Обеспечение информационной безопасности кредитно-финансовых организаций

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

1

Федеральное агентство по образованию «Московский государственный университет экономики, статистики и информатики (МЭСИ)»

Нижегородский колледж экономики, статистики и информатики - филиал государственного образовательного учреждения высшего профессионального образования «Московского государственного университета экономики, статистики и информатики (МЭСИ)»

(Нижегородский филиал МЭСИ)

КОНТРОЛЬНАЯ РАБОТА

ПО ДИСЦИПЛИНЕ «Организация и управление безопасностью в кредитно-финансовых организациях»

на тему: «Обеспечение информационной безопасности кредитно-финансовых организаций»

Работу выполнил:

студентка заочного отделения

4 курса специальности «Финансы и кредит»

Работу проверил:

Нижний Новгород 2010г.

Содержание

Глава I Конфиденциальная информация банка

Глава II Угрозы информационной безопасности банка

2.1 Объекты и субъекты угроз информационной безопасности банка

2.2 Формы проявления и методы реализации угроз информационной безопасности банка

Глава III Обеспечение информационной безопасности банка

Глава IV Хакерство в России и за рубежом

Список литературы

Глава I Конфиденциальная информация банка

К конфиденциальной информации относятся любые сведения, разглашение которых способно нанести ущерб их владельцу, пользователю или связанным с ними лицам. Отличительной особенностью банковского сектора экономики является статус кредитно-финансовой организации как доверенного лица своих клиентов, располагающего конфиденциальными сведениями об их финансовой и коммерческой деятельности. Эти сведения составляют банковскую тайну, являющуюся приоритетным объектом защиты в системе безопасности любого банка.

Конфиденциальная информация формируется кредитно-финансовой организацией в процессе всего периода ее функционирования на рынке. Она касается деятельности самого банка, его клиентов, деловых партнеров, конкурентов, контактных аудиторий. Порядок сбора, накопления и хранения информации о собственной деятельности определяется требованиями внутрибанковского менеджмента и должен быть зафиксирован в соответствующих внутренних регламентах (инструкциях, положениях и т.п.). Объем и порядок сбора информации о сторонних организациях зависит от избранной банком стратегии развития, в том числе по направлениям коммерческой деятельности и обеспечения безопасности. Так, сбор внешней информации может осуществляться:

- исключительно легитимными методами, силами службы маркетинга, других штабных служб и коммерческих отделов банка;

- в том числе и нелегитимными методами, осуществляемыми силами специального подразделения в составе службы безопасности.

Классификация конфиденциальной информации осуществляется по нескольким признакам:

По характеру информации она разделяется на:

- информацию, содержащую банковскую тайну (см. выше);

- информацию, содержащую коммерческую тайну, т.е. сведения, разглашение которых способно нанести ущерб интересам самого банка.

По содержанию информации она разделяется на:

- политическую информацию, например, отсутствующие в открытых источниках сведения об ожидаемых изменениях политической ситуации, законодательства, других политических факторах, способных повлиять на рыночное положение банка или связанных с ним хозяйствующих субъектов;

- экономическую информацию, например, отсутствующие в открытых источниках сведения об экономической ситуации в конкретных регионах и отраслях; информационный безопасность банк

- финансовую информацию, например, отсутствующие в открытых источниках сведения о финансовом состоянии клиентов и других партнерах банка;

- коммерческую информацию, например, результаты проведенного специалистами банка анализа соответствующих рынков или его планы их освоения;

- технологическую информацию, например, сведения о разработанных, но еще не внедренных банком новых технологий обслуживания клиентов;

- управленческую информацию, например, сведения об используемых банком методах управления по конкретным направлениям собственной деятельности.

По используемому носителю информации она разделятся на:

- информацию в устном виде, например, сведения, обсуждаемые в процессе делового совещания;

- информацию на бумажных носителях, т.е. традиционная форма документов, используемых кредитно-финансовой организацией;

- информацию в электронном виде, т.е. компьютерные базы данных, а также сведения, передаваемые по компьютерным коммуникациям или телефонным сетям (приоритетный объект защиты в современных условиях).

По степени секретности информации она разделятся на:

- абсолютно конфиденциальную, содержащую секретные сведения, разглашение которых способно нанести ущерб стратегического характера;

- строго конфиденциальную, содержащую совершенно секретные сведения;

- конфиденциальную, содержащую секретные сведения;

- для служебного пользования, содержащую наименее секретные сведения, не предназначенные лишь для открытой печати.

Нормативные ограничения в этой области определены требованиями Постановления Правительства РФ от 05.12.1991г. № 35 «Перечень сведений, которые не могут составлять коммерческую тайну». К ним относятся:

- учредительные документы, а также документы, дающие право заниматься предпринимательской деятельностью (лицензии, сертификаты и т.п.);

- сведения, касающиеся деятельности предприятия как налогоплательщика;

- документы о платежеспособности (что, по нашему мнению, является очень расширительной трактовкой соответствующей финансовой информации);

- сведения о деятельности предприятия как работодателя;

- сведения об имеющихся нарушениях действующего законодательства (экологического, трудового и т.п.).

Кредитно-финансовые организации дополнительно руководствуются в своей деятельности требованиями Закона РФ «О банках и банковской деятельности», определяющими необходимость сохранения банковской тайны.

Глава II Угрозы информационной безопасности банка

2.1 Объекты и субъекты угроз информационной безопасности банка

Отраслевая специфика банка как посредника на финансовых рынках и доверенного лица своей клиентуры определяет более обширный, чем в других отраслях, перечень возможных угроз его информационной безопасности. Их объектом могут выступать любые конфиденциальные сведения. Однако приоритетным объектом всегда являются сведения, составляющие банковскую тайну, что и определяет главное направление защиты конфиденциальной информации кредитно-финансовых организаций.

Субъектами угроз информационной безопасности банка могут выступать:

- конкуренты, как самого банка, так и его клиентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;

- криминальные структуры, пытающиеся получить сведения о самом банке или его клиентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров «неформальных пошлин» с рэкетируемых ими предприятий - клиентов банка);

- индивидуальные злоумышленники (в современных условиях - чаще всего наемные хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;

- собственные нелояльные сотрудники банка, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;

- государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

2.2 Формы проявления и методы реализации угроз информационной безопасности банка

Угрозы информационной безопасности банка могут проявляться в следующих формах:

- перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшего банка заключается в том, что о самом факте утечки он, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);

- хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи - приобретает соответствующие сведения и лишает их пострадавший банк;

- повреждение или уничтожение информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемому банку.

Методы реализации угроз информационной безопасности банка дифференцируются в зависимости:

- от вида данных, являющихся объектом угрозы;

- от субъекта угрозы.

При использовании классификации по первому признаку можно отметить, что основной угрозой является не санкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы.

Сторонние для банка структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любого банка системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций. Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать («снимать») информацию с работающих компьютеров, факсов, модемов. Возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самого банка, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.

Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений - включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в банк всегда достаточно затруднительно, сторонние для него субъекты угроз также стремятся использовать в этих целях собственный персонал кредитно-финансовых организаций.

Наконец, для перехвата информации в устном виде используют разнообразные технические устройства - скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе - в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемого банка в части приобретения необходимых технических средств перехвата информации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США).

Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты, как самого банка, так и его клиентов. Чаще всего ими применяются:

- вербовка сотрудников территориальных налоговых органов и учреждений Центрального банка, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкурирующему банку и особенно распространено в современных отечественных условиях);

- внедрение своих агентов в атакуемый банк, что доступно лишь для наиболее крупных конкурирующих банков и корпораций, располагающих мощными службами безопасности и специально подготовленными сотрудниками;

- вербовка сотрудников атакуемого банка с использованием методов подкупа и реже шантажа;

- использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;

- использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах.

Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемого банка, применяя для этого прямые угрозы, шантаж и, реже, подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.

Индивидуальные злоумышленники (в современных условиях - чаще всего наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.

Нелояльные сотрудники банка могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних для банка структур. Чаще всего, при реализации рассматриваемых угроз они используют собственное служебное положение, обеспечивающее им доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять роль резидентов нанявших их сторонних для банка структур. В этом случае, сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовка информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государства в отличие от конкурентов, чаще используют метод внедрения в контролируемый ими банк собственных сотрудников. Уровень их подготовки обычно очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших банков функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о конкретном клиенте из числа представителей теневой экономики). В крупнейшие банки агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов.

Глава III Обеспечение информационной безопасности банка

Организация работы по рассматриваемому направлению осуществляется в следующей общей последовательности.

Первым этапом является формирование ранжированного перечня конфиденциальных сведений банка как объекта защиты и присвоение им соответствующего грифа секретности. Можно рекомендовать следующий типовой укрупненный перечень (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации).

Абсолютно конфиденциальные сведения (гриф ХХХ2) включают в себя:

- информацию, составляющую банковскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов банка (стратегия маркетинга, новые научные и технологические разработки, финансовые резервы и места их хранения, используемые схемы налогового планирования и т.п.);

- закрытую информацию о собственниках, принадлежащих им активах, механизмах коммерческого партнерства с банком, формах участия в прибылях;

- информацию о стратегических планах банка по коммерческому и финансовому направлениям деятельности, вопросам перспективного регионального развития, слияния с другими кредитно-финансовыми организациями или поглощения их, о дружественных банках и иных финансовых институтах (особый характер отношений с которыми необходимо на время скрыть);

- любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий «упреждающего противодействия» и, частично, «адекватного ответа»;

- прикладные методы защиты информации банка (коды, пароли, программы).

Строго конфиденциальные сведения (гриф ХХ) включают в себя:

- все прочие конфиденциальные сведения о клиентах банка;

- информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;

- информацию о сотрудниках банка, содержащуюся в индивидуальных досье.

Конфиденциальные сведения (гриф Х) включают в себя:

- базы данных по направлениям деятельности кредитно-финансовой организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;

- сведения о заработной плате и индивидуальных «социальных пакетах» сотрудников банка, а также составе «резерва на выдвижение»;

- внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрибанковского менеджмента.

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Результатом этой работы является внутренний (строго конфиденциальный) документ - «Перечень сведений, составляющих банковскую и коммерческую тайну». Наряду с определением общего состава защищаемой информации он должен содержать порядок понижения уровня ее секретности и последующего полного рассекречивания. Это является отражением процессов естественного устаревания любых конфиденциальных сведений.

По прошествии определенного времени или при изменении ситуации (например, ликвидации фирмы - клиента банка) они перестают нести угрозу информационной безопасности банка, поэтому дальнейшая их защита становится нецелесообразной.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации банка. При этом выделяются следующие группы каналов:

Каналы утечки через внешние и локальные компьютерные сети банка, целью определения которых является выявление (для последующей организации их особой защиты) терминалов:

- объединенных в закрытые локальные сети;

- используемых работниками банка - носителями особо секретных сведений;

- подключенных к локальным сетям и доступных для использования клиентами банка, а также другими лицами, не являющимися его сотрудниками.

Каналы утечки с использованием технических средств перехвата информации, целью определения которых является выявление помещений, нуждающихся в особой защите:

- зал заседания Правления и Совета директоров;

- кабинеты высших руководителей и ведущих экспертов;

- хранилище банка;

- офисы службы программного обеспечения;

- офисы службы безопасности;

- помещения, в которых обычно осуществляется неформальное общение сотрудников банка (туалетные и курительные комнаты, буфеты, столовая);

- комнаты для переговоров и т.п.

Каналы утечки по вине нелояльных или безответственных сотрудников банка, целью определения которых является составление перечня рабочих мест (должностей), ранжированных по принципу доступа к различным группам защищаемой информации и нуждающихся в специальном обучении, защите или особом контроле:

- носители абсолютно конфиденциальной информации (допуск «А»);

- носители строго конфиденциальной информации (допуск «В»);

- носители конфиденциальной информации (допуск «С»);

- группа повышенного риска (молодые специалисты и недавно нанятые сотрудники).

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в отношении каждой из позиций указанного выше «Перечня», следовательно - обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы:

К методам программно-математического характера относятся:

- программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры банка;

- программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);

- программы, автоматически кодирующие (шифрующие) информацию;

- программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;

- программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.

К методам технического характера относятся:

- использование экранированных помещений для проведения конфиденциальных переговоров;

- использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройствами автоматического уничтожения ее при попытке несанкционированного проникновения);

- использование детекторов и иной аппаратуры для выявления устройств перехвата информации;

- использование защищенных каналов телефонной связи;

- использование средств подавления устройств перехвата информации;

- использование средств автоматического кодирования (шифровки) устной и письменной информации.

К методам организационного характера относятся:

- мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);

- мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников банка на службе и вне ее);

- мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;

- мероприятия по контролю над соблюдением установленных правил информационной безопасности;

- мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности банка, предполагающее:

Разработку общей концепции информационной безопасности как элемента общей стратегии безопасности банка, определяющей:

- принципы ранжирования конфиденциальной информации по степени ее важности для банка, следовательно, по требованиям к эффективности защиты;

- подходы к обеспечению специальными программными продуктами (самостоятельная разработка или заказ у специализированных подрядчиков);

- подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами (безопасности, персонала, маркетинга, информационных технологий) и линейными подразделениями;

- подходы к выбору методов пресечения выявленных угроз;

- подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов банка, выделение средств под представленные сметы и целевые программы и т.п.);

- критерии оценки эффективности защиты конфиденциальной информации;

Разработку внутренней нормативной базы в составе:

общих для всего банка регламентов (например, «Положение о правилах обеспечения информационной безопасности», «Правила проведения конфиденциальных переговоров», «Правила работы с закрытыми базами данных», «Перечень сведений, составляющих банковскую и коммерческую тайну» и т.п.),

внутренних регламентов службы безопасности банка, включая должностные инструкции ее сотрудников, специализирующихся в этой области;

правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений банка и должностных инструкциях его сотрудников.

Расчет и выделение финансовых ресурсов необходимых:

- для приобретения (самостоятельной разработки), эксплуатации и обновления программных средств и средств инженерно-технической защиты;

- для проведения соответствующих организационных мероприятий;

- службе безопасности для осуществления специальных профилактических и контрольных мероприятий.

Обучение персонала банка и специалистов самой службы безопасности правилам обеспечения информационной безопасности.

Формирование и последующее развитие формализованных процедур контроля над соблюдением установленных в рамках данной подсистемы правил силами:

- службы безопасности банка;

- руководства структурных подразделений.

Глава IV Хакерство в России и за рубежом

Финансовый сектор был и остается наиболее привлекательным полем как для обычного, так и для виртуального мошенничества. Причем география очень широкая: Америка, Европа, Азия входят в сферу интересов интеллектуальных грабителей. И в большинстве случаев преступления совершают сами сотрудники финансовых учреждений, а нередко и топ-менеджмент.

Главным источником кибератак в финансовом секторе остаются Соединенные Штаты (49 %). Это существенно выше показателя общемировых атак по интернету в целом (32 % за тот же период). Впрочем, этот результат может объясняться тем, что в учреждениях финансового сектора США установлено больше датчиков, чем в любом другом регионе. Вторым по интенсивности исходящих атак на финансовые компании стал Китай (20 %). Япония генерирует 3 % атак против финансовых учреждений, занимая третье место, как в первом, так и во втором случае.

Кибератаки по странам

Спам, связанный с финансовыми продуктами и услугами, занимает третье место в мире (15 % от всего спама в интернете) после медицинских услуг (32 %) и коммерческих продуктов (30 %).

В последнее время финансовые киберпреступления перерастают в неприятную тенденцию. Хакерство "из любви к искусству" сменяется хакерством ради наживы. И как ожидается, этот сдвиг мотивации будет только усиливаться: злоумышленники чаще будут переходить от угроз, нацеленных на уничтожение или искажение данных, к краже конфиденциальной, финансовой и персональной информации с целью материального обогащения. Инструменты, которые применяются для совершения подобных действий, часто называют преступным программным обеспечением.

Дальнейшее развитие получит использование взломщиками вредоносного кода, который, проникнув в компьютер пользователя, остается незамеченным. Скрыть его присутствие можно различными методами. По мнению экспертов корпорации Symantec, особенно активно будет развиваться один из наиболее ходовых в настоящее время приёмов внедрения вредоносного кода - rootkit. Эта программа (набор программ) не заражает машину сама, как вирусы или "черви", а пытается создать необнаруживаемую среду, в которой вредоносный код и угрозы для безопасности смогут выполнять свои функции.

Используя rootkit, киберпреступник сможет еще активнее взламывать системы, так как получит возможность выполнять в них практически любые действия, включая удаленный доступ, кражу и передачу конфиденциальной информации, установку дополнительных угроз для безопасности - рекламного и шпионского программного обеспечения.

За последние годы число уникальных фишинговых сообщений, определенных как фишинг против финансовых учреждений, увеличилось на треть. Мишенью фишинговых атак становились в среднем 20 финансовых учреждений в день.

Возможно, основной целью сетевых атак в ближайшее время станут не одноразовые взломы и информационные диверсии, а создание инфраструктуры, обеспечивающей работу и распространение преступного программного обеспечения.

Взлом компьютеров, или хакерство, в настоящее время становится сверхдоходным бизнесом. Прошли те дни, когда это было занятием тинейджеров, которые сидели в квартирах своих родителей и пытались взломать компьютерную систему какой-либо компании просто для того, чтобы самоутвердиться. Сегодняшние хакеры зачастую принадлежат к организованным криминальным структурам, разрастающимся до небывалых размеров. Число хакерских атак против банков в первой половине 2007 года, по данным SecureWorks, американского провайдера услуг в сфере информационной безопасности, выросло на 81% по сравнению с аналогичным прошлогодним периодом. Только за сентябрь 2007 года специалисты SecureWorks блокировали 167 млн. хакерских атак на банки и почти столько же - на небанковские кредитные учреждения.

Список литературы

1. Организация и управление безопасностью в кредитно-финансовых организаций. А.Р.Алавердов. Москва. МЭСИ -2004г.

2. Экономизация коррупции. Механизм противодействия: монография/С.М.проява. - М.:ЮНИТИ-ДАНА, Закон и право, 2008.

3. Теневая экономика/под ред.Эриашвили Н.Д. - М.:ЮНИТИ-Дана, 2008.

4. Экономическая безопасность/Г.С.Вечканов. - СПб: Питер, 2007.

5. Банковское дело: учебник - 2-е изд., перераб. и доп./Под ред О.И.Лаврушина. - М.:Финансы и статистика, 2005.

6. Защита информации в банковском деле м электронном бизнесе/М.А.Деднев, Д.В.Дыльнов, М.А.Иванов. - М:КУДИЦ-ОБРАЗ, 2004.

Размещено на Allbest.ru