، ولكن في روسيا نقوم بإنشاء نسخة منه وإنشاء نسخة متماثلة أحادية الاتجاه للبيانات الشخصية لمواطني الاتحاد الروسي من النسخة الروسية إلى النسخة الأجنبية. في الوقت نفسه ، في نظام أجنبي ، من الضروري استبعاد إمكانية تعديل البيانات الشخصية لمواطني الاتحاد الروسي ، وجميع عمليات التحرير فقط من خلال ISPD الروسي.
• هناك العديد من ISPDs وجميعهم في الخارج. قد يكون النقل مكلفًا ، أو بشكل عام غير ممكن تقنيًا (على سبيل المثال ، لا يمكنك تحديد جزء من قاعدة البيانات به بيانات شخصية لمواطني الاتحاد الروسي وإحضاره إلى روسيا). في هذه الحالة ، قد يكون الحل هو إنشاء ISPD جديد على أي منصة متاحة على خادم في روسيا ، حيث سيتم إجراء نسخ متماثل أحادي الاتجاه لكل ISPD أجنبي. لاحظ أن اختيار النظام الأساسي يبقى مع الشركة.

إذا لم يتم نقل ISPD بشكل كامل واحتكاري إلى روسيا ، فلا تنس الإشارة في شهادة نقل البيانات عبر الحدود إلى من وإلى أي مجموعة من PD يتم إرسالها. في إشعار المعالجة ، يجب أن تشير إلى الغرض من نقل البيانات الشخصية. مرة أخرى ، يجب أن يكون هذا الهدف مشروعًا ومبررًا بوضوح.

3. التحضير لعملية حماية البيانات الشخصية

يجب أن تحدد عملية حماية البيانات الشخصية النقاط التالية على الأقل:

• قائمة الأشخاص المسؤولين عن معالجة البيانات الشخصية في الشركة.
• الإجراء الخاص بتوفير الوصول إلى ISPD. من الناحية المثالية ، هذه مصفوفة وصول مع مستوى وصول لكل منصب أو موظف معين (قراءة / قراءة وكتابة / تعديل). أو قائمة بالبيانات الشخصية المتاحة لكل منصب. كل هذا يتوقف على تنفيذ الملكية الفكرية ومتطلبات الشركة.
• تدقيق الوصول إلى البيانات الشخصية وتحليل محاولات الوصول مع انتهاك مستويات الوصول.
• تحليل أسباب عدم توفر البيانات الشخصية.
• إجراء الاستجابة للطلبات الواردة من موضوعات PD بخصوص PD الخاصة بهم.
• مراجعة قائمة البيانات الشخصية التي يتم نقلها خارج الشركة.
• مراجعة متلقي البيانات الشخصية ، بما في ذلك في الخارج.
• المراجعة الدورية لنموذج التهديد للبيانات الشخصية ، وكذلك تغيير مستوى حماية البيانات الشخصية فيما يتعلق بتغيير في نموذج التهديد.
• دعم مستندات الشركة محدثًا (القائمة أعلاه ، ويمكن أن تحتاج إلى استكمالها ، إذا لزم الأمر).

يمكنك هنا تفصيل كل نقطة ، لكني أريد أن أهتم بشكل خاص بمستوى الأمان. يتم تحديده بناءً على المستندات التالية (اقرأ بالتسلسل):

1. "منهجية تحديد التهديدات الفعلية الأمانالبيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية "(FSTEC RF 14 فبراير 2008).

2. مرسوم حكومة الاتحاد الروسي رقم 1119 المؤرخ 1 نوفمبر 2012 "بشأن الموافقة على متطلبات حماية البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية".

3. أمر FSTEC رقم 21 المؤرخ 18 فبراير 2013 "بشأن الموافقة على تكوين ومحتوى التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية."

أيضًا ، لا تنسَ مراعاة الحاجة إلى فئات النفقات مثل:

• منظمة فريق المشروعوإدارة المشاريع.
• مطورو لكل من أنظمة ISPDN الأساسية.
• قدرات الخادم (تملك أو مؤجرة في مركز البيانات).

بنهاية المرحلتين الثانية والثالثة من المشروع ، يجب أن يكون لديك:

• حساب التكاليف.
• متطلبات الجودة.
• شروط وجدول المشروع.
• المخاطر الفنية والتنظيمية للمشروع.

4. التحقق من الحل التقني وعملية حماية البيانات الشخصية للامتثال لتشريعات الاتحاد الروسي ولوائح الشركة

مرحلة قصيرة ولكنها مهمة تحتاج فيها إلى التأكد من أن جميع الإجراءات المخطط لها لا تتعارض مع تشريعات الاتحاد الروسي وقواعد الشركة (على سبيل المثال ، سياسات الأمان). إذا لم يتم ذلك ، سيتم زرع قنبلة في أساس المشروع ، والتي يمكن أن "تنفجر" في المستقبل ، وتدمر فوائد النتائج المحققة.

5. تنفيذ حل تقني

كل شيء هنا أكثر أو أقل وضوحا. تعتمد التفاصيل على الموقف الأولي والقرارات. لكن بشكل عام ، يجب أن تحصل على شيء مثل الصورة التالية:

• يتم تخصيص قدرات الخادم.
• قدم مهندسو الشبكات سعة قناة كافية بين مستقبل PD وجهاز الإرسال.
• أنشأ المطورون النسخ المتماثل بين قواعد بيانات ISPDN.
• منع المسؤولون التغييرات في ISPDN الموجودة في الخارج.

يمكن أن يكون الشخص المسؤول عن حماية PD أو "مالك العملية" هو نفس الشخص أو مختلف. حقيقة أن "مالك العملية" يجب أن يعد جميع الوثائق وأن ينظم العملية الكاملة لحماية البيانات الشخصية. للقيام بذلك ، يجب إخطار جميع الأطراف المهتمة ، ويجب توجيه الموظفين ، ويجب أن تعزز خدمة تكنولوجيا المعلومات تنفيذ التدابير الفنية لحماية البيانات.

6. إطلاق عملية حماية البيانات الشخصية

هذه مرحلة مهمة ، والهدف من المشروع بأكمله هو السيطرة على التدفق. بالإضافة إلى الحلول التقنية والوثائق التنظيمية ، فإن دور مالك العملية مهم للغاية هنا. يجب عليه تتبع التغييرات ليس فقط في التشريعات ، ولكن أيضًا في البنية التحتية لتكنولوجيا المعلومات. هذا يعني أن المهارات والكفاءات المناسبة مطلوبة.

بالإضافة إلى ذلك ، وهو أمر مهم للغاية في ظروف الحياة الواقعية ، يحتاج مالك عملية حماية PD إلى جميع الصلاحيات اللازمة والدعم الإداري من إدارة الشركة. خلاف ذلك ، سيكون "طالبًا" أبديًا لا ينتبه إليه أحد ، وبعد فترة يمكن إعادة تشغيل المشروع ، مرة أخرى بالبدء بالتدقيق.

الفروق الدقيقة

بعض النقاط التي يسهل التغاضي عنها:

• إذا كنت تعمل مع مركز بيانات ، فأنت بحاجة إلى عقد لتقديم خدمات لتوفير مرافق الخادم ، والذي بموجبه تقوم شركتك بتخزين البيانات على أساس قانوني وتتحكم فيها.
• أنت بحاجة إلى ترخيص للبرامج المستخدمة في جمع البيانات الشخصية وتخزينها ومعالجتها أو اتفاقيات الإيجار.
• إذا كان ISPD موجودًا في الخارج ، فهناك حاجة إلى اتفاق مع الشركة التي تمتلك النظام هناك - لضمان الامتثال لتشريعات الاتحاد الروسي فيما يتعلق بالبيانات الشخصية للروس.
• إذا تم نقل البيانات الشخصية إلى مقاول لشركتك (على سبيل المثال ، شريك خارجي لتكنولوجيا المعلومات) ، فعندئذ في حالة تسريب PD من المتعاقد الخارجي ، ستكون مسؤولاً عن المطالبات. في المقابل ، يمكن لشركتك تقديم مطالبة إلى المتعاقد الخارجي. ربما يمكن أن يؤثر هذا العامل على حقيقة نقل العمل إلى الاستعانة بمصادر خارجية.

ومرة أخرى ، الشيء الأكثر أهمية هو أنه لا يمكن أخذ حماية البيانات الشخصية وضمانها. هذه عملية. عملية تكرارية مستمرة ستعتمد بشدة على المزيد من التغييرات في التشريع ، وكذلك على شكل ودقة تطبيق هذه المعايير في الممارسة العملية.

موقع

بشأن حماية البيانات الشخصية

العملاء (المشتركون)

في شركة ذات مسؤولية محدودة "Ortes-Finance"

المصطلحات والتعريفات

1.1. معلومات شخصية- أي معلومات تتعلق بفرد (موضوع بيانات شخصية) تم تحديده أو تحديده على أساس هذه المعلومات ، بما في ذلك اسمه الأخير ، واسمه الأول ، واسم الأب ، والسنة ، والشهر ، وتاريخ ومكان الميلاد ، والعنوان ، وعنوان البريد الإلكتروني ، رقم هاتفالأسرة والاجتماعية وحالة الملكية والتعليم والمهنة والدخل وغيرها من المعلومات.

1.2. معالجة البيانات الشخصية- الإجراءات (العمليات) مع البيانات الشخصية ، بما في ذلك الجمع والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخدام والتوزيع (بما في ذلك النقل) وتبديد الشخصية والحظر.

1.3. سرية البيانات الشخصية- شرط إلزامي للامتثال للشخص المسؤول المعين الذي تمكن من الوصول إلى البيانات الشخصية ، شرط منع نشرها دون موافقة الموضوع أو أي أساس قانوني آخر.

1.4. نشر البيانات الشخصية- الإجراءات التي تهدف إلى نقل البيانات الشخصية إلى دائرة معينة من الأشخاص (نقل البيانات الشخصية) أو التعرف على البيانات الشخصية لعدد غير محدود من الأشخاص ، بما في ذلك الكشف عن البيانات الشخصية في وسائل الإعلام ونشر المعلومات والاتصالات الشبكات أو توفير الوصول إلى البيانات الشخصية التي - بطريقة أخرى.

1.5. استخدام البيانات الشخصية- الإجراءات (العمليات) باستخدام البيانات الشخصية التي يتم إجراؤها من أجل اتخاذ قرارات أو تنفيذ إجراءات أخرى تؤدي إلى عواقب قانونية فيما يتعلق بموضوعات البيانات الشخصية أو تؤثر بطريقة أخرى على حقوقهم وحرياتهم أو حقوق الآخرين وحرياتهم.

1.6. حجب البيانات الشخصية- الوقف المؤقت لجمع البيانات الشخصية وتنظيمها وتجميعها واستخدامها ونشرها ، بما في ذلك نقلها.

1.7. إتلاف البيانات الشخصية- الإجراءات التي يستحيل نتيجة لها استعادة محتوى البيانات الشخصية في نظام معلومات البيانات الشخصية أو نتيجة تدمير ناقلات المواد للبيانات الشخصية.

1.8. إخفاء هوية البيانات الشخصية- الإجراءات التي يستحيل نتيجة لها تحديد ملكية البيانات الشخصية لموضوع معين دون استخدام معلومات إضافية.

1.9. البيانات الشخصية المتاحة للجمهور- البيانات الشخصية ، الوصول إلى عدد غير محدود من الأشخاص الذين يتم توفيرهم بموافقة الموضوع أو الذين ، وفقًا للقوانين الفيدرالية ، لا ينطبق شرط السرية.

1.10... معلومة- المعلومات (الرسائل ، البيانات) بغض النظر عن شكل عرضها.

1.11. العميل (موضوع البيانات الشخصية)- مستهلك فردي لخدمات شركة "Ortes-Finance" ذات المسؤولية المحدودة ، المشار إليها فيما يلي باسم "المنظمة".

1.12. المشغل أو العامل- هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد ، بشكل مستقل أو بالاشتراك مع أشخاص آخرين ينظمون و (أو) ينفذون معالجة البيانات الشخصية ، وكذلك تحديد أغراض معالجة البيانات الشخصية ، وتكوين البيانات الشخصية البيانات المراد معالجتها ، الإجراءات (العمليات) التي تتم باستخدام البيانات الشخصية. في إطار هذه اللوائح ، يكون المشغل هو شركة Ortes-Finance Limited ذات المسؤولية المحدودة ؛

2. أحكام عامة.

2.1. تم تطوير هذه اللائحة الخاصة بمعالجة البيانات الشخصية (المشار إليها فيما يلي باسم اللائحة) وفقًا لدستور الاتحاد الروسي والقانون المدني للاتحاد الروسي والقانون الفيدرالي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات "، القانون الفيدرالي 152-FZ" بشأن البيانات الشخصية "، والقوانين الفيدرالية الأخرى.

2.2. الغرض من تطوير اللائحة هو تحديد إجراءات معالجة وحماية البيانات الشخصية لجميع عملاء المنظمة ، والتي تخضع بياناتها للمعالجة ، على أساس صلاحيات المشغل ؛ ضمان حماية حقوق وحريات الشخص والمواطن عند معالجة بياناته الشخصية ، بما في ذلك حماية حقوق الخصوصية والأسرار الشخصية والعائلية ، وكذلك تحديد مسؤولية المسؤولين الذين لديهم إمكانية الوصول إلى البيانات الشخصية لعدم الامتثال لمتطلبات القواعد التي تحكم معالجة البيانات الشخصية وحمايتها.

2.3 إجراءات دخول اللائحة حيز التنفيذ وتغييرها.

2.3.1. تدخل هذه اللائحة حيز التنفيذ من لحظة الموافقة عليها من قبل المدير العام للمنظمة وهي سارية إلى أجل غير مسمى ، حتى يتم استبدالها بلائحة جديدة.

2.3.2. يتم إجراء التغييرات على اللوائح على أساس أوامر المدير العام للمنظمة.

3. تكوين البيانات الشخصية.

3.1 البيانات الشخصية للعملاء ، بما في ذلك:

3.1.1. الاسم بالكامل.

3.1.2. سنة الولادة.

3.1.3. شهر الولادة.

3.1.4. تاريخ الولادة.

3.1.5. مكان الولادة.

3.1.6. بيانات جواز السفر

3.1.7. عنوان البريد الإلكتروني.

3.1.8. رقم الهاتف (المنزل ، الخلية).

3.2 يمكن للمؤسسة إنشاء (إنشاء وجمع) وتخزين المستندات والمعلومات التالية ، بما في ذلك في شكل إلكتروني ، تحتوي على بيانات حول العملاء:

3.2.1. طلب إجراء مسح حول إمكانية ربط فرد.

3.2.2. اتفاقية (عرض عام).

3.2.3. تأكيد الانضمام إلى العقد.

3.2.5. نسخ من وثائق الهوية ، بالإضافة إلى المستندات الأخرى المقدمة من العميل والتي تحتوي على بيانات شخصية.

3.2.6. بيانات عن مدفوعات الطلبات (البضائع / الخدمات) التي تحتوي على الدفع وتفاصيل أخرى عن العميل.

4. الغرض من معالجة البيانات الشخصية.

4.1 الغرض من معالجة البيانات الشخصية هو تنفيذ مجموعة من الإجراءات التي تهدف إلى تحقيق الهدف ، بما في ذلك:

4.1.1. تقديم الاستشارات وخدمات المعلومات.

4.1.2. المعاملات الأخرى التي لا يحظرها القانون ، بالإضافة إلى مجموعة من الإجراءات المتعلقة بالبيانات الشخصية اللازمة لتنفيذ المعاملات المذكورة أعلاه.

4.1.3. من أجل الامتثال لمتطلبات تشريعات الاتحاد الروسي.

4.2 شرط إنهاء معالجة البيانات الشخصية هو تصفية المنظمة ، وكذلك طلب العميل المقابل.

5. جمع ومعالجة وحماية البيانات الشخصية.

5.1 إجراءات الحصول على (جمع) البيانات الشخصية:

5.1.1. يجب الحصول على جميع البيانات الشخصية للعميل منه شخصيًا بموافقته الخطية ، باستثناء الحالات المحددة في البندين 5.1.4 و 5.1.6 من هذه اللائحة وفي الحالات الأخرى المنصوص عليها في قوانين الاتحاد الروسي.

5.1.2. يتم تخزين موافقة العميل على استخدام بياناته الشخصية في المنظمة في شكل ورقي و / أو إلكتروني.

5.1.3. موافقة الخاضع لمعالجة البيانات الشخصية صالحة طوال مدة العقد ، وكذلك لمدة 5 سنواتمن تاريخ إنهاء العلاقة التعاقدية بين العميل والمنظمة. بعد انتهاء الفترة المحددة ، يتم تمديد الموافقة كل خمس سنوات قادمة في حالة عدم وجود معلومات حول إلغائها.

5.1.4. إذا كان لا يمكن الحصول على البيانات الشخصية للعميل إلا من طرف ثالث ، فيجب إخطار العميل بذلك مسبقًا ويجب الحصول على موافقة كتابية منه. يجب أن يحصل الطرف الثالث الذي يقدم البيانات الشخصية للعميل على موافقة الشخص المعني لنقل البيانات الشخصية للمؤسسة. تلتزم المنظمة بالحصول على تأكيد من الطرف الثالث الذي يقوم بنقل البيانات الشخصية للعميل بأن البيانات الشخصية يتم نقلها بموافقته. تلتزم المنظمة ، عند التعامل مع أطراف ثالثة ، بإبرام اتفاقية معهم بشأن سرية المعلومات المتعلقة بالبيانات الشخصية للعملاء.

5.1.5. تلتزم المنظمة بإبلاغ العميل عن الأغراض والمصادر المقصودة وطرق الحصول على البيانات الشخصية ، فضلاً عن طبيعة البيانات الشخصية التي سيتم تلقيها وعواقب رفض العميل للبيانات الشخصية لإعطاء موافقة خطية لتلقيها .

5.1.6. تتم معالجة البيانات الشخصية للعملاء دون موافقتهم في الحالات التالية:

5.1.6.1. البيانات الشخصية متاحة للجمهور.

5.1.6.2. بناء على طلب الجهات الحكومية المختصة في الحالات التي ينص عليها القانون الاتحادي.

5.1.6.3. تتم معالجة البيانات الشخصية على أساس القانون الفيدرالي ، الذي يحدد الغرض منه ، وشروط الحصول على البيانات الشخصية ومجموعة الموضوعات التي تخضع بياناتها الشخصية للمعالجة ، وكذلك تحديد صلاحيات المشغل.

5.1.6.4. تتم معالجة البيانات الشخصية من أجل إبرام وتنفيذ اتفاقية ، يكون أحد الأطراف موضوع البيانات الشخصية - العميل.

5.1.6.5. تتم معالجة البيانات الشخصية للأغراض الإحصائية ، مع مراعاة عدم التخصيص الإلزامي للبيانات الشخصية.

5.1.6.6. في الحالات الأخرى التي ينص عليها القانون.

5.1.7. لا يحق للمنظمة تلقي ومعالجة البيانات الشخصية للعميل حول العرق أو الجنسية أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو الحالة الصحية أو الحياة الحميمة.

5.2 إجراءات معالجة البيانات الشخصية:

5.2.1. موضوع البيانات الشخصية يزود المنظمة بمعلومات موثوقة عن نفسه.

5.2.2. يمكن فقط لموظفي المنظمة المسموح لهم بالعمل مع البيانات الشخصية للعميل والذين وقعوا اتفاقية عدم إفشاء البيانات الشخصية للعميل الوصول إلى معالجة البيانات الشخصية للعملاء.

5.2.3. يتمتع الحق في الوصول إلى البيانات الشخصية للعميل في المنظمة بما يلي:

مدير عام المنظمة.

الموظفون المسؤولون عن إجراء الحسابات المالية (مدير ، محاسب).

موظفو قسم خدمة العملاء (رئيس قسم المبيعات مدير).

 العاملين في مجال تكنولوجيا المعلومات (المدير الفني ، مسئول النظام).

 العميل كموضوع للبيانات الشخصية.

5.2.3.1. يتم تحديد قائمة موظفي المنظمة الذين يمكنهم الوصول إلى البيانات الشخصية للعملاء بأمر من المدير العام للمنظمة.

5.2.4. يمكن إجراء معالجة البيانات الشخصية للعميل حصريًا للأغراض التي تحددها اللائحة والامتثال للقوانين والإجراءات القانونية التنظيمية الأخرى للاتحاد الروسي.

5.2.5. عند تحديد حجم ومحتوى البيانات الشخصية المعالجة ، تسترشد المنظمة بدستور الاتحاد الروسي وقانون البيانات الشخصية والقوانين الفيدرالية الأخرى.

5.3 حماية المعلومات الشخصية:

5.3.1. تُفهم حماية البيانات الشخصية للعميل على أنها مجموعة من التدابير (التنظيمية والإدارية والفنية والقانونية) التي تهدف إلى منع الوصول غير المصرح به أو العرضي إليها ، أو إتلافها ، أو تعديلها ، أو حظرها ، أو نسخها ، أو نشرها للبيانات الشخصية للمواضيع ، وكذلك ضد الإجراءات غير القانونية الأخرى.

5.3.2. تتم حماية البيانات الشخصية للعميل على حساب المنظمة بالطريقة المنصوص عليها في القانون الفيدرالي للاتحاد الروسي.

5.3.3. تتخذ المنظمة ، عند حماية البيانات الشخصية للعملاء ، جميع التدابير التنظيمية والإدارية والقانونية والفنية اللازمة ، بما في ذلك:

 الحماية من الفيروسات.

 التحليل الأمني.

 كشف التسلل والوقاية منه.

صلاحية التحكم صلاحية الدخول.

 التسجيل والمحاسبة.

 ضمان النزاهة.

 تنظيم الإجراءات المحلية التنظيمية والمنهجية التي تنظم حماية البيانات الشخصية.

5.3.4. يتولى المدير العام للمنظمة التنظيم العام لحماية البيانات الشخصية للعملاء.

5.3.5. يمكن لموظفي المنظمة الذين يحتاجون إلى بيانات شخصية فيما يتعلق بأداء واجبات عملهم الوصول إلى البيانات الشخصية للعميل.

5.3.6. يلتزم جميع الموظفين المرتبطين باستلام ومعالجة وحماية البيانات الشخصية للعملاء بالتوقيع على اتفاقية عدم إفشاء البيانات الشخصية للعملاء.

5.3.7. يتضمن إجراء الوصول إلى البيانات الشخصية للعميل ما يلي:

إطلاع الموظف على هذه اللوائح مقابل التوقيع عليها. إذا كانت هناك لوائح أخرى (أوامر ، أوامر ، تعليمات ، وما إلى ذلك) تنظم معالجة وحماية البيانات الشخصية للعميل ، تتم مراجعة هذه الأفعال أيضًا ضد التوقيع.

 الطلب من الموظف (باستثناء المدير العام) التزامًا كتابيًا بالحفاظ على سرية البيانات الشخصية للعملاء والامتثال لقواعد معالجتها وفقًا للإجراءات المحلية الداخلية للمنظمة التي تنظم أمن معلومات سرية.

5.3.8. موظف المؤسسة الذي لديه حق الوصول إلى البيانات الشخصية للعملاء فيما يتعلق بأداء واجبات العمل:

 يوفر تخزين المعلومات التي تحتوي على البيانات الشخصية للعميل ، باستثناء الوصول إليها من قبل أطراف ثالثة.

 في حالة عدم وجود موظف في مكان عمله ، يجب ألا تكون هناك مستندات تحتوي على بيانات شخصية للعملاء.

 عند الذهاب في إجازة وأثناء رحلة عمل وفي حالات أخرى من الغياب الطويل للموظف في مكان عمله ، فإنه ملزم بنقل المستندات والوسائط الأخرى التي تحتوي على بيانات شخصية للعملاء إلى شخص سيُعهد إليه بتنفيذ من خلال قانون محلي من مسؤوليات الوظيفة للشركة (طلب ، طلب).

 في حالة عدم تعيين مثل هذا الشخص ، يتم نقل المستندات والوسائط الأخرى التي تحتوي على البيانات الشخصية للعملاء إلى موظف آخر لديه حق الوصول إلى البيانات الشخصية للعملاء بناءً على توجيه من المدير العام للمنظمة.

 عند فصل موظف لديه حق الوصول إلى البيانات الشخصية للعملاء ، يتم نقل المستندات والوسائط الأخرى التي تحتوي على البيانات الشخصية للعملاء إلى موظف آخر لديه حق الوصول إلى البيانات الشخصية للعملاء بناءً على توجيه من المدير العام .

 من أجل إكمال المهمة المعينة وعلى أساس مذكرة بقرار إيجابي من المدير العام ، قد يتم توفير الوصول إلى البيانات الشخصية للعميل إلى موظف آخر. يُحظر الوصول إلى البيانات الشخصية للعميل من قبل الموظفين الآخرين في المنظمة الذين ليس لديهم وصول رسمي بشكل صحيح.

5.3.9. يوفر مدير الموارد البشرية:

تعريف الموظفين مقابل التوقيع على هذه اللوائح.

 طلب التزام كتابي من الموظفين باحترام سرية البيانات الشخصية للعميل (اتفاقية عدم الإفشاء) والامتثال لقواعد معالجتها.

 الرقابة العامة على امتثال الموظفين لتدابير حماية البيانات الشخصية للعميل.

5.3.10. يوفر مسؤول النظام حماية البيانات الشخصية للعملاء المخزنة في قواعد البيانات الإلكترونية للمؤسسة من الوصول غير المصرح به وتشويه المعلومات وتدميرها ، وكذلك من الإجراءات غير القانونية الأخرى.

5.4. تخزين البيانات الشخصية:

5.4.1. يتم تخزين البيانات الشخصية للعملاء على الورق في الخزائن.

5.4.2. يتم تخزين البيانات الشخصية للعملاء في شكل إلكتروني في المحلية شبكة الكمبيوترالمنظمات ، في المجلدات والملفات الإلكترونية بتنسيق حواسيب شخصيةاعترف المدير العام والموظفون بمعالجة البيانات الشخصية للعملاء.

5.4.3. يتم تخزين المستندات التي تحتوي على البيانات الشخصية للعملاء في خزائن (خزائن) ، والتي توفر الحماية ضد الوصول غير المصرح به. في نهاية يوم العمل ، يتم وضع جميع المستندات التي تحتوي على البيانات الشخصية للعملاء في خزائن (خزائن) ، والتي توفر الحماية ضد الوصول غير المصرح به.

5.4.4. يتم ضمان حماية الوصول إلى قواعد البيانات الإلكترونية التي تحتوي على البيانات الشخصية للعملاء من خلال:

 استخدام برامج مكافحة الفيروسات والقرصنة المرخصة التي تمنع الوصول غير المصرح به إلى شبكة المنطقة المحليةالمنظمات.

 التفريق بين حقوق الوصول باستخدام حساب.

 نظام كلمات المرور من خطوتين: على مستوى شبكة الكمبيوتر المحلية وعلى مستوى قواعد البيانات. يتم تعيين كلمات المرور من قبل مسؤول النظام في المؤسسة ويتم توصيلها بشكل فردي للموظفين الذين يمكنهم الوصول إلى البيانات الشخصية للعملاء.

5.4.4.1. يتم حظر الوصول غير المصرح به إلى أجهزة الكمبيوتر التي تحتوي على بيانات شخصية للعملاء بواسطة كلمة مرور يحددها مسؤول النظام ولا تخضع للكشف.

5.4.4.2. جميع المجلدات والملفات الإلكترونية التي تحتوي على البيانات الشخصية للعملاء محمية بكلمة مرور ، يتم تعيينها من قبل موظف المؤسسة المسؤول عن الكمبيوتر الشخصي وإرسالها إلى مسؤول النظام.

5.4.4.3. يقوم مسؤول النظام بتغيير كلمات المرور مرة واحدة على الأقل كل 3 أشهر.

5.4.5. يُسمح بنسخ البيانات الشخصية للعميل وعمل مقتطفات منها للأغراض الرسمية حصريًا بإذن كتابي من المدير العام للمنظمة.

5.4.6. لا يتم تقديم الردود على الطلبات المكتوبة من المنظمات والمؤسسات الأخرى حول البيانات الشخصية للعملاء إلا بموافقة كتابية من العميل نفسه ، ما لم ينص القانون على خلاف ذلك. تتم الإجابات كتابيًا ، على ورق يحمل رأسية المنظمة ، وإلى الحد الذي يسمح بعدم الكشف عن كمية زائدة من البيانات الشخصية للعميل.

6. حظر وتبديد الشخصية وإتلاف البيانات الشخصية

6.1 إجراء حظر وإلغاء حظر البيانات الشخصية:

6.1.1. يتم حظر البيانات الشخصية للعملاء من خلال طلب مكتوب من العميل.

6.1.2. يعني حظر البيانات الشخصية:

6.1.2.2. حظر نشر البيانات الشخصية بأي وسيلة (البريد الإلكتروني ، الاتصالات الخلوية ، وسائل الإعلام المادية).

6.1.2.4. إزالة المستندات الورقية المتعلقة بالعميل والتي تحتوي على بياناته الشخصية من تدفق المستندات الداخلية للمؤسسة وحظر استخدامها.

6.1.3. يمكن إزالة حظر البيانات الشخصية للعميل مؤقتًا إذا كان ذلك مطلوبًا للامتثال لتشريعات الاتحاد الروسي.

6.1.4. يتم إلغاء حظر البيانات الشخصية للعميل بموافقته الخطية (إذا كانت هناك حاجة للحصول على موافقة) أو طلب العميل.

6.1.5. تستلزم موافقة العميل المتكررة على معالجة بياناته الشخصية (إذا لزم الأمر ، للحصول عليها) إلغاء حظر بياناته الشخصية.

6.2 إجراءات إخفاء الهوية وإتلاف البيانات الشخصية:

6.2.1. يحدث إخفاء هوية البيانات الشخصية للعميل بناءً على طلب مكتوب من العميل ، بشرط أن تكون جميع العلاقات التعاقدية قد اكتملت ومرت 5 سنوات على الأقل منذ تاريخ انتهاء العقد الأخير.

6.2.2. عند نزع الشخصية ، يتم استبدال البيانات الشخصية في أنظمة المعلومات بمجموعة من الرموز ، والتي من خلالها يستحيل تحديد انتماء البيانات الشخصية لعميل معين.

6.2.3. يتم إتلاف حاملات المستندات الورقية أثناء نزع الطابع الشخصي عن البيانات الشخصية.

6.2.4. تلتزم المنظمة بضمان السرية فيما يتعلق بالبيانات الشخصية ، إذا لزم الأمر ، لاختبار أنظمة المعلومات على أراضي المطور وإلغاء الطابع الشخصي للبيانات الشخصية في أنظمة المعلومات المنقولة إلى المطور.

6.2.5. تدمير البيانات الشخصية للعميل يعني إنهاء أي وصول إلى البيانات الشخصية للعميل.

6.2.6. عندما يتم إتلاف البيانات الشخصية للعميل ، لا يمكن لموظفي المنظمة الوصول إلى البيانات الشخصية للموضوع في أنظمة المعلومات.

6.2.7. عند إتلاف البيانات الشخصية ، يتم إتلاف حاملات المستندات الورقية ، ويتم نزع الطابع الشخصي عن البيانات الشخصية الموجودة في أنظمة المعلومات. لا يمكن استعادة البيانات الشخصية.

6.2.8. لا يمكن التراجع عن عملية تدمير البيانات الشخصية.

6.2.9. يتم تحديد الفترة التي يمكن بعدها عملية إتلاف البيانات الشخصية للعميل بنهاية الفترة المحددة في البند 7.3 من هذه اللوائح.

7. نقل وتخزين البيانات الشخصية

7.1 نقل البيانات الشخصية:

7.1.1. يُفهم أن نقل البيانات الشخصية لموضوع ما يعني نشر المعلومات من خلال قنوات الاتصال وعلى وسائل الإعلام الملموسة.

7.1.2. عند نقل البيانات الشخصية ، يجب على موظفي المؤسسة الامتثال للمتطلبات التالية:

7.1.2.1. لا تقدم بيانات شخصية للعميل لأغراض تجارية.

7.1.2.2. عدم الكشف عن البيانات الشخصية للعميل لطرف ثالث دون موافقة كتابية من العميل ، باستثناء الحالات التي ينص عليها القانون الفيدرالي للاتحاد الروسي.

7.1.2.3. تحذير الأشخاص الذين يتلقون البيانات الشخصية للعميل من أنه لا يمكن استخدام هذه البيانات إلا للأغراض التي تم إبلاغهم من أجلها ، واطلب من هؤلاء الأشخاص تأكيد مراعاة هذه القاعدة ؛

7.1.2.4. السماح بالوصول إلى البيانات الشخصية للعملاء فقط للأشخاص المصرح لهم بشكل خاص ، بينما يجب أن يكون لهؤلاء الأشخاص الحق في تلقي فقط تلك البيانات الشخصية للعملاء الضرورية لأداء وظائف محددة.

7.1.2.5. نقل البيانات الشخصية للعميل داخل المنظمة وفقًا لهذه اللائحة والوثائق التنظيمية والتكنولوجية ووصف الوظائف.

7.1.2.6. تزويد العميل بإمكانية الوصول إلى بياناته الشخصية عند الاتصال أو عند تلقي طلب العميل. تلتزم المنظمة بإبلاغ العميل بتوافر البيانات الشخصية عنه ، فضلاً عن إتاحة الفرصة للتعرف عليها في غضون عشرة أيام عمل من تاريخ الاتصال.

7.1.2.7. نقل البيانات الشخصية للعميل إلى ممثلي العميل بالطريقة المنصوص عليها في القانون والوثائق التنظيمية والتكنولوجية وقصر هذه المعلومات فقط على تلك البيانات الشخصية للموضوع الضرورية للممثلين المحددين لأداء وظائفهم.

7.2 تخزين واستخدام البيانات الشخصية:

7.2.1. يُفهم تخزين البيانات الشخصية على أنه وجود سجلات في أنظمة المعلومات وفي وسائط ملموسة.

7.2.2. تتم معالجة البيانات الشخصية للعملاء وتخزينها في أنظمة المعلومات ، وكذلك على الورق في المنظمة. يتم أيضًا تخزين البيانات الشخصية للعملاء في شكل إلكتروني: في شبكة الكمبيوتر المحلية للمنظمة ، في مجلدات وملفات إلكترونية في جهاز الكمبيوتر الخاص بالمدير العام ويتم قبول الموظفين لمعالجة البيانات الشخصية للعملاء.

7.2.3. لا يمكن تنفيذ تخزين البيانات الشخصية للعميل أكثر مما يتطلبه الغرض من المعالجة ، ما لم تنص القوانين الفيدرالية للاتحاد الروسي على خلاف ذلك.

7.3. فترات تخزين البيانات الشخصية:

7.3.1. فترة التخزين للعقود المدنية التي تحتوي على البيانات الشخصية للعملاء ، وكذلك تلك المصاحبة لإبرامها ، وتنفيذ المستندات - 5 سنوات من تاريخ انتهاء العقود.

7.3.2. خلال فترة التخزين ، لا يمكن إخفاء هوية البيانات الشخصية أو إتلافها.

7.3.3. بعد انتهاء فترة التخزين ، يمكن نزع الطابع الشخصي عن البيانات الشخصية في أنظمة المعلومات وإتلافها على الورق بالطريقة المنصوص عليها في اللوائح والتشريعات الحالية للاتحاد الروسي. (قانون مرفق بشأن إتلاف البيانات الشخصية)

8. حقوق مشغل البيانات الشخصية

يحق للمنظمة:

8.1 دافع عن مصالحك في المحكمة.

8.2 تقديم البيانات الشخصية للعملاء إلى جهات خارجية ، إذا كان ذلك منصوصًا عليه بموجب القانون المعمول به (الضرائب ، ووكالات إنفاذ القانون ، وما إلى ذلك).

8.3 رفض تقديم البيانات الشخصية في الحالات التي ينص عليها القانون.

8.4 استخدام البيانات الشخصية للعميل دون موافقته ، في الحالات المنصوص عليها في تشريعات الاتحاد الروسي.

9. حقوق العميل

للعميل الحق في:

9.1 طلب توضيح بياناتك الشخصية ، أو حظرها أو إتلافها إذا كانت البيانات الشخصية غير مكتملة ، أو قديمة ، أو غير دقيقة ، أو تم الحصول عليها بشكل غير قانوني أو غير ضرورية للغرض المعلن للمعالجة ، وكذلك اتخاذ التدابير التي ينص عليها القانون لحماية حقوقهم ؛

9.2. طلب قائمة بالبيانات الشخصية التي تمت معالجتها والمتاحة في المؤسسة ومصدر استلامها.

9.3 تلقي معلومات حول توقيت معالجة البيانات الشخصية ، بما في ذلك توقيت تخزينها.

9.4 طلب إخطار جميع الأشخاص الذين سبق أن تم تزويدهم ببيانات شخصية غير صحيحة أو غير كاملة حول جميع الاستثناءات أو التصحيحات أو الإضافات التي تم إجراؤها عليهم.

9.5 مناشدة الهيئة المخولة لحماية حقوق الأشخاص المعنيين بالبيانات الشخصية أو في إجراءات قضائية ضد الإجراءات غير القانونية أو الإغفالات في معالجة بياناته الشخصية.

10. المسؤولية عن انتهاك القواعد التي تحكم معالجة وحماية البيانات الشخصية

10.1. يتحمل موظفو المنظمة المذنبون بانتهاك القواعد التي تحكم استلام ومعالجة وحماية البيانات الشخصية مسؤولية تأديبية أو إدارية أو مدنية أو جنائية وفقًا للتشريعات الحالية للاتحاد الروسي والإجراءات المحلية الداخلية للمنظمة.

من المحتمل أن كل شخص حصل على قرض أو كان من موظفي الموارد البشرية قد واجه موقفًا عندما يتصل ممثلو البنك بصاحب العمل ويطلبون معلومات حول أحد موظفي المنظمة.

في الوقت نفسه ، من الناحية العملية ، لا يلتزم صاحب العمل في أغلب الأحيان بمتطلبات القانون الفيدرالي 152 بشأن حماية البيانات الشخصية ويكشف عن معلومات حول الموظف عبر الهاتف. لا يمكن لصاحب العمل التحقق من متلقي هذه المعلومات ، وغالبًا ما لا يحصل الموظف على موافقة خطية من الموظف على مثل هذا الاستخدام لبياناته.

من في هذه الحالة يخالف القانون أكثر: من يسأل أم من يجيب؟

في هذه الحالة ، كل هذا يتوقف على المستندات من موضوع البيانات الشخصية التي يمتلكها أحدهما والآخر. هناك حالة لا ينتهك فيها من يسأل ولا من يجيب القانون ، لكن يحدث أن كلاهما يفعل.

دعونا نفهم هذا.

لذلك نحن بنك. أتى شخص إلينا ، لغرض الحصول على قرض ، قدم جميع مجموعة المستندات اللازمة ، بما في ذلك شهادة الأرباح ، مصدقة من توقيعات الأشخاص المسؤولين من صاحب العمل والختم ، بالإضافة إلى النسخ الأصلية والنسخ الضرورية الأخرى من المستندات.

ولكن ، على الرغم من شهادة الأرباح الأصلية المقدمة ، نريد التحقق مما إذا كان مقدم الطلب للحصول على قرض يعمل في هذه المؤسسة وما إذا كان الدخل الحقيقي موضحًا في الشهادة المقدمة. في الإنصاف ، يجب أن يقال ذلك في في الآونة الأخيرةبعد كل شيء ، تطلب البنوك في أغلب الأحيان فقط معلومات حول ما إذا كان شخص معين يعمل في مؤسسة معينة. في الوقت نفسه ، نحن ، بصفتنا بنكًا ، لا نرسل هذا الطلب كتابيًا ، مع أختامنا وبيان معلومات التعريف الخاصة بنا ولا نشير كتابيًا إلى الغرض من طلبنا ، ولكن لتسريع الإجراء ، فإننا ببساطة نتصل الهاتف المحدد في المستندات المقدمة من قبل العميل المحتمل للبنك.

ما أدهشني دائمًا في هذا الإجراء هو أن هناك بعض التناقض في مراحل تأكيد موثوقية البيانات المقدمة.

أي أن المستند الذي يحتوي على أختام وتوقيعات لا يناسبنا تمامًا ، ولكن لسبب ما ، ستناسبنا الإجابة التي يحددها الموظف عن طريق الهاتف أكثر.

وما هو رقم هاتف الموظف؟ هل هذا الهاتف مملوك حقًا لهذه المنظمة؟ من على الطرف الآخر من الخط سيرد علي: المدير التنفيذي؟ رئيس الحسابات؟ مدير الموارد البشرية؟ كيف سأعرف أن هؤلاء هم المسؤولين؟ أو ربما سكرتيرة تعمل هنا لمدة أسبوع ولا تعرف أحداً بعد؟ أم عاملة النظافة؟ أم حارس أمن؟ أو ربما ، من حيث المبدأ ، شخص طلب الموظف نفسه الاستجابة بشكل مناسب لطلب البنك؟ وإذا لم يرد رقم الهاتف الذي أشار إليه الموظف ، فماذا يعني ذلك بالنسبة للبنك؟ هل سيتحقق مما إذا كان الشخص قد أخطأ في رقم واحد؟ هل يمكن أن تتعرض شركة الهاتف للانقطاع؟ ربما هذا الهاتف المحدد لم يعد مستخدما من قبل الشركة والموظف لم يكن يعلم به؟

لكن مهمتنا هي معرفة ما إذا كانت تصرفات الطرفين قانونية: البنك وصاحب العمل في هذه الحالة ، من حيث المبدأ؟

إذا حصل البنك على موافقة خطية من الشخص المعني للتحقق من معلوماته والحصول على معلومات من صاحب العمل ، فإن إجراءات البنك تكون قانونية.

ماذا عن صاحب العمل؟

يمكن لصاحب العمل تقديم معلومات قانونية عن الموظف إلى البنك في الحالات التالية:

2. أعطى الموظف الإذن في WRITTEN لتقديم بياناته إلى كيان قانوني معين. لكن في هذه الحالة ، يكون صاحب العمل ملزمًا بالتأكد من أن الطلب جاء من البنك بالضبط الذي سُمح للموظف بتقديم المعلومات إليه (أي أن الإجابة هي فقط على طلب مكتوب).

وإذا لم يكن لدى صاحب العمل مثل هذه الموافقة؟

لا يحق لصاحب العمل تقديم معلومات عن الموظف. ثم صاحب العمل سوف يفي بالتزاماته بموجب قانون حماية البيانات الشخصية؟ نعم فعلا. هل سيحصل الموظف على قرض إذا رفض صاحب العمل تقديم معلومات عن الموظف؟ مجهول.

علاوة على ذلك ، إذا كانت المنظمة كبيرة ولديها شبكة واسعة من الأقسام المنفصلة ، فليس من الممكن دائمًا الحصول على هذه الموافقة على الفور. خاصة في حالة اتخاذ الموظف قرارًا تلقائيًا بالحصول على قرض. وبالفعل في نفس اليوم أو اليوم التالي ، يتصل موظفو البنك بصاحب العمل للتحقق من دقة المعلومات المقدمة.

علاوة على ذلك ، يجب إضفاء الطابع الرسمي على الموافقة نفسها كتابيًا ، ولا يكفي أن يتصل الموظف ، على سبيل المثال ، بقسم شؤون الموظفين ، ويطلب الرد شفهيًا على طلب بنك معين.

بعد كل شيء ، يفهم الجميع جيدًا أنه عندما يقدم صاحب العمل معلومات حول عمل موظف معين إلى البنك عبر طلب هاتفي ، فإنه يفعل ذلك من أجل حماية مصالح الموظف ، أولاً وقبل كل شيء ، حتى لا يتم رفضه. قرض. لكن تلقائيًا ، في هذه الحالة ، ينتهك قانون حماية البيانات الشخصية ، إذا لم يكلف صاحب العمل عناء مقدمًا للحصول على موافقة خطية من الموظف نفسه.

ربما ، إذا أوقفت البنوك ممارسة الشيكات الهاتفية غير القانونية ، فإن هذه الانتهاكات من جانب صاحب العمل ستقل.

في الآونة الأخيرة ، تم نشر خطاب من بنك روسيا بتاريخ 14 مارس 2014 N 42-T "بشأن تعزيز الرقابة على المخاطر الناشئة عن مؤسسات الائتمان عند استخدام المعلومات التي تحتوي على البيانات الشخصية للمواطنين" ، والتي توصي بأن تعزز مؤسسات الائتمان سيطرتها على المخاطر الناشئة عن المعالجة (بالمناسبة تشمل أيضًا جمع) المعلومات التي تحتوي على بيانات شخصية ، بالإضافة إلى تحديث المستندات الداخلية التي تحدد: المسؤولية الشخصية لموظفي المؤسسات الائتمانية الذين يعالجون البيانات الشخصية مباشرة (بما في ذلك الجمع) للحفاظ على وضمان سرية المعلومات التي تم إنشاؤها في عملية خدمة العملاء.

في الوقت نفسه ، نص الخطاب أعلاه صراحةً على أن بنك روسيا ، عند الإشراف على أنشطة البنوك ، سيأخذ في الاعتبار حالات القصور في تنفيذ التشريعات المتعلقة بحماية البيانات الشخصية ويعتبرها عاملاً سلبياً في التقييم. جودة إدارة مؤسسة الائتمان ، بما في ذلك تقييم تنظيم النظام الداخلي.الرقابة.

يبقى أن نأمل أن تمتثل البنوك أخيرًا أيضًا لقانون حماية البيانات الشخصية ، دون توجيه صاحب العمل إلى انتهاك قسري للقانون.