ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СБЕРБАНКА РОССИИ - Студенческий научный форум

VII Международная студенческая научная конференция Студенческий научный форум - 2015

Личный портфель

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СБЕРБАНКА РОССИИ

Ханнанова Е.Н. 1
1МГТУ им.Г.И.Носова
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

Введение

Уже в начале 90-х годов кредитные организации начали понимать, что банковский бизнес малоэффективен и достаточно рискован без решения задач безопасности. Любые банковские процессы находятся в прямой зависимости от того, как работает информационная инфраструктура банка, то есть вычислительные комплексы, программные и аппаратные средства, а также персонал, их использующий. Если все это начинает давать сбои, например, за счет заражения компьютеров вирусами или атак хакеров, последствия для банков могут быть очень плачевными. Они могут утратить базы данных клиентов и другую необходимую информацию, собираемую годами, лишиться средств и потерять доверие клиентов.

Столкнувшись с подобными проблемами, финансисты начали искать способы их разрешения за счет снижения информационных рисков. В результате появились первые системы защиты, разработанные и созданные банками в буквальном смысле слова «на коленке», то есть второпях, на ходу и собственными усилиями. Однако уже к концу 90-х, осознав важность проблемы, кредитные организации стали постепенно заменять свои устаревшие системы защиты информации (СЗИ) на современные. Построение такой СЗИ включает в себя целый комплекс мероприятий - от аудита банка в области информационной безопасности до создания межфилиальных систем защиты данных.

В последние годы новые системы защиты информации в банковской системе нашей страны переживают бурное развитие. Несмотря на существующие недостатки российского законодательства, регулирующего деятельность банков, ситуация неуклонно меняется к лучшему. Сегодня все больше банков делает ставку на профессионализм своих сотрудников и новые технологии.

Трудно представить себе более благодатную почву для внедрения новых технологий защиты информации, чем банковская деятельность. В принципе почти все задачи, которые возникают в ходе работы банка достаточно легко поддаются автоматизации. Быстрая и бесперебойная обработка значительных потоков информации является одной из главных за­дач любой крупной финансовой организации. В соответствии с этим обладание средствами защиты информации, позволяющей защитить все возрастающие информационные потоки. Кроме того, именно банки обладают достаточными финансовыми возможностями для использования самой современной техники. Однако не следует считать, что средний банк готов тратить огромные суммы на системы защиты информации. Банк является прежде всего финансовой организацией, предназначенной для получения прибыли, поэтому затраты на модернизацию должны быть сопоставимы с предполагаемой пользой от ее проведения. В соответствии с общемировой практикой в среднем банке расходы на СЗИ составляют не менее 17% от общей сметы годовых расходов.

Целью курсовой работы является исследовать процессы защиты информации в Башкирском отделении Сбербанка АКСБ ОАО «Сбербанк России» и предложение путей улучшения способов защиты информации.

В курсовой работе были представлены следующие задачи:

  • описание информационных потоков организации;

  • анализ возможных угроз защиты информации;

  • исследование механизма политики безопасности организации.

В качестве объекта исследования выбран АКСБ ОАО «Сбербанк России» Башкирское ОСБ. Основным видом деятельности организации является оказание банковских услуг.

Объектом исследования являются защита информации в АКСБ ОАО «Сбербанк России».

Предметом исследования являются процессы и средства защиты информации в АКСБ ОАО «Сбербанк России».

Основными методами исследования послужили монографические, методологические, статистические методы.

Информационной базой исследования стали законодательные акты и нормативно-правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения об использовании служебной информации в АКСБ ОАО «Сбербанк России».

1. Теоретические аспекты процессов защиты информации
  1.  

    1. Описание информационных потоков организации

Информационная безопасность играет в банковском секторе не просто важную, а поистине ключевую роль. С этим параметром напрямую связаны репутационные и финансовые риски, от него, в конечном счете, зависит судьба любого финансового бизнеса.

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).

Информационный поток – совокупность информации, минимально необходимая для осуществления работы банка.

Банковские информационные потоки можно разделить по типам информации:

• Структурированные потоки, в которых выделяются поля, имеющие тип и размерность; к такого рода потокам относятся:

- платежные поручения;

- банковские выписки;

- обязательные формы отчетности.

• Неструктурированные потоки, в которых информационные единицы нельзя подразделить на отдельные поля заданного типа и размерности; к такого рода потокам относятся:

- стратегические планы работы;

- нормативные документы;

- текущая переписка;

• Смешанные потоки, т.е. такие, в которых часть информационной единицы имеет структуру, а часть не структурирована и должна храниться и обрабатываться как единое целое; к такого рода документам относятся:

- договора на обслуживание;

- кредитные договора;

- отчеты банка о деятельности.

В банке выделяются следующие целевые блоки информационных потоков, направленных для:

  • Организации работы правления

  • Обеспечения работы финансовых служб

  • Обеспечения работы с клиентами

  • Создание юридического обеспечения

  • Организации сбора информации

В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, автоматизированная система безопасности прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных.

В общем случае, автоматизированная система безопасности банковской информационной системы должна строиться по иерархическому принципу.

Автоматизированная система безопасности должна обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам:

  • Надежность – система в целом должна обладать, продолжать, функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа;

  • Масштабируемость – система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов;

  • Открытость – система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом;

  • Совместимость – поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов.

  • Унифицированность (однородность) – компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.

Анализ возможных угроз

Угроза безопасности – потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба (защищаемому ресурсу) Банка.

Угрозы можно классифицировать по различным основаниям и измерять в количественных параметрах.

Возможны следующие типы угроз(приложение А):

  • экономические

  • социальные

  • правовые

  • организационные

  • информационные

  • экологические

  • технические

  • криминальные.

Уязвимость – это присущие предприятию причины обусловленными особенностями хранения, использования, транспортировки, охраны и защиты ресурсов, приводящие к нарушению безопасности конкретного ресурса.

Атака – реализация угрозы.

Ущерб – невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. (материальный, физический, моральный).

Носителями угроз безопасности информации в банке являются источники угроз. Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники.

Деление источников на субъективные и объективные оправдано исходя из того, что субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами. А объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации банка.

А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

Все источники угроз безопасности информации можно разделить на три основные группы:

  •  
    •  

      • Обусловленные действиями субъекта (антропогенные источники угроз).

      • Обусловленные техническими средствами (техногенные источники угрозы).

      • Обусловленные стихийными источниками.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты информации банка, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации банка.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы:

1) пожары;

2) землетрясения;

3) наводнения;

4) ураганы;

5) различные непредвиденные обстоятельства;

6) необъяснимые явления;

7) другие форс-мажорные обстоятельства.

Хакеры и криминальные структуры.

Популярность такого источника угроз, как хакеры, к сожалению, активно поддерживается средствами массовой информации.

Важный мотив действий хакера - материальная выгода. Особенно часто совершаются попытки кражи номеров кредитных карт, либо конфиденциальной информации с последующим шантажом с целью вымогательства. Сюда же можно отнести случаи взлома финансовых систем или мошенничества.

Реальная квалификация большинства хакеров ниже, чем у профессиональных программистов. Иногда попытки злоупотреблений совершаются лицами с преступными наклонностями, совсем не обладающими специальными знаниями. Но даже если вас очень впечатлили навыки компьютерного преступника, не рекомендуется принимать его на работу ввиду наличия деструктивных наклонностей. Взлом и построение информационных систем банка - далеко не одно и тоже, а "бомба" внутри организации гораздо опаснее, чем снаружи.

Практика показывает, что в большинстве случаев хакеры, представляющие реальную опасность, работают по заказу и под контролем организованных криминальных структур.

Недобросовестные партнёры и конкуренты:

В качестве источника информации недобросовестные партнёры и конкуренты используют Web-сайты, СМИ, материалы публичных выступлений. Для сбора информации в глобальной сети всё чаще привлекаются хакеры.

Но самым опасным для компании источником утечки конфиденциальной информации являются ее собственные сотрудники.

Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При соответствующей подготовке недоброжелатели могут эффективно использовать современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, использовать вредные привычки и скрытые потребности.

В первую очередь объектом воздействия становятся менеджеры и высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.

Как лица, обладающие большими организационными полномочиями, наибольшую потенциальную угрозу для информационных ресурсов банка представляют менеджеры. Например, к потерям могут привести распоряжения предоставить пользователю неоправданно высокие права, реализовать в информационной системе небезопасный, но удобный функционал. Иногда информационные угрозы возникают вследствие неудовлетворительного выполнения руководителями контролирующих функций. Известны случаи, когда продавалось оборудование, с дисков которого не удалялась конфиденциальная информация компании и партнёров.

Значительной угрозой информационной безопасности компании является низкая квалификация персонала, недостаточная для корректной работы с корпоративной информационной системой банка. Особо опасными являются некомпетентные сотрудники, выдающие себя за грамотных пользователей, или считающие себя таковыми.

Во многих банках отсутствует контроль над установкой на рабочих станциях программного обеспечения. Не понимая возможных последствий, сотрудник может установить на своём рабочем месте заинтересовавшую его программу или "патч", существенно снизив эффективность усилий по обеспечению корпоративной сетевой безопасности. Подобная угроза возникает и в случае подключения находящейся в локальной сети рабочей станции к Интернет через модем или мобильный телефон, оснащённый функцией цифровой связи.

В ряде случаев проблемы безопасности связаны с тем, что легальные пользователи используют необходимую для работы информацию не по назначению. Причиной может быть злой умысел, халатность, непонимание последствий распространения доступных им сведений. Очевидно, что данная проблема неразрешима только технологическими мерами.

Последствием воздействия угроз является нарушение безопасности системы банка. Рассмотрим эти последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты информационно-вычислительной системы банка.

Анализ представленных угроз и последствий их воздействия показывает, что конечными их целями являются: информация о данных клиентах банка, циркулирующая в информационно-вычислительной сети или системе банка - чтение и искажение (разрушение) информации и/или нарушение процедур информационного обмена; работоспособность самой информационно-вычислительной сети или системы безопасности банка - чтение и искажение (разрушение) управляющей информации и/или нарушение процедур управления компонентами или системой безопасности банка.

  1.  

    1. Построение модели нарушителя

В настоящее время под патронажем Банка России разрабатывается Стандарт обеспечения информационной безопасности организаций банковской системы РФ. Одной из его ключевых позиций является постулат — наибольшую угрозу для банков несут не сторонние лица, а собственные сотрудники, имеющие доступ к информационным ресурсам. Для служб безопасности банковской системы это актуально вдвойне.

При разработке средств обеспечения информационной безопасности определяется модель потенциального нарушителя, введение которой используется для определения возможных каналов несанкционированного доступа к информации, обрабатываемой с помощью системы.(Приложение Б) В рамках выбора модели нарушителя определяются:

  • категории лиц, в числе которых может оказаться нарушитель;

  • возможные цели нарушителя и их градации по степени важности;

  • предположения о квалификации нарушителя;

  • оценка его технической вооруженности;

  • ограничения и предположения о характере возможных действий нарушителя.

Уровень нарушителя определяется организационно-функциональной структурой системы в конкретном банке. Необходимо помнить, что программные и организационные меры защиты нельзя рассматривать по отдельности, они всегда дополняют друг друга.

Портрет потенциального НАРУШИТЕЛЯ безопасности информационного ресурса может быть представлен следующим образом: Нарушитель – это лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и использующее для этого различные возможности, методы и средства (приложение Б).

Уровни технической оснащенности нарушителя и его знаний о физических принципах работы систем охраны, установленных на объекте, определяют возможность и время, необходимое ему на преодоление средств инженерной защиты и обход сигнализационной техники.

Рассматривают две группы способов реализации угроз (враждебных действий) - контактные, бесконтактные.

Каждый тип нарушителей (неподготовленный, подготовленный, квалифицированный) будет осуществлять проникновение на объект по разному - менее или более грамотно используя различные условия, способствующие проникновению, как то:

  • взрыв;

  • пожар (поджог);

  • разбойное нападение;

  • наводнение;

  • химическое заражение;

  • общественные беспорядки;

  • отключение электроэнергии на объекте, в районе, городе;

  • постановка нарушителем помех ТСО на объекте;

  • постановка нарушителем помех в канале связи объекта с охраной;

  • предварительный вывод из строя ТСО на объекте;

  • предварительный вывод из строя канала связи объекта с охраной;

  • предварительный сговор нарушителя с персоналом объекта;

  • предварительный сговор нарушителя с персоналом службы охраны объекта;

  • создание и использование многих и многих других условий для проникновения на охраняемый объект, например: использование дрессированных животных и птиц, специальных технических средств обхода ТСО, специальных технических средств для предварительного изучения объекта и т.д.

Модель нарушителя информационной безопасности может быть дополнена некоторыми показателями, определяемыми особенностями человеческого характера. Сотрудники банка, участвующие в процессах движения информации, могут быть возможными нарушителями.

Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, имеет в своем распоряжении соответствующие технические средства. Он знает систему защиты информации на объекте или имеет возможность доступа к конкретным информационным ресурсам, сам выбирает время и место предполагаемого нарушения.

Угрозы персоналу.

Правовое положение работника на предприятии определяется положениями Конституции РФ, а также условиями контракта (трудового соглашения) и организационно-распорядительными документами, действующими АКСБ ОАО «Сбербанк России» , в т.ч. и в части обеспечения безопасности на своем участке работы. Работодатель обязан предпринять меры для защиты работника от возможных угроз его здоровью, жизни, интересам, а работник, в свою очередь – добросовестно выполнить обязательства, взятые на себя при оформлении контракта во время приема на работу.

Способы осуществления угроз персоналу разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.

Угрозы материальным ресурсам.

Ценным ресурсам предприятия с физической формой существования могут угрожать:

  • Стихийные бедствия;

  • Пожар;

  • Хищения – совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества;

  • Повреждение – изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становиться полностью или частично непригодным для целевого использования.

  • Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводится в полную непригодность для использования по целевому назначению.

  • Заражение радиоактивными, химическими, бактериологическими веществами;

  • Пикетирование, блокирование входов, вторжение, захват и другие.

Способы осуществления угроз ценным ресурсам, существующим в физической форме, также разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.

Исследование процессов защиты информации в АКСБ ОАО «Сбербанк России» 2.1. Разработка политики безопасности Банка

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы.

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Для защиты информации в АКСБ ОАО «Сбербанк России» разработана СЗИ. Система защиты информации — рациональная совокупность на­правлений, методов, средств и мероприятий, снижающих уязви­мость информации и препятствующих несанкционированно доступу к информации, ее разглашению или утечке. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» также закрепляет понятие СЗИ как совокупности органов и/или исполнителей, используемых ими техники защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. В.И. Ярочкин дает следующее понятие СЗИ – «это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз».

Выделяют следующие элементы СЗИ:

  • Нормативно-правовой элемент ЗИ

  • Организационный элемент ЗИ

  • Инженерно-технический элемент ЗИ

  • Программно-аппаратный элемент ЗИ

2.1.1 Организационный элемент защиты информации в АКСБ ОАО «Сбербанк России»

«Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз».Организационный элемент системы защиты информации содер­жит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание сис­темы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационная защита выполняет функции по:

  • организации охраны, режима, работу с кадрами, с документами;

  • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз.

Организационный элемент СЗИ включает:

  • организацию режима и охраны для исключения возможности тайного проникновения на территорию и в помещения посторонних лиц;

  • организацию работы с сотрудниками по обучению правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации;

  • организацию работы с документами, включая разработки и использование документов и носителей КИ, их учет, исполнение, возврат, хранение и уничтожение;

  • организацию использования технических средств сбора, обработки, накопления и хранения КИ;

  • регламентация разрешительной системы разграни­чения доступа персонала к защищаемой информации;

  • организация ведения всех видов аналитической работы;

  • регламентация действий персонала в экстремальных ситуациях;

  • регламентация организационных вопросов защиты персональных компью­теров, информационных систем, локальных сетей;

  • организация защиты информации – создание службы информационной безопасности или назначение ответственных сотрудников за защиту информации.

Таким образом, организационной защиты является основным элементом комплексной СЗИ и во многом от того, каким образом реализован организационный элемент, зависит безопасности организации.

2.1.2 Инженерно-технический элемент защиты информации в АКСБ ОАО «Сбербанк России»

Предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охра­ны территории, здания, помещений и оборудования с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты можно условно разделить:

  • физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (доступу) злоумышленников на объекты защиты (территорию, в здание и помещения) и материальными носителями. Например, заборы, стальные двери, кодовые замки, сейфы и т. д.;

  • средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копироваль­ных аппаратов, принтеров, факсов и др. технических средств управления;

  • средства обеспечения охраны территории, здания и помеще­ний (средства наблюдения, оповещения, сигнализации, информирования и идентификации);

  • средства обнаружения приборов и устройств технической раз­ведки (подслушивающих и передающих устройств, тайно уста­новленной миниатюрной звукозаписывающей и телевизион­ной аппаратуры и т.п.);

  • технические средства контроля, предотвращающие вынос пер­соналом из помещения специально маркированных предме­тов, документов, дискет, книг и т.п.

  • средства противопожарной охраны;

  • средства защиты помещений от визуальных способов техни­ческой разведки.

2.1.3 Программно-аппаратный элемент защиты информации в АКСБ ОАО «Сбербанк России»

Предназначен для защиты конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ЛВС и различных информационных системах. «Аппаратные средства защиты информации представлены техническими устройствами, предназначенными для защиты информации от разглашения, утечки или несанкционированного доступа». Аппаратные средства могут быть:

  • средствами выявления;

  • средствами защиты от несанкционированного доступа.

  • программные средства защиты имеют следующие разновидности специальных программ:

  • идентификации технических средств, файлов и аутентификации пользователей;

  • регистрации и контроля работы технических средств и пользователей;

  • обслуживания режимов обработки информации ограниченного пользования;

  • защиты операционных средств ЭВМ и программ пользователей;

  • уничтожения информации в защитные устройства после использования;

  • сигнализирующих нарушения использования ресурсов;

  • вспомогательных программ защиты различного назначения.

3. Реализация политики безопасности в АКСБ ОАО «Сбербанк России» Реализация нормативно-правового элемента защиты информации в АКСБ ОАО «Сбербанк России»

Правовая защита информации призвана обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в АКСБ ОАО «Сбербанк России». Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации включает в себя комплекс внутренней нормативно-организационной документации, в которую входят такие документы организации, как:

  • Устав;

  • коллективный трудовой договор;

  • трудовые договоры с сотрудниками Банка;

  • правила внутреннего распорядка служащих Банка;

  • должностные обязанности руководителей, специалистов и служащих Банка.

  • инструкции пользователей информационно-вычислительных сетей и баз данных;

  • инструкции администраторов ИВС и БД;

  • положение о подразделении по защите информации;

  • концепция системы защиты информации в АКСБ ОАО «Сбербанк России»;

  • инструкции сотрудников, допущенных к защищаемым сведениям;

  • инструкции сотрудников, ответственных за защиту информации;

  • памятка сотрудника о сохранении коммерческой или иной тайны;

  • договорные обязательства.

Реализация организационного элемента защиты информации в АКСБ ОАО «Сбербанк России»

Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур

В связи с этим в це­лях повышения экономической безопасности АКСБ ОАО «Сбербанк России» уделяет большое внимание подбору и изуче­ния кадров, проверке любой информации, указыва­ющей на их сомнительное поведение и компромети­рующие связи. При этом в обяза­тельном порядке проводить значительную разъясни­тельно-воспитательную работу, систематические инст­руктажи и учения по правилам и мерам безопасности, регулярные, но неожиданные тестирования различных категорий сотрудников по постоянно обновляемым программам.

В контрактах АКСБ ОАО «Сбербанк России» четко очерчивает персональ­ные функциональные обязанности всех категорий со­трудников Банка и на основе существующего российского законодательства во внутрен­них приказах и распоряжениях определяет их ответст­венность за любые виды нарушений, связанных с раз­глашением или утечкой информации, составляющей коммерческую тайну.

Кроме того Банк все шире вводит в своих служебных документах гриф «конфиде­нциально» и распространяет различного рода надбав­ки к окладам для соответствующих категорий своего персонала.

При отборе сотрудников важную роль занимают рекомендательные письма, научные методы проверки на профессиональную пригодность и различного рода те­стирования, осуществляемые кадровыми подразделе­ниями Банка, сотрудниками службы безопасности и группами психологической поддержки.

В настоящее время АКСБ ОАО «Сбербанк России» имеет строго разработанные и ут­вержденные руководством организационные структу­ры и функции управления для каждого подразделения. Со­ставлены организационные схемы и чертежи, на которых графически изображается каждое рабочее ме­сто, прописываются должностные обязанности и опре­деляются информационные потоки для отдельного ис­полнителя.

При такой схеме управления и контроля предельно ясно, на каком участке (отдел, служба, управление) требуется специалист соответствующей квалификации и какой информацией он должен располагать для вы­полнения функций на своем рабочем месте. Внутрен­ними распоряжениями также определяются требова­ния к деловым и личным качествам сотрудников и обусловливаются режимы сохранения коммерчес­кой тайны.

Кроме того, для большей конкретизации этих про­цедур на каждое рабочее место состав­ляется профессиограмма, т.е. перечень личностных ка­честв, которыми в идеале должен обладать потенциаль­ный сотрудник. Содержательная сторона и глубина проработки профессиограмм могут быть различными. Это зависит в первую очередь от того, на какое рабо­чее место они составляются.

Обязательными атрибутами подобных до­кументов являются разделы, отражающие профессио­нально значимые качества (психологические характери­стики, свойства личности, без которых невозможно выполнение основных функциональных обязанностей), а также противопоказания (личностные качества, кото­рые делают невозможным зачисление кандидата на кон­кретную должность). В некоторых случаях необходимо не только указывать профессионально значимые каче­ства, но и оценивать степень их выраженности, т.е. сформированности.

По схемам управления и профессиограммам Банк приступает к собеседованиям и применяет разнообразные процедуры отбора кан­дидатов на работу. Как правило, проблема отбора кадров встает перед руководителями банков в двух основных случаях: создание новых подразделений, замещение вакантных должностей. Для первого случая характерно изуче­ние значительного числа кандидатур, для которых из набора имеющихся вакансий подбирается соответст­вующая должность. Во втором случае из ограничен­ного числа кандидатов отбирается тот, который по своим личным и профессиональным качествам в на­ибольшей степени соответствует требованиям профессиограммы данного рабочего места.

Проблема состоит в том, что даже весьма опыт­ные работники кадровых подразделений не всегда мо­гут правильно, достоверно и быстро оценить подлин­ное психическое состояние лиц, пришедших на собеседо­вание. Этому способствуют повышенное волнение, склонность отдельных кандидатов к предвзятым оцен­кам характера деятельности некоторых коммерческих структур, но особенно широкое и зачастую бесконт­рольное самолечение различных психосоматических расстройств с использованием в ряде случаев весьма сильных психотропных препаратов. В этой связи АКСБ ОАО «Сбербанк России» требует от кан­дидатов предоставления справок о состоянии здоровья либо сами выдает направления в определенные поликлиники с рекомендацией прохождения полной диспан­серизации (за счет кандидата).

С точки зрения обеспечения страте­гических интересов АКСБ ОАО «Сбербанк России» являются обязательными следующие функции службы безопас­ности:

  • определение степени вероятности формирования у кандидата преступных наклонностей в случаях воз­никновения в его окружении определенных благопри­ятных обстоятельств (персональное распоряжение кре­дитно-финансовыми ресурсами, возможность контро­ля за движением наличных средств и ценных бумаг, доступ к материально-техническим ценностям, работа с конфиденциальной информацией и пр.);

  • выявление имевших место ранее преступных на­клонностей, судимостей, связей с криминальной сре­дой (преступное прошлое, наличие конкретных суди­мостей, случаи афер, махинаций, мошенничества, хи­щений на предыдущем месте работы кандидата и уста­новление либо обоснованное суждение о его возмож­ной причастности к этим преступным деяниям).

Для добывания подобной информации АКСБ ОАО «Сбербанк России» использу­ет возможности различных подразделений банковских структур, в первую очередь службы безопасности, отдела кадров, юридического отдела, под­разделений медицинского обеспечения, а также не­которых сторонних организаций детек­тивных агентств, бюро по занятости населения, диспансеров и пр.

Также представители банковских структур АКСБ ОАО «Сбербанк России» должны быть абсолютно уверены в том, что проводят тесты, собеседования и встречи именно с те­ми лицами, которые выступают в качестве кандидатов на работу. Это подразумевает тщательную проверку паспортных данных, иных документов, а также получе­ние фотографий кандидатов без очков, контактных линз, парика, макияжа.

АКСБ ОАО «Сбербанк России» настаивает на получении набора цветных фотографий кандидата, которые могут быть использованы в случае необходимости для предъявле­ния жильцам по месту его проживания или коллегам по работе. Использование в кадровой работе цветных фотографий, соответствующих паспортным данным, предпочтительнее также в связи с тем, что они четко и без искажений передают цвет волос, глаз, кожи, возраст и характерные приметы кандидата.

В том случае, если результаты указанных проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые бы препят­ствовали приему на работу данного кандидата, с ним заключается трудовое соглашение, предусматривающей испытатель­ный срок (1-3 месяца).

Необходимо также подчеркнуть следующее важное обстоятельство - лица, принима­емые на ответственные вакантные должности в АКСБ ОАО «Сбербанк России» (члены правлений, главные бух­галтеры, консультанты, начальники служб безопасно­сти и охраны, руководители компьютерных центров и цехов, помощники и секретари первых лиц) сегодня подвергаются, как правило, следующей стандартной проверке, включающей:

  • достаточно продолжительные процедуры сбора и верификации установочно-биографических сведений с их последующей аналитической обработкой;

  • предоставление рекомендательных писем от извест­ных предпринимательских структур с их последующей проверкой;

  • проверки по учетам правоохранительных органов; установки по месту жительства и по предыдущим местам работы;

  • серии собеседований и тестов с последующей пси­хоаналитической обработкой результатов.

По мнению экспертов, даже каждый, взятый в от­дельности из упомянутых методов проверки доста­точно эффективен. В совокупности же достигается весьма высокая степень достоверности информации о профессиональной пригодности и надежности ка­ндидата, его способностях к творческой работе на конкретном участке.

Серьезное влияние на вопросы безопасности АКСБ ОАО «Сбербанк России» оказывают процедуры уволь­нения сотрудников. Современные психологические подходы к процессу увольнения, позволили выработать следующую при­нципиальную рекомендацию: каковы бы ни были причи­ны увольнения сотрудника, он должен покидать АКСБ ОАО «Сбербанк России» без чувства обиды, раздражения и мести.

Только в этом случае можно надеяться на то, что увольняемый сотрудник не предпримет необдуманных шагов и не проинформирует правоохранительные ор­ганы, налоговую инспекцию, конкурентов, криминаль­ные структуры об известных ему аспектах работы банка. Кроме того, известны случаи мести бывших сотрудников с использованием компьютерного проникновения.

Таким образом, представители кадровых подраз­делений и служб безопасности четко ориентированы на выяснение истинных мотивов уво­льнения всех категорий сотрудников. Зачастую причи­ны, на которые ссылается сотрудник при увольнении, и подлинные мотивы, побудившие его к такому шагу, существенно отличаются друг от друга. Обычно лож­ный защитный мотив используется потому, что со­трудник в силу прежних привычек и традиций опасает­ся неправильной интерпретации своих действий со сто­роны руководителей и коллег по работе.

Наряду с этим весьма часто имеют место случаи, когда сотрудник внутренне сам уверен в том, что увольняется по откровенно называемой им причине, хотя его решение сформировано и принято под влия­нием совершенно иных, порой скрытых от него обсто­ятельств. Так, в практике уже известны случаи весьма тонких и тайных комбинаций оказания влияния на высококвалифицированных специалистов с целью их переманивания на другое место работы.

В этой связи принципиальная задача Банка состоит в том, чтобы определить истинную причину увольнения со­трудника, попытаться правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки к искусственному удержанию данного лица в коллективе либо отработать и реализовать процеду­ру его спокойного и бесконфликтного увольнения. Ре­шение принимается на основе строго объективных данных в отношении каждого конкрет­ного сотрудника.

При поступлении устного или письменного заявле­ния об увольнении во всех без исключе­ниях случаях проводится с сотрудником беседа с участи­ем представителя кадрового подразделения и кого-ли­бо из руководителей банковской структуры. Однако до беседы предпринимаются меры по сбору следующей информации об увольняющемся сотруднике:

  • характер его взаимоотношений с коллегами в кол­лективе; отношение к работе; уровень профессиональной подготовки; наличие конфликтов личного или служебного хара­ктера;

  • ранее имевшие место высказывания или пожелания перейти на другое место работы;

  • доступ к информации, в том числе составляющей коммерческую тайну;

  • вероятный период устаревания сведений, составля­ющих коммерческую тайну для данного предприятия; предполагаемое в будущем место работы увольня­ющегося (увольняемого) сотрудника.

Беседа при увольнении проводится лишь только после того, когда собраны все необходимые сведения. Конечно, предварительно руководитель коммерческой структуры отрабатывает принципиальный подход к вопросу о том, целесообразно ли предпринимать попытки склонить сотрудника изменить его первона­чальное решение либо санкционировать оформление его увольнения. В любом случае рекомендуется дать собеседнику высказаться и в развернутой форме объяс­нить мотивы своего решения. При выборе места про­ведения беседы предпочтение отдается, как правило, служебным помещениям.

Если менеджером банка, отделом кадров и службой безопасности все же принято решение не препятствовать увольнению сотрудника, а по своему служебному положению он располагал доступом к конфиденциальной информации, то в этом случае от­рабатывается несколько вариантов сохранения в тайне коммерческих сведений (оформление официальной подписи о неразглашении данных, составляющих ком­мерческую тайну, либо устная «джентльменская» до­говоренность о сохранении увольняемым сотрудником лояльности к «своему банку или фирме»).

Персонал оказывает су­щественное, а в большинстве случаев даже решающее влияние на информационную безопасность банка. В этой связи подбор кадров, их изучение, рас­становка и квалифицированная работа при увольнени­ях в значительной степени повышают устойчивость АКСБ ОАО «Сбербанк России» к возможному стороннему негативному влиянию и агентурному проникновению противоправных элементов.

Регулярное изучение всех категорий персонала, по­нимание объективных потребностей сотрудников, их ведущих интересов, подлинных мотивов поведения и выбор соответствующих методов объединения от­дельных индивидуумов в работоспособный коллек­тив — все это позволяет руководителям в итоге ре­шать сложные производственные и коммерческо-финансовые задачи, в том числе связанные с обеспечением экономической безопасности.

Программа работы с персоналом в АКСБ ОАО «Сбербанк России» сформулирована следующим образом:

  • добывание в рамках действующего российского за­конодательства максимального объема сведений о ка­ндидатах на работу, тщательная проверка представ­ленных документов как через официальные, так и опе­ративные возможности, в том числе службы безопас­ности банка или частного детективного агент­ства, системность в анализе информации, собранной на соответствующие кандидатуры;

  • проведение комплекса проверочных мероприятий в отношении кандидатов на работу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях, когда рассматривается вопрос об их приеме на руководящие должности или допуске к информа­ции, составляющей коммерческую тайну;

  • использование современных методов, в частности собеседований и тестирований, для создания психоло­гического портрета кандидатов на работу, который бы позволял уверенно судить об основных чертах харак­тера и прогнозировать их вероятные действия в раз­личных экстремальных ситуациях;

  • оценка с использованием современных психологи­ческих методов разноплановых и разнопорядковых фа­кторов, возможно препятствующих приему кандида­тов на работу или их использованию на конкретных должностях;

  • определение для кандидатов на работу в структурах банка некоторого испытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность;

  • введение в практику регулярных и неожиданных комплексных проверок персонала, в том числе через возможности служб безопасности;

  • обучение сотрудников кадровых подразделений и служб безопасности современным психологическим подходам к работе с персоналом, социальным, психо­аналитическим, этико-моральным методам, навыкам использования современных технических средств для фиксирования результатов интервью и собеседований, приемам проведения целевых бесед «втемную» и про­цедурам информационно-аналитической работы с до­кументами кандидатов;

  • выделение из числа первых руководителей ком­мерческих структур куратора кадровой работы для осуществления контроля за деятельностью кадровых подразделений и служб безопасности при работе с пе­рсоналом.

Для реализации программного элемента защиты информации в АКСБ ОАО «Сбербанк России» используется комплексная система защиты информации «Панцирь-К».

Комплексная система защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003 – программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты, как автономных компьютеров, так и компьютеров в составе сети предприятия.

КСЗИ реализована программно. Одна и та же клиентская часть установлена на различные ОС семейства Windows (2000/XP/2003).

Реализованные подходы к построению обеспечивают высокую надежность функционирования КСЗИ и независимость от установленных обновлений (path-ей) ОС и приложений – основные компоненты КСЗИ – системные драйверы протестированы с использованием соответствующих средств отладки производителя ОС.

Все механизмы защиты реализованы собственными средствами, не использован ни один встроенный в ОС механизм защиты, многие из которых обладают серьезными архитектурными недостатками.

КСЗИ «Панцирь-К» собственными средствами реализует все требования, предъявляемые к защите конфиденциальной информации от несанкционированного доступа. КСЗИ сертифицирована ФСТЭК по 5 классу СВТ (сертификат №1144, ограничения по использованию в сертификате отсутствуют) и выполняет все требования к классу защищенности для АС.

К комплексной системе защиты КСЗИ может быть отнесена, ввиду того, что она служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОСWindows, т.е. позволяет решать задачи защиты информации в общем виде (что невозможно при использовании всевозможных средств контроля); КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве).

В части криптографической защиты конфиденциальности информации в КСЗИ реализована возможность шифрования данных (на жестком диске и на отчуждаемых накопителях, локальных и разделенных в сети), при этом обеспечивается шифрование «на лету» (прозрачно для пользователя) любого заданного администратором файлового объекта (диска, папки, файла). Реализованная ключевая политика позволяет защитить данные от раскрытия даже при хищении компьютера и при наличии ключа шифрования, позволяет осуществлять коллективный доступ к локальным и разделенным в сети зашифрованным объектам.

Для шифрования данных в КСЗИ интегрированы возможности использования сертифицированных криптопровайдеров «Signal-COM CSP» и «КриптоПро CSP 3.0 (3.6 для ОС Vista)» (соответствующих требованиям ФСБ РФ к шифрованию конфиденциальной информации по классам «КС1» и «КС2»).

КСЗИ «Панцирь-К» предоставляет следующие возможности:

  • Использование аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам (смарт-карта, Aladdin eToken, ruToken, iButton);

  • Разграничения и аудит работы пользователей с локальными и сетевыми ресурсами (файловые ресурсы - FAT/NTFS/DFS/любые монтируемые ФС), ресурсы реестра ОС, сменные носители, принтеры, сервисы олицетворения, буфер обмена и т.д.);

  • Разграничения и аудит работы программ (приложений) с локальными и сетевыми ресурсами;

  • Разграничения и аудит работы пользователей с устройствами с использованием их серийных номеров (Flash-диски, CD/DVD, USB, WiFi, Bluetooth, IrDA, IEEE1394/ FireWire, PCMCIA, COM/LPT и т.д.) (Приложение Д);

  • Разграничения и аудит работы пользователей и приложений с локальными и глобальными сетями (ЛВС, Internet/Intranet) – персональный Firewall;

  • Шифрование данных «на лету» (3DES, AES, DES, ГОСТ 28147-89), включая сетевые ресурсы, скрытие, разграничение доступа, а также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным;

  • Контроль рабочего времени пользователя, в том числе, средствами компьютерного видео наблюдения;

Оценка эффективной политики безопасности в АКСБ ОАО «Сбербанк России»

Модель комплексной оценки СЗИ банка. Предлагается следующая методика создания и комплексной оценки системы защиты информации для КСБ.Модель СЗИ представлена в виде следующих основных блоков показателей: - Блок показателей «ОСНОВЫ»; - Блок показателей «НАПРАВЛЕНИЯ»; - Блок показателей «ЭТАПЫ».Блок показателей «ОСНОВЫ» (Oi) Проведенный анализ основных подходов к созданию СЗИ позволяет выделить следующие основные составные части СЗИ:1. Нормативно-правовая и научная база;2. Структура и задачи органов;3. Организационные меры и методы (политика безопасности);4. Программно-технические способы и средства. Каждая из перечисленных составных частей блока «ОСНОВЫ» должна быть детализирована для конкретной КСБ.Блок показателей «НАПРАВЛЕНИЯ» (Hj) Проведенный анализ существующих способов и методов защиты информации позволяет выделить следующие основные исторически сложившиеся этапы создания и оценки СЗИ:1. Защита объектов корпоративных систем;2. Защита процессов, процедур и программ обработки информации;3. Защита каналов связи;4. Подавление побочных электромагнитных излучений;5. Управление системой защиты. Совершенно очевидно, что каждое из НАПРАВЛЕНИЙ должно быть детализировано в зависимости от структуры КСБ и заданной глубины детализации. Блок показателей «ЭТАПЫ» (Mk) В настоящее время рассматривают различные этапы построения СЗИ все они достаточно эффективны и позволяют решать поставленные задачи. На основе проведенного анализа предлагается рассмотрение следующих этапов создания СЗИ, подлежащих оценке:1. Определение информации, подлежащей защите;2. Выявление полного множество потенциально возможных угроз и каналов утечки информации;3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;4. Определение требований к системе защиты;5. Осуществление выбора средств защиты информации и их характеристик;6. Внедрение и организация использования выбранных мер, способов и средств защиты;7. Осуществление контроля целостности и управление системой защиты. Этапы могут быть разбиты на более детальные пункты (шаги).

Матрица оценок. Структура модели оценки СЗИ заключается в логическом объединении показателей блоков «ОСНОВЫ», «НАПРАВЛЕНИЯ» и «ЭТАПЫ» в МАТРИЦУ ОЦЕНОК, состоящую из К элементов. В общем случае количество элементов «матрицы» может быть определено из соотношенияK=Oi*Hj*Mk На основе проведенного выше анализа в данном варианте (при условии, что Oi=4, Hj=5, Mk=7) общее количество элементов «матрицы» составляет K=4*5*7=140. Следует обратить внимание на содержание обозначения каждого из элементов матрицы: Первое знакоместо обозначает номер показателя «ЭТАПЫ», второе знакоместо – номер показателя «НАПРАВЛЕНИЯ», а третье знакоместо – номер показателя «ОСНОВЫ».Элемента матрицы 321 формируется с учетом следующих показателей:3 – Проведение оценки уязвимости и рисков (показатель № 3 блока «ЭТАПЫ»);2 – Защита процессов и программ (показатель № 2 блока «НАПРАВЛЕНИЯ»)1 – Нормативная база (показатель № 1 блока «ОСНОВЫ») В зависимости от этапов работ по созданию СЗИ «матрица» имеет различное содержание. Другими словами это несколько одинаковых по структуре, но разных по содержанию «матриц», а именно:1. «Матрица» полноты и качества состояний элементов СЗИ;2. «Матрица» требований к СЗИ;3. «Матрица» оценок эффективности функционирования элементов СЗИ. Могут рассматриваться и другие функции этой же «матрицы», главное чтобы содержание каждого из элементов «матрицы» описывало взаимосвязь составляющих создаваемой СЗИ. Оценки могут формироваться по различным группам элементов матрицы, в зависимости от целей проверки. Оценка достигнутого частного профиля защиты производится из соотношенияПдост= Пр / Пзад;При этом достигнутый профиль защиты считается удовлетворительным при условии, что Пдост > 1;Оценка результирующего профиля защиты СЗИ осуществляется на основе оценок частных профилей защиты (с использованием «Матрицы знаний»). Достоинства предложенной модели оценки СЗИСледует выделить следующие преимущества предложенной модели оценки СЗИ:– Универсальность применения;– Наглядность и простота представления процесса создания СЗИ;– Возможность маневра силами и средствами;– Учет индивидуальных особенностей КСБ и требований заказчика;– Позволяет создать «свою» систему защиты;– Возможность наращивания СЗИ;– Поэтапное и рациональное вложение материальных и денежных средств.

Заключение

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.

2. Она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка — критически важное условие его существования.

В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

- усиления конкуренции между банками;

- необходимости сокращения времени на производство расчетов;

- необходимости улучшать сервис.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности — наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.

Библиографический список

1. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методические основы / Под ред. В.А. Садовничего и В.П. Шерстюка. – М.: МЦНМО, 2002.

2. Е.Б. Белов, В.П. Лось Основы информационной безопасности. / Москва, Горячая линия – Телеком, 2006

3. Федеральный закон РФ "О персональных данных"

4. Вихорев С.В. Информационная Безопасность Предприятий. Москва, 2006.

5. В.А. Семененко Информационная безопасность. Москва, 2004

6. Аверченков, В. И. Аудит информационной безопасности: учеб. пособие для вузов / В.И. Аверченков. - Брянск: БГТУ, 2005.

7. Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 1994 г.

8. Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 1997 г.

9. Крысин В.А. Безопасность предпринимательской деятельности. — М:Финансы и статистика, 1996 г.

10. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. — М: НИТ, 1998 г.

11. Титоренко Г.А. и др. Компьютеризация банковской деятельности. — М: Финстатинформ, 1997 г.

12. Гайкович В, Першин А. Безопасность электронных банковских систем. - М.,1999.

13. Груздев С. "16 вариантов русской защиты" /КомпьютерПресс №392

14. Груздев С. Электронные ключи. - М. 1993.

15. Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 1995

16. Мафтик С. Механизмы защиты в сетях ЭВМ. /пер. с англ. М.: МИР, 1993.

17. Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. - М., 1998.

18. Спесивцев А.В. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, 1993.

20. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев// Вопросы защиты информации.- 1996.- № 2. - С. 2 - 3.

21. Теория информационной безопасности и методология защиты информации: Конспект лекций.

22. Васильевский, А. Защита коммерческой тайны: организационные и юридические аспекты / А.Васильевский [Электронный ресурс]// Valex Consult- (http://www.valex.net/).

23. Мельников Ю.Н., Иванов Д.Ю. Многоуровневая безопасность в корпоративных сетях. Международный форум информатизации - 2000: Доклады международной конференции "Информационные средства и технологии". 17-19 октября 2000 г. В 3-х тт. Т. 2. - М.: Издательство "Станкин", 2000г., - 245 с.

24.Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство «Ось-89».1998

Просмотров работы: 15422