Безопасность сетей

    0f1a9e67   

Вопросы конфиденциальности личной информации - часть 6


Раздел 502 запрещает финансовым организациям раскрывать частную информацию о клиенте, за исключением случая взлома систем организации, а также предписывает обеспечить для клиента возможность отказа от использования его личной информации.

В дополнение к вопросам конфиденциальности от финансовых институтов также требуется защита записей о клиенте от несанкционированного доступа. Данным вопросом занимались учреждения финансового надзора (Управление по контролю денежного обращения, Федеральная резервная система, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными учреждениями), которые издали совместное положение, содержащее конкретные требования. Этот документ называется "Межведомственные руководящие указания установленных стандартов по безопасности информации о клиентах" и доступен по адресу http://www.ffiec.gov/exam/InfoBase/documents/02-joi-safeguard_customer_info_final_rule-010201.pdf.

Требования безопасности

Руководящие указания устанавливают требования к программе безопасности финансовых организаций в целом. Они включают следующее.

  • Программа информационной безопасности. Каждая организация должна ввести в действие всестороннюю программу информационной безопасности, которая включает административные, технические и физические меры безопасности.
  • Вовлечение руководства. Руководство организации должно одобрить программу и наблюдать за ее развитием, выполнением и непрерывным техническим обслуживанием.
  • Оценка риска. Каждая организация должна проводить периодические оценки риска, выявляющие угрозы и уязвимые места.

Руководство и управление риском

Используя разработанную программу безопасности, организация руководит и управляет риском через развертывание следующих механизмов защиты.

  • Управление доступом к информации.
  • Физическое ограничение доступа к системам и записям.
  • Шифрование секретной информации при ее передаче.
  • Процедуры изменения и модификации системы не должны отрицательно влиять на безопасность.
  • Процедуры двустороннего контроля, сегрегация режимов работы и фоновые проверки.
  • Системы обнаружения вторжений для наблюдения за атаками.
  • Процедуры ответных действий при возникновении инцидента.
  • Защита окружающей среды для защиты записей от разрушения.




Содержание  Назад  Вперед