3 Модель поведения злоумышленника при совершении проникновения в помещение
Проникновение на
предприятие возможно по двум основным
путям – через главный вход в предприятие
и наружные окна. Двери предприятия
оснащены замками и тревожной сигнализацией,
срабатывающей при открытии или взломе
двери. Окна оснащены металлическими
решетками и тревожной сигнализацией.
Срабатывание сигнализации отражается
на пульте охраны, которая осуществляет
функцию обнаружения места проникновения
и удаления злоумышленника из помещений
предприятия. Пронумеровав все имеющиеся
помещения, составляем топологическую
модель предприятия в виде графа
,
который показан на Рисунке 3.
Рисунок 3 –
Топологическая модель помещения в виде
графа
Путь, выбираемый злоумышленником, зависит от многих условий, таких как цели проникновения, осведомленность злоумышленника о структуре предприятия и имеющихся средствах защиты, техническая оснащенность злоумышленника и т. п. В условиях неопределенности относительно выбора злоумышленника начала пути проникновения примем вероятности выбора того или иного направления действий равными.
1.4 Расчет вероятностей доступа к отдельным топологическим элементам
Описываем пути проникновения, защитные барьеры и вероятность их преодоления.
|
Комнаты |
Пути проникновения |
Средства защиты |
Барьеры |
Вероятности проникновения (Pi) |
|
К1 |
Д1 |
э/м замок броня |
Б1 Б2 |
0,05 0,1 |
|
О1 |
сигнализ. жалюзи |
Б3 Б4 |
0,2 0,1 | |
|
О2 |
сигнализ. жалюзи |
Б5 Б6 |
0,2 0,1 | |
|
К2 |
Д10 |
мех. Замок |
Б35 |
0,1 |
|
Д18 |
сигнализ. э/м замок |
Б27 Б28 |
0,2 0,05 | |
|
К3 |
Д11 |
мех. Замок |
Б29 |
0,1 |
|
К4 |
Д12 |
э/м замок броня |
Б30 Б31 |
0,05 0,2 |
|
К5 |
Д3 |
мех. Замок |
Б33 |
0,1 |
|
Д4 |
мех. Замок |
Б34 |
0,1 | |
|
К6 |
О3 |
сигнализ. решётка |
Б7 Б8 |
0,2 0,1 |
|
Д7 |
мех. Замок |
Б36 |
0,1 | |
|
К7 |
О4 |
сигнализ. решётка |
Б9 Б10 |
0,2 0,1 |
|
Д8 |
мех. Замок |
Б35 |
0,1 | |
|
К8 |
Д9 |
э/м замок броня |
Б36 Б37 |
0,05 0,2 |
|
К9 |
Д5 |
мех. Замок |
Б44 |
0,1 |
|
К10 |
Д16 |
мех. Замок |
Б42 |
0,1 |
|
О10 |
сигнализ. решётка |
Б21 Б22 |
0,2 0,1 | |
|
К11 |
Д15 |
мех. Замок |
Б41 |
0,1 |
|
О9 |
сигнализ. решётка |
Б19 Б20 |
0,2 0,1 | |
|
К12 |
Д17 |
мех. Замок |
Б43 |
0,1 |
|
О11 |
сигнализ. решётка |
Б23 Б24 |
0,2 0,1 | |
|
О12 |
сигнализ. решётка |
Б25 Б26 |
0,2 0,1 | |
|
К13 |
Д6 |
мех. Замок |
Б40 |
0,1 |
|
К14 |
Д14 |
мех. Замок |
Б39 |
0,1 |
|
О8 |
сигнализ. решётка |
Б17 Б18 |
0,2 0,1 | |
|
К15 |
Д13 |
мех. Замок |
Б38 |
0,1 |
|
О5 |
сигнализ. решётка |
Б11 Б12 |
0,2 0,1 | |
|
О6 |
сигнализ. решётка |
Б13 Б14 |
0,2 0,1 | |
|
О7 |
сигнализ. решётка |
Б15 Б16 |
0,2 0,1 |
Заменим значения
элементов матрицы смежности вершин
графа
на значения переходных вероятностей:
–вероятность
удаления злоумышленника из i-го
охраняемого помещения в неохраняемое
пространство;
–вероятность
преодоления барьера злоумышленником
при переходе из i-го
помещения в j-е
(при условии, что преступник не был до
сих пор схвачен);
Для расчета
переходных вероятностей используются
следующие параметры систем защиты:
–
интенсивность событий удаления
злоумышленника из охраняемых помещений;
– интенсивность событий преодоления
злоумышленником защитного барьера.
Период времени, в течение которого злоумышленником может быть совершено не более одного перехода из одного помещения в другое определяется исходя из выражения
,
(1)
где
- сумма интенсивностей всех событий в
системе.
Составим матрицу смежности (Таблица 6).
Таблица 6 – Матрица смежности
Решая систему уравнений Колмогорова-Чепмена для дискретного времени, определяются финальные вероятности нахождения преступника в различных состояниях, то есть в различных комнатах помещения:
Выводим несколько шагов для контроля
Графики зависимости вероятностей доступа в отдельные помещения объекта от времени, начиная от момента начала атаки, приведены на Рисунке 4. График изменения защищенности объекта в зависимости от времени, прошедшего от момента начала атаки приведен на Рисунке 5.
Рисунок 4 – График изменения вероятностей доступа в отдельные помещения кафедры в зависимости от времени
Вывод
ПЕРЕЧЕНЬ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ (СЛУЖЕБНУЮ) ТАЙНУ
Банк гарантирует тайну об операциях, о счетах и вкладах своих
клиентов и корреспондентов, сведений о своих клиентах и корреспондентах, а также тайну иной информации, установленной настоящим Положением.
Сведениями, составляющими банковскую тайну, являются сведения:
О счетах клиентов любого вида: расчетном, текущем, бюджетном,
валютном, депозитном, корреспондентском и т.п.;
О внутрибанковских счетах, на которых отражаются операции
клиентов;
О наличии или отсутствии счетов, об остатках денежных средств на
счетах, об открытии, закрытии, переоформлении, переводе счетов в другой банк
Об операциях по счету: зачислениях, поступающих на счет клиента
денежных средств, выполнение его распоряжений о перечислении
соответствующих сумм или их выдаче, о совершении для клиента других
операций, предусмотренных для счетов данного вида законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота, на условиях, предусмотренных договором
банковского счета;
О любых видах вкладов: срочных, до востребования, в пользу
третьих лиц;
О межбанковских операциях: привлечение и размещение друг у
друга средств в форме депозитов, кредитов, размещение средств через
расчетные центры, совершение других взаимных операций, предусмотренных лицензиями.
Сведения о клиентах и деловых партнерах Банка:
а) для физических лиц: паспортные данные, сведения о внесении третьими лицами денежных средств на счет владельца, данные о наличии или отсутствии сберегательных книжек и сертификатов, данные о наличии или отсутствии счетов по вкладу, данные о депозитарных операциях, алиментные и иные обязательства клиента и т.п.;
б) для юридических лиц: все сведения, хранящиеся в юридическом деле
клиента, в т.ч. документы по государственной регистрации, учредительные документы, сведения по постановке на учет в налоговых и иных государственных органах, сведения, содержащиеся в представленном клиентом технико-экономическом обосновании потребности в кредите и способности его возвратить
Любые другие сведения о клиентах, ставшие известными банку в
процессе осуществления им банковских операций и иных сделок,
предусмотренных ст. 5 Закона РФ «О банках и банковской деятельности».
настоящего
Положения может быть изменен в соответствии с Законами Российской Федерации.
Другие сведения, не отнесенные к сведениям, составляющим банковскую тайну, могут быть внутренними документами банка отнесены к информации, составляющей коммерческую тайну.
Сведения, составляющие коммерческую тайну.
Сведениями, составляющим коммерческую тайну Банка, являются:
сведения о фактах, ходе, предметах и результатах ведения
коммерческих переговоров, формах, содержании и условиях заключения
коммерческих сделок и договоров;
маркетинговая деятельность (результаты финансово-
экономических анализов и прогнозов);
предметы и цели совещаний и заседаний, проводимых в Банке;
материалы ревизий и проверок деятельности Банка;
базы данных, компьютерные программы, коды, процедуры доступа к
информационным ресурсам;
сведения об организации системы защиты информационных
технологий, о применяемых в Банке аппаратных и программных средствах
защиты информации в автоматизированных системах;
сведения, характеризующие фактическое и планируемое
экономическое состояние Банка, его платежеспособность;
вопросы банковской политики;
сведения о технической укрепленности и системе охраны Банка;
места, размеры и порядок хранения запасов банковских билетов
(банкнот) и монет, валюты, ценных бумаг и других ценностей; 7
маршруты и графики заездов инкассаторов в Банк;
данные персонального учета работников Банка;
сведения об условиях оплаты труда работников Банка.
Банк гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит Федеральному закону «О банках и банковской деятельности».
Справки по операциям и счетам юридических лиц и граждан,
осуществляющих предпринимательскую деятельность без образования
юридического лица, выдаются Банком им самим, судам и арбитражным судам, Счетной палате Российской Федерации, налоговым органам,
федеральному органу исполнительной власти в области финансовых рынков,
Пенсионному фонду Российской Федерации, Фонду социального страхования
Российской Федерации и органам принудительного исполнения судебных актов, актов других органов и должностных лиц в случаях, предусмотренных
законодательными актами об их деятельности, а при наличии согласия
руководителя следственного органа - органам предварительного следствия по
делам, находящимся в их производстве. В соответствии с законодательством Российской Федерации справки по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, выдаются кредитной организацией органам внутренних дел при осуществлении ими функций по выявлению, предупреждению и пресечению налоговых преступлений.
Справки по счетам и вкладам физических лиц выдаются Банком им самим, судам, органам принудительного исполнения судебных актов, актов других органов и должностных лиц, организации, осуществляющей функции по обязательному страхованию вкладов, при наступлении страховых случаев,
предусмотренных федеральным законом о страховании вкладов физических лиц в банках Российской Федерации, а при наличии согласия руководителя
следственного органа - органам предварительного следствия по делам,
находящимся в их производстве. Справки по операциям, счетам и вкладам физических лиц выдаются Банком руководителям (должностным лицам) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, и высшим должностным лицам субъектов Российской Федерации (руководителям высших исполнительных органов государственной власти субъектов Российской Федерации) при наличии запроса, направленного в порядке, определяемом Президентом Российской Федерации, в случае проверки в соответствии с Федеральным законом "О противодействии коррупции" сведений о доходах, об имуществе и обязательствах имущественного характера:
1) граждан, претендующих на замещение государственных должностей
Российской Федерации, если федеральным конституционным законом или федеральным законом не установлен иной порядок проверки указанных
сведений;
2) граждан, претендующих на замещение должности судьи;
3) граждан, претендующих на замещение государственных должностей
субъектов Российской Федерации, должностей глав муниципальных образований, муниципальных должностей, замещаемых на постоянной основе;
4) граждан, претендующих на замещение должностей федеральной
государственной службы, должностей государственной гражданской службы субъектов Российской Федерации, должностей муниципальной службы;
5) граждан, претендующих на замещение должностей руководителя
(единоличного исполнительного органа), заместителей руководителя, членов правления (коллегиального исполнительного органа), исполнение обязанностей по которым осуществляется на постоянной основе, в государственной корпорации, Пенсионном фонде Российской Федерации, Фонде социального страхования Российской Федерации, Федеральном фонде обязательного медицинского страхования, иных организациях, создаваемых Российской
Федерацией на основании федеральных законов;
6) граждан, претендующих на замещение отдельных должностей на основании трудового договора в организациях, создаваемых для выполнения задач, поставленных перед федеральными государственными органами;
7) лиц, замещающих должности, указанные в пунктах 1 - 6 настоящей части; 9
8) супруг (супругов) и несовершеннолетних детей граждан и лиц, указанных впунктах 1 - 7 настоящей части.
4.5. Справки по счетам и вкладам в случае смерти их владельцев выдаются
Банком лицам, указанным владельцем счета или вклада в сделанном кредитной организации завещательном распоряжении, нотариальным конторам по находящимся в их производстве наследственным делам о вкладах умерших вкладчиков, а в отношении счетов иностранных граждан - консульским учреждениям иностранных государств.
Информация об операциях, о счетах и вкладах юридических лиц, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, и физических лиц представляется Банком в уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, в случаях, порядке и объеме, которые предусмотрены Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
4.6. Документы и информация, связанные с проведением валютных операций, открытием и ведением счетов и предусмотренные Федеральным законом "О валютном регулировании и валютном контроле", представляются Банком в орган валютного контроля, уполномоченный Правительством Российской Федерации, налоговые органы и таможенные органы как агентам валютного контроля в случаях, порядке и объеме, которые предусмотрены указанным Федеральным законом.
Положения настоящей статьи распространяются на сведения об операциях клиентов кредитных организаций, осуществляемых банковскими платежными агентами (субагентами).
Положения настоящей статьи распространяются также на сведения об остатках электронных денежных средств клиентов кредитных организаций и сведения о переводах электронных денежных средств кредитными организациями по распоряжению их клиентов. Документы и сведения, которые содержат банковскую тайну юридических лиц и
граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, предоставляются Банком таможенным органам
Перечень сведений, составляющих коммерческую тайну Банка, может быть
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
При обработке персональных данных Банк выполняет следующие требования, установленные правительством РФ с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных:
▪ уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
▪ требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
▪ требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
▪ требования к защите персональных данных при их обработке без использования средств автоматизации.
Для обеспечения безопасности обработки персональных данных Банк принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Банк и третьи лица, обладающие правом доступа к персональным данным в рамках исполнения заключенных. Банком договоров, обеспечивают конфиденциальность персональных данных путем реализации комплекса организационных и технических мероприятий по защите персональных данных, включающем в себя, в том числе:
▪ определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
▪ применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
▪ ознакомление работников Банка и третьих лиц, обладающих правом доступа к персональным данным
в рамках исполнения заключенных Банком договоров, с внутри банковскими документами, регламентирующими обеспечение безопасности при обработке персональных данных.
▪ учет работников Банка, обладающих правом доступа к персональным данным в рамках выполнения должностных обязанностей
▪ учет третьих лиц, обладающих правом доступа к персональным данным в рамках исполнения заключенных Банком договоров
▪ учет материальных носителей персональных данных;
▪ контроль доступа в помещения, в которых обрабатываются персональные данные;
▪ применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
▪ оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
▪ учет применяемых средств защиты информации;
▪ документирование функционирования средств защиты информации
▪ контроль соблюдения условий и правил применения средств защиты информации, предусмотренных эксплуатационной и технической документацией;
▪ обучение работников Банка, использующих средства защиты информации, применяемых в информационных системах персональных данных, правилам работы с ними;
▪ обнаружение фактов / попыток несанкционированного доступа к персональным данным и принятие соответствующих мер;
▪ восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
▪ установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
▪ контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Детальный порядок и правила:
▪ уничтожения персональных данных
▪ хранения материальных носителей персональных данных
▪ доступа в помещения, в которых обрабатываются персональные данные
устанавливаются отдельными внутрибанковскими документами.
Получение согласия субъекта персональных данных на обработку персональных данных.
Банк получает письменное согласие субъекта на обработку его персональных данных за исключением следующих случаев:
▪ Обработка персональных данных осуществляется на основании отдельного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов персональных
данных, персональные данные которых подлежат обработке, а также определяющего полномочия.
Банка как оператора персональных данных;
▪ Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
▪ Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных. Согласие на обработку персональных данных клиентов – физических лиц содержит:
▪ информацию о конкретной цели обработки персональных данных
▪ информацию об источнике получения персональных данных
▪ сроки обработки персональных данных
▪ перечень действий с персональными данными, которые будут совершаться в процессе их обработки
▪ общее описание используемых Банком способов обработки персональных данных
▪ поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных.
Согласие на обработку персональных данных может включаться в текст шаблонов документов, используемых в Банке и содержащих персональные данные в виде унифицированного текста.
При осуществлении сделок с клиентами – юридическими лицами Банк получает персональные данные не от субъекта персональных данных, а от стороны сделки, являющейся в свою очередь оператором персональных
данных. Обязанность предоставления информации субъекту персональных данных возлагается Банком на данного клиента на основании соответствующего договора. Также в договоре предусматривается, что
обязанностью корпоративного клиента является соблюдение Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года, в том числе в части обработки персональных данных физических
лиц и получения от них согласия на обработку персональных данных.
6.2. Обработка обращений и запросов субъектов персональных данных
В соответствии с ФЗ «О персональных данных» субъект персональных данных имеет право:
▪ получать сведения о Банке как операторе персональных данных, о месте нахождения Банка;
▪ получать сведения о наличии у Банка персональных данных, относящиеся к соответствующему субъекту персональных данных;
▪ ознакомляться с персональными данными, находящимися у Банка за исключением случаев, установленных ФЗ «О персональных данных»;
▪ требовать уточнения собственных персональных данных, обрабатываемых Банком, если таковые являются неполными / устаревшими / недостоверными;
▪ требовать блокирования или уничтожения персональных данных, обрабатываемых Банком, если таковые являются неполными / устаревшими / недостоверными / незаконно полученными или не являются необходимыми для заявленной цели обработки;
▪ отозвать согласие на обработку персональных данных Банком в письменном виде
▪ принимать предусмотренные законом меры по защите своих прав и законных интересов, в том числе:
обжалование действия или бездействие Банка в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке,
возмещение убытков и / или компенсацию морального вреда в судебном порядке.
Детальный порядок обработки и учета обращений субъектов персональных данных / их законных представителей, а также форма и сроки предоставления сведений и информирования субъектов персональных / их законных представителей данных устанавливаются отдельными внутри банковскими документами.
Субъект персональных данных / законный представитель субъекта персональных данных вправе направить в банк повторный запрос в целях получения сведений и ознакомления с персональными данными субъекта
персональных данных не ранее чем через тридцать дней после направления первоначального запроса. Субъект персональных данных / законный представитель субъекта персональных данных вправе направить в
Банк повторный запрос в целях получения сведений и ознакомления с обрабатываемыми персональными данными субъекта персональных данных до истечения тридцатидневного срока, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать в том числе обоснование его направления. Сведения об обработке персональных данных субъекта персональных данных предоставляются субъекту персональных данных / законному представителю субъекта персональных данных на основании запроса, содержащего:
▪ реквизиты документа, удостоверяющего личность субъекта персональных данных;
▪ реквизиты документа законного представителя субъекта персональных данных в случае направления запроса последним;
▪ сведения о номере и дате договора, заключенного с Банком либо иные сведения, подтверждающие факт обработки персональных данных субъекта персональных данных Банком;
▪ собственноручную подпись субъекта персональных данных / законного представителя субъекта персональных данных.
Вышеуказанный запрос принимается от законного представителя субъекта персональных данных при предоставлении оригинала документа, подтверждающего его полномочия на запросы сведений об обработке
персональных данных субъекта персональных данных. Запрос об обработке персональных данных направляется на бланке установленного Банком образца при личном обращении субъекта / его законного представителя,
Сведения об обработке персональных данных субъекта персональных данных предоставляются в письменном виде в форме, установленной Банком.
Сведения об обработке персональных данных предоставляются законному представителю субъекта персональных данных при предоставлении оригинала документа, подтверждающего его полномочия на
получение сведений об обработке персональных данных.
Внесение изменений (уточнение) персональных данных в связи с тем, что, по мнению субъекта персональных данных, имеющиеся у Банка его персональные данные являются неполными / устаревшими / недостоверными, осуществляется на основании запроса субъекта / законного представителя субъекта персональных данных, оформленного с соблюдением вышеуказанных требований с указанием актуальных персональных данных и приложением доказательств их действительности. При отсутствии таких
доказательств Банк оставляет персональные данные субъекта в неизменном виде.
Уничтожение персональных данных в связи с тем, что, по мнению, субъекта имеющиеся у Банка персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, осуществляется на основании запроса субъекта персональных данных / его законного представителя, оформленного с соблюдением вышеуказанных требований и приложением доказательств неправомерности использования персональных данных. При отсутствии таких доказательств Банк оставляет персональные данные в неизменном виде.
Сведения об уничтожении персональных данных направляются субъекту персональных данных / законному представителя субъекта персональных данных виде в форме установленной Банком.
Сведения об уничтожении персональных данных предоставляются законному представителю субъекта персональных данных при предоставлении оригинала документа, подтверждающего его полномочия на получение сведений об обработке персональных данных.
В случае невозможности удовлетворить запрос субъекта / представителя, Банк предоставляет субъекту мотивированный отказ на запрос.
Отзыв согласия на обработку персональных данных осуществляется на основании запроса субъекта персональных данных / законного представителя субъекта, содержащего:
▪ реквизиты документа, удостоверяющего личность субъекта персональных данных;
▪ реквизиты документа законного представителя субъекта персональных данных в случае направления запроса последним;
▪ сведения о номере и дате договора, заключенного с Банком либо иные сведения, подтверждающие факт обработки персональных данных субъекта персональных данных Банком;
▪ собственноручную подпись субъекта персональных данных / законного представителя субъекта персональных данных.
Вышеуказанный запрос принимается от законного представителя субъекта персональных данных при предоставлении оригинала (или нотариально заверенной копии в случае направления документов по почте)
документа, подтверждающего его полномочия на отзыв согласия на обработку персональных данных субъекта персональных данных.
Запрос об обработке персональных данных может быть направлен:
▪ в простой письменной форме / на бланке установленного Банком образца при личном обращении субъекта / его законного представителя;
▪ в простой письменной форме / на бланке установленного Банком образца с использованием почтовой связи.
В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных банк прекращает обработку персональных данных и уничтожает персональные данные, если иное не предусмотрено соглашением между банком и субъектом персональных данных и / или действующими нормативно – правовыми актами.
Банк принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы, об изменениях, произведенных с такими персональными данными.
Внутренний контроль обработки персональных данных
Внутренний контроль обработки персональных данных в Банке осуществляется в целях мониторинга и оценки фактического состояния защищенности персональных данных, своевременного реагирования на
нарушения установленного порядка их обработки, а также в целях совершенствования процесса обработки и обеспечения безопасности персональных данных.
Мероприятия внутреннего контроля обработки и обеспечения безопасности персональных данных направлены на решение следующих задач:
▪ Обеспечение соблюдения работниками Банка требований настоящей Политики и прочих внутри банковских документов, регулирующих обработку и защиту персональных данных.
▪ Обеспечение работоспособности и эффективности технических средств информационных систем, в которых обрабатываются персональные данные и средств защиты персональных данных, их соответствия требованиям надзорных органов.
Решение вышеуказанных задач достигается за счет:
▪ Выявления нарушений установленного порядка обработки персональных данных и своевременное
предотвращение негативных последствий таких нарушений.
▪ Оценки компетентности работников, задействованных в обработке персональных данных.
▪ Принятия корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки персональных данных, так и в работе технических средств информационных систем, в которых обрабатываются персональные данные.
▪ Разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности персональных данных по результатам контрольных мероприятий.
▪ Осуществления контроля исполнения рекомендаций и указаний по устранению нарушений. Отв. за организацию обработки персональных данных на периодической основе организует проведение внутреннего контроля соблюдения порядка обработки и обеспечения безопасности персональных данных. Контроль обеспечения безопасности персональных данных включает в себя в том числе:
▪ Проведение проверок деятельности работниками Банка, допущенных к работе с персональными данными в ИСПДн, на соответствие порядку обработки и обеспечения безопасности персональных
данных, установленному:
настоящей Политикой
Стандартом
прочими внутри банковскими документами, регламентирующими обработку персональных данных.
ФЗ «О персональных данных» и прочими нормативными правовыми актами;
▪ Проведение проверок состояния защищенности персональных данных, обрабатываемых в информационных системах, включая проверку доступов пользователей к персональным данным, выполнение требований по защите ИСПДн, корректности работы системы защиты персональных данных;
▪ Проведение проверок состояния защищенности персональных данных, обрабатываемых без использования средств автоматизации, и условий хранения материальных носителей персональных данных.
Нарушение порядка обработки персональных данных является Инцидентом ИБ, фиксируется и расследуется в установленном порядке.
Восстановление персональных данных и процесса их обработки, нарушенных по причине нештатных ситуаций, регламентируется банковским порядком обеспечения непрерывности и восстановления деятельности.
СИСТЕМА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ НА ОБЪЕКТ
Сегодня банкам угрожают гораздо более изощреннее, с использованием последних достижений науки и техники. В настоящее время в сообществе сложились типовые объекты безопасности банка:
Персонал (руководство, ответственные исполнителя, сотрудники);
Финансовые средства, материальные ценности, новейшие технологии;
Информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).
В связи с эти комплексная система безопасности банка является неотъемлемой частью общей безопасности всей организации.В состав системы безопасности входят следующие системы:
система видеонаблюдения банка
система контроля и ограничения доступа
система охранно-пожарной сигнализации и оповещения о пожаре
инженерно-техническая защита объекта
система специальной связи и передачи информации службы безопасности
ситемы автоматического пожаротушения
Видеонаблюдения банка
Правильно построенная система видеонаблюдения банка обеспечивает эффективное решение задач визуального контроля ситуации на объекте,регистрации событий, последующий анализ и обработка видеоинформации в интересах различных служб .Систему видеонаблюдения можно разложить на два компонента:
контроль внутренней и прилегающей территорий-позволяет оценить обстановку во входной зоне и принять решение о допуске посетителей и транспортных средств, дублирование системы охранной сигнализации.
контроль внутренних помещений банка : кассовых узлов,клиентских залов,кладовых,предкладовых, денежного хранилища позволяет сотрудникам службы безопасности банка контролировать работу персонала и дейсвия клиентов.Совместно с системой контроля доступа видеонаблюдение внутри организации позволяет синхронизировать события доступа и является дополнительной информационной базой.
Для повышения эффективности интегрированной системы безопасности банка системы видеонаблюдения последнего поколения широко используются цифровые технологии. Это не только видеозапись на жесткие носители, но и возможность для оператора по каждому из каналов видеонаблюдения задать индивидуальные настройки зон обнаружения движения, чувствительность детектора движения, степень детализации изображения при записи и так далее.
Поддержка сетевых решений в цифровых системах видеонаблюдения позволяет организовать доступ к видеоинформации с удаленных рабочих мест всем сотрудникам, кому это необходимо по служебной и производственной деятельности. При этом для каждого пользователя уровень доступа к системе будет определяться в соответствии с его рангом и обязанностями.
Удаленный доступ позволяет оператору с одного рабочего места контролировать ситуацию на территориально разнесенных объектах, что в значительной мере повышает эффективность системы видеонаблюдения.
В настоящее время можно выделить несколько основных задач, решаемых с помощью систем охранного телевидения при охране объектов:
общее наблюдение за обстановкой;
обнаружение появившихся в поле зрения телекамер людей, автомашин, животных, предметов и т.п.;
идентификация обнаруженных образов (объектов контроля).
Кроме того, в зависимости от назначения, выполняемых функций и сложности решаемых задач, системы охранного телевидения могут обеспечить создание различных контролируемых зон на объекте:
зоны видеонаблюдения - это зоны объекта, в которых оператор, используя один-два видеомонитора, осуществляет простое наблюдение обстановки на различных участках (фрагментах и т.п.) объекта с помощью нескольких телекамер, коммутаторов и квадраторов;
зоны видеоконтроля - это зоны объекта, видеоинформация из которых автоматически (без участия оператора) фиксируется на специальное видеорегистрирующее устройство и может воспроизводиться для ретроспективного контроля видеообстановки на охраняемом объекте;
зоны видеоохраны - это зоны объекта, в которых осуществляется видеонаблюдение и/или видеоконтроль и автоматическое обнаружение нарушителя или другого явления при изменении изображения ("картинки") на видеомониторе в контролируемой зоне. При этом выдается сигнал тревоги с помощью внутренних и/или внешних оповещателей;
зоны видеозащиты - зоны объекта, которые, в первую очередь, оборудованы многокамерными системами видеонаблюдения, видеоконтроля и видеоохраны, управляемыми многофункциональными, программируемыми матричными коммутаторами, мультиплексорами, компьютерами и контроллерами со специальными программами охраны объектов и включенными в интегрированный комплекс охраны объекта, содержащий еще различные средства охранной сигнализации, устройства контроля доступа, несколько постов наблюдения, посты охраны с персоналом немедленного реагирования, при этом все составные части комплекса взаимосвязаны и позволяют с помощью мультиплексоров и компьютеров рационально распределять тревожную информацию (например, включать по сигналу тревоги видеонаблюдение несколькими телекамерами в разных ракурсах, включать дополнительную подсветку и т.п.).