Защита персональных данных на примере Организации "ООО БАНК ИТУРУП""

Введение

В период цифровизации информационного общества возрастают риски, связанные с кражей и потерей персональных данных, особенно в банковской сфере. Банковские учреждения, которые обрабатывают личную и финансовую информацию клиентов, чаще становятся объектами хакерских атак. В числе крупнейших инцидентов, произошедших в 2017 году с утечкой персональных данных, стоит отметить случай с компанией Equifax. Одно из крупнейших в мире бюро кредитных историй сообщило о компрометации данных 147,9 миллионов своих клиентов, в том числе их имена, даты рождения, адреса и номера страховых полисов.
Драматические события политического и экономического характера, произошедшие в первой половине 2022 года, оказали влияние на масштабы утечек информации в мировом и российском масштабах. С началом особых военных действий со стороны РФ возросли вызовы в области кибербезопасности, которые стали более остро обозначены в контексте антироссийской агрессии и формирования новой многополярной реальности. Появился новый виток кибервойн, который сопровождается усилением охоты за персональными данными со стороны организованных киберпреступников. Уровень атак постоянно растет, цена утечки выросла, а обнаружение внутренних злоумышленников стало более важной задачей для служб безопасности компаний по всему миру.
В соответствии с данными аналитического центра группы компаний "InfoWatch", представленными в отчете "Глобальное исследование утечек конфиденциальной информации в I полугодии 2022 года", более 85% всех утечек составляют персональные данные (рисунок 1).

Рисунок 1 – Распределение утечек по типам данных
Доминирующим типом информации в структуре утечек остаются персональные данные (Рисунок 1). Тем не менее, их доля в первой половине 2022 года уменьшилась как в России, так и в мире из-за увеличения числа утечек коммерческих секретов в условиях интенсификации кибервойн по всему миру.
Таким образом, цель работы можно сформулировать как разработка научно-методологических подходов и практических рекомендаций по обеспечению защиты персональных данных банковской организации.
Предметом исследования являются теоретические и практические проблемы обеспечения защиты персональных данных банковской сферы.
Разработанный мною проект, в ходе работы над ВКР, защиты персональных данных на примере банка «ИТУРУП» отражает ряд выполненных задач:
– анализ рисков информационной безопасности банка «ИТУРУП»;
– разработка защитных мер по обеспечению защиты персональных данных банка «ИТУРУП»;
– разработка проектных решений для обеспечения информационной безопасности и защиты персональных данных банка «ИТУРУП»
– анализ отечественной и международной нормативно-правовой основы создания подобных систем для обеспечения информационной безопасности, и защиты персональных данных банка «ИТУРУП»;
– обоснование экономической эффективности проектаю
Центральным узлом проектируемой системы защиты персональных данных банка «ИТУРУП» является система мониторинга и аналитики MaxPatrol SIEM. Это программное решение для мониторинга активности пользователей, сетевого трафика и обнаружения аномалий, которые могут свидетельствовать о потенциальных угрозах и попытках похитить персональные данные.
В качестве практической значимости, выполненной ВКР, стоит отметить детально проработанный комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты персональных данных банка «ИТУРУП», а также рассмотренный контрольный пример проектируемых программно-аппаратных средств.
Таким образом, защита персональных данных становится критически важной задачей для банковской сферы, как ключевого участника экономического сектора. Исследования, направленные на повышение уровня защиты персональных данных, банка «ИТУРУП» в частности, находятся в центре внимания и являются крайне актуальными.

 
I. Аналитическая часть
1.1 Актуальность защиты персональных данных банковской сферы

В условиях быстрого развития цифровой экономики и цифровизации бизнес-процессов обеспечение кибербезопасности становится одним из ключевых аспектов. Многие исследователи подчеркивают актуальность проблемы обеспечения информационной безопасности персональных данных физических лиц и юридических лиц [10]. Эксперты отмечают, что эффективность кибербезопасности на 80% зависит от правильно настроенных процессов в организациях и лишь на 20% от применяемых технологий [15]. Существует ряд первостепенных причин и проблем, требующих решения, которые определяют необходимость обеспечения информационной безопасности и защиты законных интересов субъектов персональных данных, представлен на рисунке 1.1.1.
Важность защиты персональных данных стала актуальной после подписания и ратификации конвенции совета Европы о защите персональных данных [17].
В настоящее время действует регламент о защите персональных данных граждан Евросоюза (GDPR), аналогичный федеральному закону о персональных данных в России (Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных») [1].
В Российской Федерации защиту прав субъектов персональных данных осуществляет Роскомнадзор. Этот уполномоченный орган обеспечивает организацию и контроль соответствия обработки персональных данных всем законодательным актам в соответствии с п. 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции от 22.02.2017 № 16-ФЗ) и п. 1 «Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 № 228.

Рисунок 1.1.1 – Причины и проблемы организации защиты персональных данных
Роскомнадзор должен обеспечивать организацию и контроль со стороны государства за соответствием обработки персональных данных требованиям федерального закона и принятых в соответствии с ним всех нормативных правовых актов в сфере средств массовой информации, в том числе электронных и массовых коммуникаций, информационных технологий и связи [6].
Руководствуясь положениями ст. 22 Федерального закона «О персональных данных», Роскомнадзором разработана форма уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень установленных обязательных полей для заполнения, и соответствующие рекомендации по заполнению формы уведомления [1].

Рисунок 1.1.2 – Распределение объявлений по типу продаваемой информации
И в мире, и в России основной целью киберпреступников остаются персональные данные: 81% инцидентов связаны с ПДн в мире и 69% в России. Интересно, что доля украденных коммерческих тайн в России выше, чем в мире: 21% против 13% (рисунок 1.1.2). Вероятно, это связано с кибервойной, направленной против организаций, формирующих российскую экономику.
Две крупнейшие утечки данных по количеству скомпрометированных уникальных записей персональных данных в мире – это утечка из бразильской компании-разработчика платежного инструмента (66 миллионов записей) и утечка пользователей онлайн-сайта для взрослых (65 миллионов записей). В теневой Сети также встречаются небольшие базы данных, содержащие около 1000 записей.
Сравнительный анализ распределения утечек из объявлений в Дарквебе и общего количества утечек показывает, что в обоих случаях преобладают утечки персональных данных: 82,9% в общем распределении и 81% в распределении утечек в Дарквебе. На втором месте – утечки, связанные с кражей коммерческих тайн: 13,4% в общем распределении и 13% в Дарквебе. Доля утечек сведений, составляющих государственную тайну, в обоих источниках невелика – около 2%. Доля утечек платежной информации составляет 4% в мире согласно объявлениям, в Дарквебе, тогда как в общем распределении она составляет 1,5%. В России платежная информация встречается в 8% случаев объявлений о продаже или бесплатной передаче данных в Дарквебе, а в общем распределении это значение снижается до 0,7%. Исследование утечек данных в ДаркВебе показывает, что основная часть утечек относится к персональным данным. Проблема продажи украденных данных процветает, и правоохранительные органы борются с ней, однако закрытие крупнейших хакерских площадок не приносит значимых результатов.
 
1.1 Общая характеристика банка «ИТУРУП»
Банк «ИТУРУП» (ООО) был основан в 1993 году. Он был ориентирован прежде всего на обслуживание предприятий рыбной отрасли, топливно-энергетической, лесной, пищевой и перерабатывающей промышленности Сахалинской области. С 2019 года Банк расширил линейку своих продуктов и начал работать не только с юридическими лицами, но и с частными. Финансовая организация сделала ставку на предоставление высокотехнологичных банковских и финансовых услуг. На сегодняшний день сеть Банка «ИТУРУП» насчитывает восемь дополнительных офисов (30).
Финансовая организация предоставляет полный перечень услуг – кредитование физических и юридических лиц, услуги рефинансирования, вклады и сберегательные счета, расчетно-кассовое обслуживание, дистанционное банковское обслуживания и другие. Банк «ИТУРУП» является участником сервиса бесконтактных платежей «Mir Pay», разработанного национальной платёжной системой «Мир».
Банк «ИТУРУП» – банк-эмитент приоритетного проекта Сахалинской области «Единая карта сахалинца», оператор электронной системы учета в рамках реализации социального проекта «Сахалинское долголетие» Правительства Сахалинской области. С середины июня 2021 года Банк запустил дисконтную программу «Автобусная», по которые держатели карт «Мир» (Единая карта сахалинца, «Классическая», «Классическая (цифровая)»), оплачивают проезд на городских и пригородных автобусах со скидкой в 4 рубля (по МСС-коду 4131).
По состоянию на 1 февраля 2022 г. банк занимал 164 место в банковской системе России с размером активов 12,76 млрд. руб.
Целью функционирования банка «ИТУРУП» является широкий спектр банковских продуктов и услуг, включая депозиты, различные виды кредитования (потребительские кредиты, автокредиты и ипотеку), а также банковские карты, денежные переводы, банковское страхование и брокерские услуги.  
1.2 Анализ рисков информационной безопасности банковской сферы
Ходатайство на проведение анализа рисков информационной безопасности принимает непосредственно подразделение чей зоной ответственности является обеспечение информационной безопасности банка «ИТУРУП», а само решение на проведение этого анализа дает непосредственно руководитель организации. Для качественного проведения такого анализа нанимается опытная (с опытом проведения подобных видов услуг не менее 3 лет) компания, специализирующаяся на таких видах услуг. С периодичностью подобных проверок не менее 1 раз в 2 года или по целевому назначению на усмотрение банка «ИТУРУП».

1.2.1. Оценка уязвимостей активов
В ходе выполнения ВКР, проведенный анализ позволил систематизировать сведения о составе программных и программно-технических средств (ПТС) информационных, телекоммуникационных и вычислительных ресурсов объектов банка «ИТУРУП», которые представлены в таблице 5.
Таблица 5 – Сведения о составе программно-технических и программных средств объектов банка «ИТУРУП»
№
п/п Наименование Страна
бренда /
производства Масштаб
произво-дителя Категория
программного/программно-технического средства Известные уязвимости
1. Коммутатор рабочей группы Allied Telesis AT 9924 Япония/
Япония глобаль-ный активное сетевое оборудование CVE-2014-7249
2. Многофункциональный коммутатор рабочей группы Микролинк S5300 РФ/РФ региональ-ный не выявлено
3. Многофункциональный коммутатор рабочей группы Huawei S5300-28X-LI-24S Китай/Китай глобаль-ный не выявлено
4. Сервер HP Proliant 360 G5 США/Китай Сервер не выявлено
5. Операционная система (ОС) Linux РФ/РФ региональ-ный ОС BDU:2019-01016, BDU:2019-03345, BDU:2019-03379, BDU:2019-02442
6. СУБД Postgre SQL США/США глобаль-ный СУБД
7. ОС Windows 7 США/США ОС множест-венные уязвимости

Результаты анализа использования информационных технологий в банка «ИТУРУП» приведены в таблице 6.
Таблица 6 – Анализ использования информационных технологий в банка «ИТУРУП»
№
п/п Название информационной технологии Использование Примечание
1. Виртуализация Используется В сегменте обеспечения ЗИ
2. Беспроводная сеть Используется Требуется проведение информационного обследования на предмет невозможности подключения неучтенных беспроводных устройств к сетевой инфрасруктуре (проверка подсистемы управления доступом к сети)
3. Мобильные устройства Используются
4. Суперкомпьютер Используется ИИ
5. Веб-доступ Осуществляется загрузка данных на ftp-сервер
6. Голосовой ассистент Работа с клиентами
7. Удаленное администрирование Используется –
8. СХД –
9. Удаленный внеполосный доступ –
10. Почтовая служба Используется –
11. Большие данные –
12. RDP –
13. Одноразовые пароли –

Указанные в вышеприведенных таблицах сведения, позволяют определить наличие специфичных уязвимостей для перечисленных технологий в случае их использования в ИС.
Серверное и каналообразующее оборудование банка «ИТУРУП» располагается в закрытых серверных помещениях. Перечень сотрудников, имеющих доступ в серверные помещения, ограничен. АРМ пользователей банка «ИТУРУП» расположены на территории контролируемой зоны.
Подобная оценка должна проводиться с периодичностью подобных проверок не менее 1 раз в 2 года или по целевому назначению на усмотрение ответственного подразделения за обеспечение ИБ и руководителя банка «ИТУРУП».

1.2.2. Оценка угроз активам
Основные типы источников информации о состоянии ИБ банка «ИТУРУП»
Выделим следующие типы источников информации (Sn, n = 1, …, 4), используемые при проведении оперативного мониторинга ИБ банка «ИТУРУП», обуславливающие существование различных классов угроз:
– данные, обрабатываемые, передаваемые и хранимые в ИТКС банка «ИТУРУП» (S1);
– перечень используемых коммуникационных протоколов (S2);
– характеристики программных, аппаратных и программно-аппаратных комплексов, служб и сервисов банка «ИТУРУП» (S3) и отдельных сетевых объектов;
– характеристики пользователей ИТКС и особенностей их взаимодействия в ИТКС, а также в глобальной компьютерной сети (ГКС) Интернет (регламент работы, расписание и источники обновлений, типы серверов, особенности их взаимодействия и пр.) (S4).
Добывание информации о характеристиках ПТС ИТКС банка «ИТУРУП» предполагает использование методов эвристического, кластерного и дискриминантного анализа при вторичной обработке параметров сетевого трафика. В свою очередь, использование методов семантического, алгоритмического, сигнатурного, а также методов анализа иерархий (альтернатив) обеспечивает добывание оперативно-ценных данных о процессах в ИТКС банка «ИТУРУП» и отдельных подсистемах. Аналогично, методы контекстного и регрессионного анализа позволяют извлекать информацию о пользователях ИТКС банка «ИТУРУП» и специфике их работы.