Файл: Система защиты информации в системах страхования (Правовое регулирование в сфере защиты информации в системах страхования).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 13.03.2024

Просмотров: 57

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

Защита информации. Понятие, история

1.1 Сущность систем защиты информации

1.2 Развитие средств и методов защиты информации

Особенности систем защиты информации в системах страхования

2.1 Правовое регулирование в сфере защиты информации в системах страхования

2.2 Основные характеристики систем защиты информации в системах страхования

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Известно, что вопросы обеспечения защиты и сохранности информации интересуют людей с давних времен. Параллельно с процессом эволюции человеческой цивилизации развивались и виды информации, равно как и способы ее защиты.

Формально процесс развития средств защиты информации возможно подразделить на три в некотором смысле самостоятельных периода (Рисунок 1) [15]. Основой данной классификации является развитие видов носителей информации.

Рисунок 1. Процесс развития методов и средств защиты информации

Начало первого периода можно отделить началом создания осмысленных и самостоятельных способов защиты информации. Данный период также можно связать с появлением возможности фиксирования сообщений, несущих информацию, на твердых носителях, иначе говоря – с изобретением письменности. Достоинства изобретения новых средств сохранения и передачи неоспоримы, но вместе с ними появились и проблемы, касающиеся сокрытия и защиты некоторой конфиденциальной информацией. Таким образом, почти в одно время с изобретением письменности, были изобретены и такие методы защиты информации, как шифрование и скрытие [15].

Следующим появившимся методом защиты информации можно назвать криптографию. Криптография представляет собой науку о математических методах обеспечения конфиденциальности и аутентичности данных. Криптография также является одной из старейших известных наук, ее история насчитывает несколько тысяч лет. Сведения о криптографии, пусть и под другими названиями, появлялись в древних документах таких цивилизаций, как Индия, Египет, Месопотамия. Так, одним из самых старинных шифрованных текстов является шифрованное послание из Месопотамии, существовавшей 2000 лет до нашей эры. Это послание являлось в виде глиняной таблички, которая содержит рецепт производства глазури в гончарном производстве, в котором были проигнорированы некоторые гласные и согласные и были употреблены числа вместо имен [4].

Следующий значительный этап в развитии криптографии произошел в начале XIX века, когда она обогатилась довольно значительным улучшением. Томас Джефферсон, служащий тогда в должности президента США, изобрел новый метод шифрования, который назвал «дисковым шаром». Суть данного шифра состояла в том, что применялось специальное устройство, которое позже было названо шифратором Джефферсона (Рисунок 2). Данный шифратор строился следующим образом: деревянный цилиндр необходимо было разрезать на определенное количество дисков (в то время – 36 штук). Готовые диски необходимо было насадить на одну общую ось таким образом, чтобы каждый из дисков мог независимо вращаться на данной оси. На каждом диске, на боковой поверхности следовало выписать две буквы английского алфавита в случайном порядке. Но необходимо было учитывать, чтобы порядок следования букв на каждом диске отличался от всех остальных. На поверхности цилиндра необходимо было выделить линию, параллельную его оси. При осуществлении шифрования открытый текст разбивался на группы по 36 знаков, после чего первая буква группы подлежала фиксации посредством положения первого диска по выделенной линии, вторая же буква фиксировалась положением второго диска и так далее. Таким образом, составлялся шифрованный текст, образующийся посредством фиксации последовательности букв с любой линии, которая была бы параллельна выделенной. Процесс расшифровки следовало производить на аналогичном шифраторе с обратным эффектом [2].

Рисунок 2. Шифратор Джефферсона

Начало XIX века

Начало второго периода в развитии средств шифрования и защиты информации можно охарактеризовать появлением технических и аппаратных средств обработки информации и передачи сообщений при помощи использования электрических сигналов и электромагнитных полей. Естественно, что с появлением подобных технологий начали также появляться и проблемы защиты передаваемой информации. Это было связано с наличием каналов утечки, в качестве которых можно назвать побочные излучения или наводки. Для того, чтобы обеспечить защиту и сохранность информации, передаваемой по телефонным и телеграммным каналам связи, появлялись все новые методы и средства шифрования информации в реальном времени.

Кроме того, в данный период развития средств защиты информации происходит активное развитие технических и аппаратных средств разведки, которые многократно увеличивают шанс осуществить продуктивный промышленный или государственный шпионаж. Данные явления приводили к глобальным потерям различных организаций, чем, в свою очередь, спровоцировали очередную волну научно–технического прогресса [8].

Несмотря на это, все6–таки наиболее продуктивный и заметный период в развитии средств защиты информации – третий. Его начало ознаменовано внедрение автоматизированных информационных систем обработки информации. В 60–х гг. прошлого века в западных государствах произошло начало появления большого количества открытых публикаций по различным вопросам защиты данных. Объяснить такое внимание к данной проблеме можно непрерывно возрастающими убытками различных организаций и государственных структур, понесенных вследствие преступлений в информационной и компьютерной сфера [6].

По сей день, несмотря на колоссальный прогресс в разработке средств защиты информации, материальные убытки организаций и государственных органов имеют место быть. Например, запущенный в глобальную сеть Интернет в мае 2000 г. вирус «I love you» вывел из строя более 5 миллионов компьютеров и нанес ущерб свыше 10 миллиардов долларов.

Особенности систем защиты информации в системах страхования

2.1 Правовое регулирование в сфере защиты информации в системах страхования

Принятый Федеральный закон от 27.07.2006 г. № 152 «О персональных данных» в явном виде установил требования по обеспечению безопасности в информационных системах, обрабатывающих персональные данные (ИСПДн), а также срок, до которого существующие ИСПДн должны быть приведены в соответствие с указанными требованиями. Под действие указанного закона попала деятельность различных предприятий и организаций в самых разнообразных областях экономики [1].

Страховые компании, чьи услуги в большой степени являются персонализированными и оказываются индивидуально гражданам – физическим лицам, одними из первых должны обеспечивать безопасность обрабатываемых персональных данных (ПДн) своих клиентов. Тем более что существует реальный риск нанесения ущерба операционной деятельности компании вследствие санкций регулятора, применяемых за неисполнение законодательства по защите персональных данных. Причем риск этот проявляется как в случае возникновения инцидентов с нарушением безопасности ПДн, так и в случае проведения проверки государственным регулятором выполнения требований Федерального закона № 152–ФЗ и выявления нарушений законодательства в данной сфере [1].

Организация защиты персональных данных в страховых системах имеет ряд особенностей, учет которых обеспечит не только выполнение требований указанного Федерального закона, но и поможет наиболее рационально использовать имеющиеся у компании ресурсы для создания системы защиты персональных данных. В информационных системах страховых компаний обрабатываются как персональные данные клиентов (страхователей, застрахованных лиц и выгодоприобретателей), так и персональные данные собственных сотрудников, акционеров, учредителей.

Правовым обоснованием обработки ПДн клиентов страховых компаний являются:

  1. Гражданский кодекс РФ, в том числе раздел III («Общая часть обязательственного права»), раздел IV («Отдельные виды обязательств»), глава 48 («Страхование»);
  2. Федеральный закон от 27.11.1992 г. № 4015–1 «Об организации страхового дела в РФ»;
  3. Федеральный закон от 28.07.1991 г. № 1499–1 «О медицинском страховании граждан в Российской Федерации»;
  4. Федеральный закон от 25.04.2002 г. № 40 ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств» [14].

Характерные особенности:

В соответствии с Федеральным законом № 152, хранение ПДн должно осуществляться не дольше, чем этого требуют цели их обработки, и ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Если речь идет о клиентах страховой компании, то их ПДн должны храниться не дольше, чем длятся взаимоотношения, связанные с их страхованием. Таким образом, необходимо учитывать, что ПДн должны храниться не только в течение действия договора, но и в течение срока исковой давности на случай предъявления претензий по договору [1].

Вопрос об условиях прекращения обработки персональных данных сотрудников страховой компании решается в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой РФ 6.10.2000 г.). Так, статья 339 указанного перечня устанавливает срок хранения личных карточек работников в течение 75 лет [13].

Важной особенностью обработки персональных данных в отрасли страхования жизни и здоровья граждан является тот факт, что в этом случае в информационной системе страховой компании может обрабатываться информация, попадающая в специальную категорию ПДн. Данное обстоятельство в значительной мере влияет на процедуру классификации такой ИСПДн и организацию ее системы защиты.

Статус информации как объекта правовой защиты регулируется несколькими федеральными законами. Среди них закон «Об информации, информационных технологиях и защите информации», Гражданский кодекс, закон «О защите персональных данных» и другие.

В деятельности страховой компании образуются следующие объекты информации:

  • коммерческая тайна самой страховой компании, данные о ее договорах, финансовых взаимоотношениях, бухгалтерская информация;
  • коммерческая тайна клиентов и партнеров организации, данные об их активах, имуществе, платежах, произошедших страховых событиях;
  • персональные данные сотрудников компании и сотрудников клиентов, эта информация иногда включает номера автомобилей, водительских удостоверений, кредитных карт;
  • медицинская тайна клиентов компании, пользующихся услугами добровольного медицинского страхования [7].

Все массивы информации содержатся как на бумажных, так и на электронных носителях. Эти данные могут стать объектом противоправного покушения, их сохранность требует принятия серьезных мер безопасности. Несанкционированный доступ к охраняемым законом сведениям является уголовным преступлением, предусмотренным статьей 272 Уголовного кодекса.

2.2 Основные характеристики систем защиты информации в системах страхования

Перечень угроз безопасности включает атаки как внешнего, так и внутреннего происхождения. Информационные базы данных, принадлежащие страховым компаниям, часто становятся объектами покушений хакеров. Частыми целями преступных посягательств являются клиентские базы данных, содержащие информацию о номерах телефонов, номерах автомобилей, медицинских историях. В ряде случаев злоумышленники, используя данные, похищенные у страховщиков, создавали сайты–клоны, применяемые для продажи недействительных полисов ОСАГО. В США в прошлом году преступниками была взломана система защиты одной из крупнейших страховых компаний, данные сотен тысяч клиентов оказались в открытом доступе [5].

Кроме того, не исключен риск заражения компьютерных систем компании различными вирусами, которые могут причинить существенный ущерб в виде:

  • блокировки доступа к важным файлам;
  • уничтожения файлов;
  • передачи информации третьим лицам [3].

Не всегда установленный антивирус будет надежной защитой от спланированной атаки. Кроме внешней угрозы проникновения в компьютерные сети страховой компании существуют и внутренние. Отдельные сотрудники могут намеренно похищать коммерческую информацию с целью ее распространения или передачи конкурентам.

Меры и средства защиты информации

Стандарты защиты информации в России предусмотрены ГОСТами. Кроме того, информационная безопасность страховой компании должна обеспечиваться целым комплексом мер, среди которых:

  • административные;
  • организационные;
  • технические.

Все они должны применяться совместно. Опираться система защиты должна на управление персоналом компании и контроль над ним. Меры технического характера не менее важны, но не могут существовать в отрыве от организационных мер.

Административные меры безопасности

Эти способы защиты включают в себя разработку внутренних нормативных документов, обеспечивающих информирование сотрудников о системе действий, необходимых для обеспечения информационной безопасности. Такие документы хранятся в открытом доступе, в страховой компании должно быть организовано ознакомление с ними персонала.

Служба безопасности страховой компании разрабатывает и предлагает на утверждение руководства политику защиты конфиденциальной информации. Этот локальный нормативный акт должен содержать:

  • основные принципы защиты конфиденциальной информации в компании;
  • обязанности каждого сотрудника в части защиты доверенных ему сведений;
  • задачи руководства по обеспечению охраны информации;
  • регламенты обращения с компьютерной техникой и средствами коммуникации;
  • меры ответственности за нарушение положений документа.

Кроме того, приложением ко всем трудовым договорам должен стать перечень информации, носящей характер коммерческой, а в самих договорах должны быть предусмотрены меры ответственности за ее разглашение [14].

Организационные меры безопасности

В большей степени они направлены на устранение внутренней угрозы утечки информации и мотивацию сотрудников на соблюдение утвержденных регламентов. Эти меры предпринимаются службой безопасности во взаимодействии с сотрудниками служб управления персоналом.

Смотрите также файлы