Защита персональных данных АО «Альфа-Банк»

Большинство предприятий в настоящее время работают в результате взаимодействия ИС, ИТС и АСУ. В связи с этим необходима защита информации всех трех составляющих.
Обеспечение защиты персональных данных банка является непрерывным процессом, который предусматривает применение современных методов ИБ и нормативно-правовых актов РФ в области ИБ, позволяющих вести контроль внешней и внутренней среды предприятия, организовывать мероприятия по поддержке стабильного функционирования предприятия, а также минимизацию потерь, связанных с утечкой информации. Для осуществления системы защиты персональных данных банка должна быть создана СЗИ. Сегодня при повсеместном использовании информационных технологий любой организации необходимо четко спроектированная и построенная система информационной безопасности для бесперебойной работы.

ВВЕДЕНИЕ 4
I Аналитическая часть 7
1.1. Технико-экономическая характеристика предметной области и АО «АЛЬФА-БАНК». Анализ деятельности «КАК ЕСТЬ» 7
1.1.1. Характеристика АО «АЛЬФА-БАНК» и его деятельности 7
1.1.2. Организационная структура управления коммерческим банком 9
1.1.3. Программная и техническая архитектура ИС АО «АЛЬФА-БАНК» 12
1.2. Характеристика комплекса задач, задачи и обоснование необходимости защиты персональных данных 21
1.2.1. Выбор комплекса задач и характеристика существующих бизнес-процессов защиты персональных данных банка 21
1.2.2. Определение места проектируемой задачи в комплексе задач и ее описание 23
1.2.3. Обоснование необходимости использования вычислительной техники для решения задачи 24
1.2.4. Анализ системы обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК» 28
1.3. Анализ существующих разработок и выбор мер защиты персональных данных «КАК ДОЛЖНО БЫТЬ» 31
1.3.1. Анализ существующих разработок для защиты персональных данных 31
1.3.2. Выбор и обоснование стратегии задачи 44
1.3.3. Выбор и обоснование способа приобретения ИС для защиты персональных данных 46
1.4. Обоснование проектных решений по защите персональных данных АО «АЛЬФА-БАНК» 48
1.4.1. Обоснование проектных решений по информационному обеспечению 48
1.4.2. Обоснование проектных решений по программному обеспечению 68
1.4.3. Обоснование проектных решений по техническому обеспечению 77
Вывод по первой главе 84
II Проектная часть 85
2.1. Разработка проекта защиты персональных данных 85
2.1.1. Этапы жизненного цикла проекта защиты персональных данных АО «АЛЬФА-БАНК» 85
2.1.2. Ожидаемые риски на этапах жизненного цикла и их описание 89
2.1.3. Организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК» 93
2.2. Информационное обеспечение задачи 95
2.2.1. Информационная модель и её описание 95
2.2.2. Характеристика нормативно-справочной, входной и оперативной информации 96
2.2.3. Характеристика результатной информации АО «АЛЬФА-БАНК» 103
2.3. Программное обеспечение задачи 103
2.3.1. Общие положения (дерево функций и сценарий диалога) 103
2.3.2. Характеристика базы данных коммерческого банка 107
2.3.3. Структурная схема пакета (дерево вызова программных модулей) 108
2.3.4. Описание программных модулей ИС защиты персональных данных АО «АЛЬФА-БАНК» 110
2.4. Контрольный пример реализации проекта и его описание 110
Вывод по второй главе 118
III Обоснование экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК» 120
3.1. Выбор и обоснование методики расчёта экономической эффективности 120
3.2. Расчёт показателей экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК» 121
Выводы по третьей главе 127
ЗАКЛЮЧЕНИЕ 128
СПИСОК ЛИТЕРАТУРЫ 130
ПРИЛОЖЕНИЕ 134

Период изготовления: май 2022 года.
Предмет: Информационный менеджмент
Учебное заведение: Московский Открытый Институт.
Есть приложения.
Работа была успешно сдана - заказчик претензий не имел. ..

1. ФАУ «ГНИИИ ПТЗИ ФСТЭК России» - Банк данных угроз безопасности информации [Электронный ресурс] URL: https://bdu.fstec.ru/
2. Методический документ ФСТЭК «Методика определения угроз безопасности информации в информационных системах» [Электронный ресурс] /https://fstec.ru/component/attachments/download/812/ (дата обращения 18.03.2022)
3. Федеральный закон Российской Федерации от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [Электронный ресурс] /https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/285-zakony/1610-federalnyj-zakon-ot-26-iyulya-2017-g-n-187-fz/ (дата обращения 17.03.2022)
4. Постановление Правительства РФ от 26.06.2012 № 644 «О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов»
5. Постановление Правительства от 8 февраля 2018 г. N 127 (ред. от 13 апреля 2019 г.) «Об утверждении правил защиты персональных данных объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [Электронный ресурс] / https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/287-postanovleniya/1614-postanovlenie-pravitelstva-rossijskoj-federatsii-ot-8-fevralya-2018-g-n-127/ (дата обращения 17.03.2022)
6. Приказ ФСТЭК от 25 декабря 2017 г. N 239 (в ред. Приказа ФСТЭК России от 26 марта 2019 г. N 60) «Об утверждении требований по обеспечению безопасности персональных данных значимых объектов критической информационной инфраструктуры Российской Федерации» [Электронный ресурс] / https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239/ (дата обращения 17.03.2022)
7. Приказ ФСТЭК т 21 декабря 2017 г. N 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» [Электронный ресурс] / https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1589-/ (дата обращения 19.03.2022)
8. Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
9. Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»
10. ФСТЭК России. Информационное сообщение от 17.04.2020 № 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих защите персональных данных, и направления сведений о результатах присвоения объекту критической 81 информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
11. Методические рекомендации по защите персональных данных объектов критической информационной инфраструктуры сферы здравоохранения [Электронный ресурс]. - Режим доступа: URL: https://portal.egisz.rosminzdrav.ru/ (17.03.2022)
12. Методические рекомендации по определению объектов КИИ и категорий значимости объектов КИИ в медицинских учреждениях Департамента здравоохранения города Москвы [Электронный ресурс]. - Режим доступа: URL: https://niioz.ru/ (17.03.2022)
13. Базовая модель угроз безопасности информации в ключевых системах информационный инфраструктуры. Утверждена ФСТЭК России 18 мая 2007 г.
14. Временные требования к средствам антивирусной защиты. Утверждены ФСТЭК России 3 февраля 2012 г. УСТАРЕЛО!
15. ГОСТ P 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимости информационных систем. Росстандарт, 2015.
16. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Росстандарт, 2014.
17. Волкогонов В.Н. Актуальность автоматизированных систем управления / Волкогонов В.Н., Гельфанд А.М., Деревянко В.С. // В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). сборник научных статей VIII Международной научно-технической и научно-методической конференции: в 4 т. 2019. С. 262-266.
18. Гельфанд А.М. Организация концептуальной модели критической информационной инфраструктуры/ Гельфанд А.М., Лансере Н.Н., Ложкина А.А., Фадеев И.И. // Методы и технические средства обеспечения безопасности информации. 2020. № 29. С. 39-40.
19. Красов А.В., Косов Н.А., Холоденко В.Ю. Исследование методов провижининга безопасной сети на мультивендорном оборудовании с использованием средств автоматизированной конфигурации // Colloquium-journal. 2019. № 13-2 (37). С. 243-247
20. Косов Н.А., Гельфанд А.М., Лаптев А.А. Анализ темных данных для обеспечения устойчивости информационных систем от нарушения конфиденциальности или несанкционированных действий // Colloquium-journal. 2019. № 13-2 (37). С. 100-103.
21. Ландшафт угроз для систем промышленной автоматизации: второе полугодие 2018 / АО «Лаборатория Касперского», 2018. - Режим доступа: https: // ics - cert.kaspersky.ru / media / ICS _ REPORT _ H22018 _ FINAL _ RUS.pdf
22. Малюк, А.А. Основы политики безопасности критических систем информационной инфраструктуры: курс лекций / А. А. Малюк. - Москва : Горячая линия - Телеком, 2018. - 313 с
23. Максимова, Е.А. Оценка информационной безопасности субъекта критической информационной инфраструктуры при деструктивных воздействиях : монография / Е. А. Максимова ; Министерство науки и высшего образования Российской Федерации, Федеральное государственное автономное образовательное учреждение высшего образования «Волгоградский государственный университет». - Волгоград : Волгоградский государственный университет, 2020. – 93 с.
24. Соловьева, Е.А. Преступления, совершаемые в платежных системах : монография / Е. А. Соловьева ; под редакцией Н. А. Лопашенко. - Москва : Юрлитинформ, 2021. – 172 с.
25. Челухин, В.А. Информационная безопасность критической информационной инфраструктуры Российской Федерации / Владимир Алексеевич Челухин. - [Б. м.] Издательские решения, 2020. - 101 с.
26. Калькулятор стоимости защиты персональных данных «под ключ» [Электронный ресурс] / https://data-sec.ru/calculator/ (дата обращения 15.03.2022)