Кредит
<<  Формирование сбытовой политики в сельскохозяйственных предприятиях Вопросы развития системы обмена кредитной информации  >>
Защита информации: камень преткновения для системы бюро кредитных
Защита информации: камень преткновения для системы бюро кредитных
Темы доклада
Темы доклада
Примеры мировой практики
Примеры мировой практики
Примеры мировой практики
Примеры мировой практики
Примеры мировой практики
Примеры мировой практики
Идеология построения систем защиты информации
Идеология построения систем защиты информации
Базовый объект защиты -консолидированная совокупность
Базовый объект защиты -консолидированная совокупность
Комплекс информационных отношений, связанных с защитой объекта
Комплекс информационных отношений, связанных с защитой объекта
Носитель кредитной истории
Носитель кредитной истории
Лицо, осуществляющее первоначальный сбор данных
Лицо, осуществляющее первоначальный сбор данных
Кредитное бюро
Кредитное бюро
Потребители услуг кредитного бюро
Потребители услуг кредитного бюро
Центральный Банк
Центральный Банк
Государство
Государство
Оценка риска, модель угроз, модель нарушителя, система мер, методы
Оценка риска, модель угроз, модель нарушителя, система мер, методы
Основные виды угроз безопасности ИС и информации
Основные виды угроз безопасности ИС и информации
Модель наиболее опасного нарушителя
Модель наиболее опасного нарушителя
Оценка риска
Оценка риска
Принципы построения системы мер защиты
Принципы построения системы мер защиты
Система мер (методы защиты) должна включать в себя:
Система мер (методы защиты) должна включать в себя:
В качестве примера можно привести перечень документов, которые
В качестве примера можно привести перечень документов, которые
Стоимость системы мер защиты
Стоимость системы мер защиты
Примерный перечень нормативных - правовых актов, регламентирующих
Примерный перечень нормативных - правовых актов, регламентирующих
Примерный перечень нормативных - правовых актов, регламентирующих
Примерный перечень нормативных - правовых актов, регламентирующих
Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии
Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии

Презентация: «Защита информации: камень преткновения для системы бюро кредитных историй». Автор: Vstepanov. Файл: «Защита информации: камень преткновения для системы бюро кредитных историй.ppt». Размер zip-архива: 72 КБ.

Защита информации: камень преткновения для системы бюро кредитных историй

содержание презентации «Защита информации: камень преткновения для системы бюро кредитных историй.ppt»
СлайдТекст
1 Защита информации: камень преткновения для системы бюро кредитных

Защита информации: камень преткновения для системы бюро кредитных

историй

Ази

Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии криптографии РФ Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н.

Защита информации в бюро кредитных историй

2 Темы доклада

Темы доклада

Примеры мировой практики нарушения режима информационной безопасности Идеология построения систем защиты информации Классификация объекта защиты Комплекс имущественных отношений, связанных с защитой объекта Оценка риска, модель угроз, модель нарушителя, система мер, методы защиты

Ази

Защита информации в бюро кредитных историй

3 Примеры мировой практики

Примеры мировой практики

28.10.03 - Федеральные органы США объявили о том, что у Experian (кредитное бюро) были похищены 43,000 кредитные истории. Похитил данные бывший сотрудник ИТ компании, которая разрабатывала программное обеспечение для кредитных бюро. Общий ущерб в результате хищения составил 10 млн. долларов.

Ази

Защита информации в бюро кредитных историй

4 Примеры мировой практики

Примеры мировой практики

16.03.04 - Equifax Canada Inc (кредитное бюро) объявило о том, что кредитные истории 1,400 граждан были похищены. 14.03.05 – LexisNexis объявила, что данные о 32, 000 жителей Америки были похищены. 13.06.05 – Citigroup объявил, что данные о 3,9 млн. вкладчиков, возможно, были украдены в процессе пересылки в кредитное бюро.

Ази

Защита информации в бюро кредитных историй

5 Примеры мировой практики

Примеры мировой практики

13.06.05 – Ezboard (финансовая компания) объявила, что подверглась массированной атаке, целью уничтожить данные о клиентах. В результате данные половины клиентов были уничтожены. 20.06.05 – Mastercard и Visa объявили, что данные о 40 млн. пользователей кредитных карт были похищены в результате хакерской атаки на системы CardSystems Solutions Inc

Ази

Защита информации в бюро кредитных историй

6 Идеология построения систем защиты информации

Идеология построения систем защиты информации

Ценности Угрозы Виды воздействий Оценка долгосрочных последствий Меры защиты Приемлемость остаточного риска

Ази

Защита информации в бюро кредитных историй

7 Базовый объект защиты -консолидированная совокупность

Базовый объект защиты -консолидированная совокупность

персонифицированных данных владельцев кредитных историй Вторичные объекты защиты – параметры бизнес-процессов кредитного бюро, параметры технической системы, параметры системы защиты информации, планы модернизации, планы предоставления новых услуг, данные личных дел сотрудников, алгоритмы скоринга

Классификация объекта защиты

Ази

Защита информации в бюро кредитных историй

8 Комплекс информационных отношений, связанных с защитой объекта

Комплекс информационных отношений, связанных с защитой объекта

Субъекты отношений: Субъект гражданского оборота (носитель кредитной истории) Лицо, осуществляющее первоначальный сбор данных о носителе кредитной истории Кредитное бюро Потребители услуг кредитного бюро Центральный Банк Государство

Ази

Защита информации в бюро кредитных историй

9 Носитель кредитной истории

Носитель кредитной истории

Заинтересован в том, чтобы его персональные данные обращались в режиме конфиденциальности

Ази

Защита информации в бюро кредитных историй

10 Лицо, осуществляющее первоначальный сбор данных

Лицо, осуществляющее первоначальный сбор данных

Заинтересовано в том, чтобы: все процедуры сбора и дальнейшей передачи были юридически выверены сбор, хранение и передача информации в кредитное бюро были технически реализованы в соответствии с нормативными требованиями и необходимым уровнем риска.

Ази

Защита информации в бюро кредитных историй

11 Кредитное бюро

Кредитное бюро

заинтересовано в том, чтобы: Размер и вид ответственности кредитного бюро за нарушение безопасности персональных данных были четко определены Требования к кредитным бюро по защите информации со стороны государственных органов были однозначны и устойчивы Лица, собирающие информацию, и потребители услуг кредитного бюро выполняли требования государства и кредитного бюро по защите информации

Ази

Защита информации в бюро кредитных историй

12 Потребители услуг кредитного бюро

Потребители услуг кредитного бюро

заинтересованы в том, чтобы они могли: Использовать персональные данные граждан на законных основаниях Требования по защите информации, предъявляемые к ним со стороны государства и кредитного бюро были четкими

Ази

Защита информации в бюро кредитных историй

13 Центральный Банк

Центральный Банк

Выполняя возложенные на него функции развития и укрепления банковской системы и используя имеющиеся полномочия, регулирует нормативными актами вопросы защиты персональных данных граждан

Ази

Защита информации в бюро кредитных историй

14 Государство

Государство

Заинтересовано в том, чтобы персональные данные граждан находились под защитой с этой целью государство предоставляет право специальным органам полномочия устанавливать правила обращения персональных данных граждан

Ази

Защита информации в бюро кредитных историй

15 Оценка риска, модель угроз, модель нарушителя, система мер, методы

Оценка риска, модель угроз, модель нарушителя, система мер, методы

защиты

Основными причинами ущерба от нарушения безопасности информации в кредитном бюро являются: - Нарушения конфиденциальности информации - Нарушения целостности информации Нарушения доступности информации Данные угрозы могут исходить от умышленных или неумышленных действий внутренних или внешних (по отношению к владельцу баз данных) лиц

Ази

Защита информации в бюро кредитных историй

16 Основные виды угроз безопасности ИС и информации

Основные виды угроз безопасности ИС и информации

Основными видами угроз безопасности ИС и информации (угроз интересам субъектов информационных отношений) являются: сбои и отказы оборудования (технических средств) информационных систем последствия ошибок проектирования и разработки компонентов информационных систем (аппаратных средств, технологии обработки информации, программ, структур данных) ошибки эксплуатации (пользователей, операторов и другого персонала) преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников) стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар)

Ази

Защита информации в бюро кредитных историй

17 Модель наиболее опасного нарушителя

Модель наиболее опасного нарушителя

Как показывает практика, наиболее потенциально опасными являются действия группы злоумышленников, в которой участвует сотрудник организации

Ази

Защита информации в бюро кредитных историй

18 Оценка риска

Оценка риска

Руководство кредитного бюро может попытаться измерить риск, например, оценить какова будет прямая (в том числе, имущественная) ответственность кредитного бюро в случае появления полной базы кредитных историй на рынке или какой будет косвенный ущерб бизнесу кредитного бюро в аналогичном случае. Или оценить риск, связанный с невозможностью предоставления услуг в случае неработоспособности программно-аппаратного комплекса

Ази

Защита информации в бюро кредитных историй

19 Принципы построения системы мер защиты

Принципы построения системы мер защиты

Система мер защиты информации (состав, стоимость) должна выстраиваться в зависимости от осознанного принятия руководством кредитного бюро рисков и в соответствии с требованиями законодательства.

Ази

Защита информации в бюро кредитных историй

20 Система мер (методы защиты) должна включать в себя:

Система мер (методы защиты) должна включать в себя:

Подсистему мер на административном уровне (поддержка руководством организации работ по обеспечению защиты информации) Подсистему мер на организационном уровне (встроенность процедур и правил по защите информации в бизнес – процессы организации) Подсистему мер на техническом уровне (реализация механизмов защиты программно-техническими средствами)

Ази

Защита информации в бюро кредитных историй

21 В качестве примера можно привести перечень документов, которые

В качестве примера можно привести перечень документов, которые

необходимо разработать и актуализировать для внедрения и поддержки системы мер на административном и организационном уровне: Политика информационной безопасности Концепция ИБ, корпоративная политика ИБ, частные политики ИБ Требования ИБ к процессам (кто, что, где, когда) Стандарты технологий, положения, порядки, регламенты на процедуры Требования ИБ к задачам, выполняемым работниками Конфигурационные стандарты, инструкции, отчетные формы, технологические карты Свидетельства выполненной деятельности Реестры, регистрационные журналы, протоколы, акты, договоры, отчеты

Ази

Защита информации в бюро кредитных историй

22 Стоимость системы мер защиты

Стоимость системы мер защиты

Обычно стоимость системы мер защиты информации в кредитных учреждениях составляет 10 процентов от ИТ бюджета. Так как, технологическая система кредитных бюро проще систем кредитных учреждений, а защита информации также важна, то можно предположить, что стоимость системы мер защиты в кредитных бюро может составить 20-30 процентов от ИТ бюджета кредитного бюро.

Ази

Защита информации в бюро кредитных историй

23 Примерный перечень нормативных - правовых актов, регламентирующих

Примерный перечень нормативных - правовых актов, регламентирующих

деятельность коммерческих банков в области информационной безопасности: Федеральный закон “Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-ФЗ. Гражданский кодекс РФ, ст.ст. 139, 857 Уголовный кодекс Российской Федерации Федеральный закон от 03.02.1996 г. № 17-ФЗ «О внесении изменений и дополнений в Закон РСФСР «О банках и банковской деятельности в РСФСР», ст. 26 («Банковская тайна»). Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ. Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2002 г. № 128-ФЗ. Постановление Правительства Российской Федерации от 27.08.2002 г. № 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Положение ЦБР от 16.12.2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Письмо ЦБ РФ от 03.02.2004 г. № 16-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет»; Письмо ЦБ РФ от 07.05.2003 г. № 70-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций»;

Ази

Защита информации в бюро кредитных историй

24 Примерный перечень нормативных - правовых актов, регламентирующих

Примерный перечень нормативных - правовых актов, регламентирующих

деятельность коммерческих банков в области информационной безопасности: Приказ ЦБ РФ от 03.04.1997 г. № 02-144 «О введении в действие временных требований по обеспечению безопасности технологий обработки электронных платёжных документов в системе Центрального Банка Российской Федерации»; Положение ЦБР от 20.12.2002 г. № 207-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»; «О государственном лицензировании деятельности в области защиты информации» (Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г.); «О сертификации средств защиты информации по требованиям безопасности информации» (Введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. Зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995г. (Свидетельство № Р0СС RU. 0001. 01БИ00)); Федеральный закон «О кредитных историях» от 30.10.2004 №218-ФЗ

Ази

Защита информации в бюро кредитных историй

25 Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии

Емельянов Г.В. Председатель совета АЗИ Член-корреспондент Академии

криптографии РФ www.azi.ru Степанов В.В. Генеральный директор ЗАО «АНДЭК», к.ю.н. www.andek.ru V.Stepanov@andek.ru

Спасибо за внимание!

Ази

Защита информации в бюро кредитных историй

«Защита информации: камень преткновения для системы бюро кредитных историй»
http://900igr.net/prezentacija/ekonomika/zaschita-informatsii-kamen-pretknovenija-dlja-sistemy-bjuro-kreditnykh-istorij-108146.html
cсылка на страницу
Урок

Экономика

125 тем
Слайды
900igr.net > Презентации по экономике > Кредит > Защита информации: камень преткновения для системы бюро кредитных историй