Направления защиты автоматизированной системы обработки информации в банке "Глобэкс"
Анализ развития банковской системы в России. Влияние достижений в сфере компьютерной обработки информации на развитие банковских технологий. Угрозы безопасности автоматизированной системы обработки информации и анализ ее защищенности в АКБ "Глобэкс".
Рубрика | Банковское, биржевое дело и страхование |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 02.02.2012 |
Размер файла | 87,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
в. Субъекты АСОИ -- процессы и подпроцессы пользователей. Целью таких атак является либо прямое воздействие на работу процесса -- его приостановка, изменение привилегий или характеристик (приоритета, например), либо обратное воздействие -- использование злоумышленником привилегий, характеристик и т.д. другого процесса в своих целях. Частным случаем такого воздействия является внедрение злоумышленником вируса в среду другого процесса и его выполнение от имени этого процесса. Воздействие может осуществляться на процессы пользователей, системы, сети.
Подобная классификация показывает сложность определения возможных угроз и способов их реализации. Это еще раз подтверждает тезис, что определить все множество угроз АСОИ АКБ «Глобэкс» и способов их реализации не представляется возможным. Не существует универсального способа защиты, который предотвратил бы любую угрозу. Этот факт обуславливает необходимость объединения различных мер защиты для обеспечения безопасности всей АСОИ в целом.
Помимо анализа угроз безопасности АСОИ в АКБ «Глобэкс», необходимо провести классификацию нарушителей, которые представляют эти угрозы.
При разделении нарушителей безопасности по классам можно исходить из их принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.
Прежде всего, разделим нарушителей на внутренних и внешних. По данным многих источников и статических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%. Мельников Ю., Теренин А. Возможность нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак. (Окончание)// Банковские технологии .--2003.-- №2 - С. 43-57
Потенциально к внутренним нарушителям относятся сотрудники самого АКБ «Глобэкс» или сотрудники организаций из сферы информационных технологий, представляющие банку телекоммуникационные и иные информационные услуги.
Среди внутренних нарушителей АКБ «Глобэкс» в первую очередь можно выделить:
непосредственных пользователей и опереторов информационной системы, в том числе руководителей различных уровней;
администраторов вычислительных сетей;
прикладных и системных программистов;
сотрудников службы безопасности;
технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до ремонтной бригады;
вспомогательный персонал и временных работников;
Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следущие:
безответственность;
ошибки пользователей и администраторов;
демонстрация своего превосходства (самоутверждение);
«борьба с системой»;
корыстные интересы пользователей системы;
недостатки используемых информационных технологий;
Для предотвращения нарушений необходимо проводить специальную подготовку персонала, поддерживать здоровый рабочий климат в коллективе, проводить тщательный отбор нанимаемых сотрудников, своевременно обнаруживать злоумышленников.
Группу внешних нарушителей АКБ «Глобэкс» могут составлять:
клиенты;
приглашенные посетители;
представители конкурирующих организаций;
сотрудники органов ведомственного надзора и управления;
нарушители пропускного режима;
наблюдатели за пределами охраняемой территории.
По рекомендации экспертов в области информационной безопасности, особое внимание следует обращать на вновь принимаемых сотрудников в следущих профессиях: администраторы, программисты, специалисты в области компьютерной техники и защиты информации. Известны случаи внедрения сотрудников, работающих на конкурентов, поступления на работу хакера-одиночки или представителя хакерской группы. Чрезвычайную опасность представляют специалисты подобного уровня при вхождении в сговор с руководстом подразделений и службами безопасности банка, а также с организованными преступными группами.
Учитывая тот факт, что нарушители могут обьединяться в группы, использовать различные методы атак на АСОИ АКБ «Глобэк», то необходимо провести анализ защищенности информации в самом банке.
2.2 Организационно-правовое обеспечение защиты информации в АКБ «Глобэкс»
Основным условием обеспечения безопасности банка, в частности, защиты самого банка и его клиентов от противоправных посягательств, является прибретение им правоспособности. С этого момента банк приобретает в соответствии с п.1 ст.49 Гражданского кодекса РФ Гражданский кодекс РФ // СЗ РФ, 1994, №32, ст331. возможность иметь гражданские права, соответствующие целям деятельности, предусмотренные в его учредительных документах, и несет связанные с этой деятельностью обязанности.
Очевидно, что в работе любого коммерческого банка образуется большое количество как открытой информации, так и информации ограниченного доступа, которая в соответствии с Федеральным Законом РФ «Об информации, информатизации и защите информации» Федеральный Закон РФ «Об информации, информатизации и защите информации» // СЗ РФ, 1995 №8, Ст. 609 подлежит защите собственником информационных ресурсов, т.е. самим банком.
На первом уровне располагаются законодательные акты государства, регламентирующие деятельность любой коммерческой организации, в том числе и акционерного коммерческого банка, в области защиты информации и определяющие обьем их прав и обязанностей. К таким законодательным актам в сфере банковской деятельности относятся Указ президента РФ «Об утверждении перечня сведений конфиденциального характера», ФЗ РФ «О банках и банковской деятельности», ФЗ РФ «Об информации, информатизации и защите информации», ГК РФ. В их числе можно также назвать ФЗ РФ «О безопасности» Федеральный Закон РФ «О безопасности»//ВСНД и ВС РФ. 1992. № 15 ст.769, ФЗ РФ «О частной детективной и охранной деятельности в РФ» Федеральный Закон РФ «О частной детективной и охранной деятельности в РФ»//ВСНД и ВС РФ. 1992. №17
ст.888 и ряд нормативных актов Центрального банка РФ, например, «Положение об организации внутреннего контроля в банках» от 28.08.97 №509 Приказ Банка России от 28.08.97. №02-372.
В своей деятельности служба безопасности АКБ «Глобэкс» использует все ранее перечисленные законодательные государственные документы, а также Трудовой кодекс РФ Трудовой Кодекс РФ //СЗ РФ, №1, ч.1, 07.01.2002г., кодекс РФ об административных правонарушениях Кодекс РФ об административных правонарушениях //СЗ РФ, №1, ч.1 07.01.2002г., Уголовно-процессуальный Уголовно-процессуальный кодекс РФ // СЗ РФ, №52, ч.1, 24.12.2001г. и Гражданско-процессуальный кодексы РФ Россйская газета №220. 20.11.2001 г.. Одновременно используются внутренние организационно-нормативные и организационно распорядительные документы, регламентирующие в том или ином обьеме деятельность всех структурных подразделений банка.
Успешное и эффективное решение задач обеспечения безопасности АКБ «Глобэкс» достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников линейных подразделений и служб, в том числе и службы безопасности.
Внутренние нормативные документы, регулирующие правовую деятельность АКБ «Глобэкс», делятся на две основные группы. К первой группе относятся: 1. Положения о Службе безопасности, в которых закрепляется юридический статус за службой. Служба безопасности является самостоятельным структурным подразделением банка.. 2. Должностные инструкции сотрудников Службы безопасности. Структура должностной инструкции включает в себя следующие разделы: общие положения, термины и определения, должностные обязанности, права, ответственность. Контроль финансово-хозяйственной деятельности Службы безопасности осуществляет ревизионная комиссия банка, которая имеет право доступа ко всей документации службы. Прекращение деятельности службы безопасности осуществляется в форме реорганизации или ликвидации. При реорганизации ее права и обязанности переходят к правопреемнику. Ликвидация СБ осуществляется ликвидационной комиссией, созданной Советом директоров банка.
Государственные организации получают доступ к деятельности Службы безопасности только в случаях, предусмотренных действующим законодательством.
Деятельность других сотрудников, отделов и служб регламентируется второй группой внутренних нормативных актов, которые включают в себя: Правила внутреннего трудового распорядка, в котором включены пункты, обязывающие всех сотрудников банка защищать его собственность и иные интересы.
Все эти нормативные документы банка разработаны сотрудниками СБ совместно с соответствующими отделами банка и после их утверждения Президентом банка подлежат совместному контролю за их исполнением.
Необходимо отметить, что в правовом обеспечении Службы безопасности в АКБ «Глобэкс» отсутствует Перечень сведений, составляющих коммерческую тайну банка, а также Договор о сохранении коммерческой тайны в АКБ «Глобэкс» между банком и сотрудником.
Современный банк представляет собой чрезвычайно сложное и рискованное предприятие. По этой причине укомплектованность банка высокопрофессиональным и надежным персоналом, способным добиваться высокой результативности труда (прибыли), умело защищать права и интересы банка, его вкладчиков и деловых партнеров - одно из основных условий обеспечения экономической безопасности банка.
Основные требования к деловым и личным характеристикам работников банка сформулированы в Законе о банках и банковской деятельности и конкретизированы в нормативных актах банка России, квалификационных характеристиках и стандартах профессиональной деятельности в кредитно- финансовой сфере.
При процедуре отбора кадров в банке «Глобэкс» акцент делается прежде всего на выяснении уровня профессиональной подготовки кандидатов на работу, который определяется по традиционно-формальным признакам: образование; разряд; стаж работы по специальности. Также служба безопасности банка проверяет сведения о кандидате через органы внутренних дел - о наличии (отсутствии) судимости кадидата. Кадровая служба банка «Глобэкс» использует при найме кандидатов на работу психологическое тестирование, анкетирование. Службой безопасности и отделом кадров не проводится обучение персонала вопросам безопасности, что сказывается на уровне обеспечения защиты банка.
При работе персонала банка с конфиденциальной информацией выявлены следущие недостатки: 1. Нет регламентированного порядка по доступу сотрудников к сведениям, составляющим коммерческую тайну. 2. Отсутствует единый порядок работы с защищаемой информацией. На сотрудников не возлагаются обязательства по неразглашению коммерческой тайны банка.
Проведенный анализ в АКБ «Глобэкс» показал, что при возникновении критической ситуации в работе АСОИ сотрудники банка в редких случаях следуют установленным инструкциям или правилам. Поэтому в банке необходимо создать специальную службу, которая отвечала бы за безопасность работы АСОИ в банке.
Помимо анализа кадровой политики и правового обеспечения необходимо провести анализ программно-аппаратной и инженерно - технического обеспечения защиты информации в АКБ «Глобэкс».
2.3 Программно-аппаратное обеспечение защиты информации банка
Автоматизированная банковская система АКБ «Глобэкс» проектировалась на принципах распределенной обработки данных и архитектуры «клиент-сервер». Она предоставляет пользователям широкие возможности для проведения банковских операций, ведения бухгалтерского учета, обслуживания клиентов, подготовки отчетов и обеспечения руководства банка информацией, необходимой для принятия решений. Программное обеспечение разрабатывается в рамках единой технологии и охватывает все операции банка.
Характерными чертами автоматизированной системы АКБ «Глобэкс» являются: комплексный подход к осуществлению всех банковских операций в автоматическом режиме, модульность построения, возможность проведения операций в режиме реального времени, гибкость и возможность оперативного внесения изменений в процессе эксплуатации, открытость и возможность интеграции с другими финансовыми приложениями, наличие дружественного интерфейса с пользователем, простота в эксплуатации и масштабируемость.
Компьютерная безопасность находится в ведении службы сопровождения и внедрения программного обеспечения. Квалифицированных разработчиков программного обеспечения и системных программистов в такой службе достаточно много. Однако специалисты в области систем компьютерной безопасности практически отсутствуют.
У программного обеспечения, используемого в банке, есть один большой недостаток - отсутствует комплексная система защиты информации, она не сертифицирована по квалификационным требованиям защищенности, а существующие средства и методы защиты информации в этой системе либо заимствованы у зарубежных фирм, либо самодельные, то есть недостаточно надежные.
Руководство службы сопровождения и внедрения программного обеспечения отказывается использовать системы сторонних разработчиков, предпочитая разрабатывать собственные. Отметим, что средства разработки программного обеспечения разнообразны: начиная от С, С++, Clarion и заканчивая мощными средствами проектирования информационных систем - CASE-средствами, распределенными базами данных и сетевыми системами. При создании системы программисты банка тщательно продумывают интерфейсные связи внутри системы и общения с пользователем, продумывают алгоритмы ускоренного поиска в базах данных, структуры файлов. При этом выбор средств разработки системы (программного языка реализации) зависит только от числа самих программистов и их профессиональной подготовки - при проектировании системы не производится анализ распространенности используемых форматов данных и возможности их конвертирования в другие легко отображаемые форматы. Полученная в результате такого проектирования система выполняет хорошо продуманные и четко реализованные функции, но данные хранятся в формате, который легко читается любым редактором текстов, или их можно конвертировать в другие более распространенные форматы данных. В этом случае в системе обеспечен высокий уровень надежности обработки и хранения, а также физической (не логической) целостности данных, но уровень безопасности информации является крайне низким.
Программный продукт, используемый в банке, содержит систему разграничения доступа. Мероприятия по вводу нового пользователя в систему с организационной точки зрения остаются на усмотрение службы сопровождения и внедрения программного обеспечения. Примером может служить заполнение анкеты на право доступа к системе, в которой содержится перечень функциональных задач, перечень операций в конкретной функциональной задаче, перечень действий, разрешенных оператору к выполнению. Анкету утверждают руководство банка, служба безопасности, служба сопровождения. После этих действий оператору для входа в систему необходимо знать два пароля: пароль супервизора для физического входа в компьютер и личный пароль для входа в систему. Причем хранение паролей организовано так, что контроль за разглашением паролей и, соответственно, разграничение доступа к информации становится бесполезным делом.
Руководство АКБ «Глобэкс» предпочитает содержать штат разработчиков программного обеспечения и своими силами разрабатывать функциональные задачи. В результате этого в составе имеющихся в банке средств появляются отладчики, дизассемблеры, компиляторы, трансляторы и другие вспомогательные средства. Кроме того, никто даже не может подозревать о наличии программных закладок в разработанном программном обеспечении, пока их действие не начинает сказываться. Разработчик системы становится "компьютерным богом", ему известно о системе все, все ее слабые места, он знает, как можно модифицировать информацию так, чтобы об этом не узнал никто. Никто, кроме него, не может лучше осуществлять сопровождение системы.
Банк становится полностью зависимым от своих программистов, следовательно, при увольнении кого-то из них у банка появляется много сложностей, которых можно было бы избежать, если бы использовалась сертифицированная система сторонней организации.
Также существуют проблемы при следовании правилам архивирования информации. В результате того, что копия всей информации с файл-сервера снимается раз в неделю на магнитную ленту, то через две недели или, в лучшем случае, через месяц на эту же ленту записывается очередная копия информации. Уничтожение информации приводит к невозможности определения фактов злоумышленной модификации информации. Все следы уничтожаются.
Проведенный анализ состояния систем защиты показал, что отсутствует регламент проведения антивирусной диагностики. Антивирусные мероприятия начинают проводиться только при обнаружении очередного вируса в системе. Потери дорогостоящего машинного времени на профилактические работы иногда заставляют персонал, сопровождающий автоматизированную систему, отказаться от регламентированных запусков антивирусных средств. При этом потери ресурсов из-за необходимости глобального восстановления информации после действия вируса не оцениваются, а реально они составляют гораздо больше, чем затраты на профилактику.
Помимо программно-аппаратных мер защиты, следует проанализировать используемые элементы инженерно-технической защиты.
В АКБ «Глобэкс» применяются следующие категории инженерно-технического обеспечения безопасности:
* средства физической защиты;
* система телевизионного видеоконтроля;
* охранные системы;
* подсистема контроля и ограничения доступа персонала и клиентов
(посетителей) в различные помещения банка;
* подсистема пожарной сигнализации;
Такое деление на категории достаточно условно, так как эти средства инженерно-технической защиты применяются в комплексе.
Территория банка поделена на восемь территорий. Каждому посетителю или сотруднику банка выдается бумажный пропуск, разрешающий доступ в определенную территорию. Например, посетители банка могут посещать только клиентский отдел и кассовый зал. Руководство банка имеет доступ во все территории банка.
Мероприятия по обеспечению физической безопасности включают в себя ограничение доступа в банк. К посетителям на время пребывания в банке приставляют сопровождающего, но проследить все действия посетителей - трудная задача.
В такие помещения, как дилинговый зал, вычислительный центр доступ ограничен применением контрольных замков. Двери открываются индивидуально кодированными картами вместо обыкновенных механических ключей. После вставления карты в считывающий прибор, который оборудован вблизи двери, дверь открывается в зависимости от правильности кода. Каждая карта имеет свой номер для индивидуального пользования. Использование нового допуска или стирание права пользования (например, при потере карты) и подобные действия регистрируются и проверяются. Неразрешенные попытки проникновения обнаруживаются и вызывают срабатывание сигнализации.
Для обнаружения пожара в банке используются пожарные извещатели, реагирующие на одно или несколько физических явлений, сопровождающих загорание: тепловое излучение, световое излучение, выделение дыма.
Рабочие места сотрудников кассы снабжены устройствами сигнализации (аварийные кнопки), от которых сигнал поступает на пост оперативного дежурного.
Круглосуточное наблюдение за внешним периметром обеспечивается с помощью видеокамер, управляемых с пульта дистанционного контроля. Хорошее внешнее освещение обеспечивает полноценное наблюдение за периметром.
Выводы по второй главе:
1. Автоматизированная система обработки информации - одна из наиболее уязвимых частей в информационном обеспечении АКБ «Глобэкс», поэтому банку приходится постоянно решать проблемы, связанные с её безопасностью.
2. Автоматизация АКБ «Глобэкс» приводит к росту угроз несанкционированного доступа к информации, и, как следствие, к необходимости постоянной поддержки и развития системы защиты;
3. Среди главных недостатков в работе службы сопровождения и внедрения програмного обеспечения Службы безопасности АКБ «Глобэкс» можно выделить следующие:
3.1 Штатное обеспечение службы безопасности недостаточно. Почти нет специалистов по защите информации.
3.2 Персоналом банка не проводится систематическая антивирусная проверка.
3.3 Отсутствие ряда нормативных документов не позволяет в полной мере и компетентно решать вопросы безопасности и защиты информации.
3.4 Практически не ведется работа с персоналом после зачисления сотрудников в штат.
ГЛАВА 3. Направления совершенствования организационной защиты автоматизированной системы обработки информации в АКБ “Глобэкс”
Прежде всего необходимо определить право на Коммерческую тайну (КТ) в Уставе АКБ «Глобэкс». Коммерческая тайна - вид тайны, включающий информацию, устанавливаюмую и защищаемую ее собственником в любой области его коммерческой деятельности, доступ к которой ограничивается в интересах собственника информации Алексенцев А.И. Защита информации. Словарь базовых терминов и определений.-М: издательство РГГУ, 2000.-
С.8.. Определить право на КТ можно, дополнив Устав специальным разделом примерно следующего содержания:
“Банк организует защиту своей КТ. Состав и объем сведений, составляющих КТ, порядок их защиты определяется Президентом банка. Президент банка, его заместители и сотрудники банка обязаны строго хранить КТ банка”
Внесение этих дополнений дает право администрации банка Халяпин Д.Б., Ярочкин В.И. Основы защиты информации. (Учебное пособие). -М.: ИПКИР,1994.- С.106.:
создавать в рамках службы безопасности подразделения по защите коммерческой тайны;
издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
включать требования по защите коммерческой тайны в договора по всем видам хозяйственной деятельности;
- требовать защиты интересов банка перед государственными и судебными органами;
- распоряжаться информацией, являющейся собственностью банка, в целях извлечения выгоды и недопущения экономического ущерба коллективу банка и собственнику средств производства.
Целесообразно также создать службу защиты компьютерной информации, которая в соответствии с руководящим документом Государственной технической комиссии России (ГТК)Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации (классификация автоматизированных систем и требования по защите информации)».ГТК, Москва, 1992. предполагает наличие администратора защиты (безопасности) компьютерной информации, как правило, в составе административной службы или группы управления защитой компьютерной информации.
3.1 Создание службы компьютерной безопасности
Основу политики безопасности информационных систем, используемых в АКБ «Глобэкс», составляет способ управления доступом, определяющим порядок доступа субъектов системы к объектам системы. Политика безопасности и механизмы поддержки ее реализации образуют единую защищенную среду обработки информации. Эта среда имеет иерархическую структуру, где верхние уровни представлены требованиями политики безопасности, далее следует интерфейс пользователя, затем идут несколько программных уровней защиты (включая уровни операционных систем) и, наконец, нижний уровень этой структуры представлен аппаратными средствами защиты.
Для обеспечения надлежащего выполнения требований политики безопасности в АКБ «Глобэкс» должна быть создана Служба компьютерной безопасности, задачей которой является обеспечение защиты автоматизированной системы обработки информации. Эта служба должна входить в состав Службы безопасности и непосредственно подчиняться начальнику Службы безопасности.
На эту службу возлагаются обязанности по сопровождению системы защиты, обнаружения и расследования нарушений политики безопасности и т.д.
В обязанности входящих в эту службу специалистов должно быть включено не только исполнение директив вышестоящего руководства, но и участие в выработке решений по всем вопросам, связанным с процессом обработки информации с точки зрения обеспечения её защиты. Более того, все их распоряжения в этой сфере их ответственности должны быть обязательны для исполнения сотрудниками всех уровней организационных звеньев банка. Кроме того, организационно эта служба должна быть обособлена от всех отделов или групп, занимающихся управлением самой системой, программированием и другими относящимися к системе задачами во избежание возможного столкновения интересов.
В перечень функций службы должно входить:
1. Управление доступом пользователей системы к данным, включая установку (периодическую) смену паролей, управление средствами защиты коммуникаций и криптозащиту передаваемых, хранимых и обрабатываемых данных.
2. Разработка планов защиты. Контроль за их соблюдением, а также контроль за хранением резервных копий.
3. Доведение до пользователей изменений в области защиты, которые имеют к ним отношение, обучение персонала и пользователей АСОИ.
4. Взаимодействие со службой сопровождения и внедрения програмного обеспечения по вопросам защиты информации в АСОИ.
5. Совместная работа с представителями других организаций по вопросам безопасности: непосредственный контакт или консультации с партнерами или клиентами.
6. Расследование происшедших нарушений защиты.
7. Координация действий с аудиторской службой, совместное проведение аудиторских проверок.
8. Постоянная проверка соответствия принятых в организации правил безопасности обработки информации существующим правовым нормам, контроль за соблюдением этого соответствия.
9. Разработка регламента проведения антивирусной диагностики, в котором должны быть указаны: тип антивирусных программ, используемых для проверки; периодичность проведения антивирусной проверки пользователями АСОИ; действия персонала при обнаружении вирусов.
На этапе реализации системы защиты функции сотрудников службы компьютерной безопасности заключаются в установке и настройке средств защиты.
На этапе сопровождения функции заключаются в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности.
В состав службы должны входить следущие специалисты:
1. Специалист по безопасности.
В его обязанности входит обеспечение должного контроля над защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой в своей зоне ответственности.
2. Администратор системы защиты автоматизированной системы обработки информации банка (администратор безопасности).
Обязанности администратора безопасности включают в себя задачи, связанные с эксплуатацией средств защиты информации, реагированием на нарушения в компьютерной системе, восстановлением работоспособности компьютерной системы и взаимодействием с остальными подразделениями. Он должен также оперативно доводить до сведения пользователей нововведения в сфере защиты информации в системе, следить за восстановлением и хранением резервных копий программного обеспечения защиты информации.
3. Администратор безопасности данных.
В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.
4. Специалист по управлению обработки информации и её защиты.
В его обязанности входит поддержка эффективных мер защиты информации при её обработке для обеспечения сохранности данных и программного обеспечения, а также контроль за выполнением плана их восстановления.
Ключевой фигурой в службе компьютерной безопасности является администратор безопасности, поэтому его функции будут рассмотрены более подробно.
Для борьбы с нарушителями безопасности АСОИ, классификация которых представлена во второй главе, администратор безопасности должен четко выполнять правила, предписанные политикой безопасности АКБ «Глобэкс». Устанавливать самые последние версии используемых програмных продуктов и операционных систем, а также выпускаемые к ним патчи и расширения. Отслеживать публичные списки обнаруживаемых уязвимостей в программно-аппаратных продуктах известных производителей и совершать рекомендуемые действия для предотвращения реализации угроз с использованием обнаруженных уязвимостей.
Администратор безопаснсти принимает участие в обеспечении непрерывности процесса обработки информациию. В пределах своей зоны ответственности он поддерживает:
* аварийный архив - копии используемого в компьютерной сети
программного обеспечения.
* текущий архив - данные состояния системы на конец
предыдущего рабочего дня;
* долговременный архив - данные системы за предварительно
установленный период.
В случае возникновения нарушения в работе АСОИ администратор безопасности выполняет следующие действия:
* классифицирует нарушение - (нарушение конфиденциальности, целостности, подлинности информации или нарушение общей работоспособности всей автоматизированной системы обработки информации АКБ «Глобэкс»);
* принимает меры для ликвидации последствий нарушения (восстанавливает разрушенные данные и программы, используя аварийные, текущие и долговременные архивы);
* исключает из системы скомпрометированные идентификаторы и ключи;
* определяет причину возникновения нарушения (несанкционированный доступ, вирусное воздействие, сбой, отключение электропитания, кража носителей, выход из строя и т.д.)
* сообщает о нарушении начальнику Службы безопасности ;
* определяет размер ущерба, вызванного нарушением, выражаемый во временных потерях или денежных затратах;
* составляет служебную записку о факте нарушения в АСОИ банка;
* в случае необходимости инициирует проведение служебного расследования по факту выявленного нарушения информационной безопасности.
Администратор безопасности ежедневно распечатывает и анализирует журналы регистрации входов в компьютерную систему и учета работы пользователей. Анализ этих журналов должен быть направлен на выявление попыток несанкционированного доступа и нарушений пользователями своих полномочий. В случае обнаружения подобных действий администратор сообщает об этом руководителю подразделения, сотрудники которого допустили такое нарушение. Данные журналов подшиваются и хранятся с соблюдением правил конфиденциального делопроизводства. Ежеквартально администратор безопасности направляет в Службу безопасности статистический отчет о нарушениях в работе АСОИ банка.
Используя информацию, поступающую от пользователей, на основе мониторинга и записей системного журнала, администратор безопасности должен своевременно обнаруживать нарушения и предпринимать меры по их локализации и устранению.
В случае установления попытки или факта проникновения в систему администратор безопасности обязан предпринять следующие действия:
1. Локализовать нарушение.
2. Установить личность нарушителя.
3. Предотвратить дальнейшие нарушения.
4. Попытаться устранить последствия нарушения.
Должностная инструкция администратора безопасности в АКБ «Глобэкс» представлена в Приложении 3 к дипломной работе. Также было разработано примерное Положение о службе компьютерной безопасности, которое представлено в Приложении 5.
Помимо организационной структуры службы защиты компьютерной информации должна быть рассмотрена технология защиты информации в автоматизированной системе обработки информации в АКБ «Глобэкс».
3.2 Совершенствование технологии защиты информации
Поскольку автоматизированная система обработки информации имеет в основе вычислительную сеть, то сотрудники службы компьютерной безопасности для их защиты от злоумышленного воздействия должны использовать программно-аппаратные комплексы и системы обеспечения информационной безопасности. Для организации защиты от внешней потенциально враждебной информационной системы должны использоваться межсетевые экраны, системы построения виртуальных частных сетей (VPN), защищенные каналы передачи данных (протоколы SSL, SOCKS, IPsec); криптографические средства (ГОСТ, AES, RSA и др.), протоколы рапределения ключей и сертификаты (X.509, SKIP,ISAKMP, PKCS, PEM и др.), системы аутентификации пользователей (PAP, S/Key, CHAP) и удаленного доступа (TACACS и RADIUS).
Учитывая тот факт, что основной функцией АСОИ в АКБ «Глобэкс» является обеспечение движения финансов, то сотрудникам службы компьютерной безопасности следует уметь выделять следущие виды атак на финансовые сообщения и финансовые транзакции:
1. раскрытие содержания документа
2. представление документа от имени другого участника
3. несанкционированный доступ
4. повтор переданной информации
Для предотвращения этих атак службой компьютерной безопасности должны использоваться следущие методы защиты:
1. шифрование содержания документа
2. контроль авторства документа
3. контроль целостности документа
4. нумерация документов
5. введение сессий на уровне защиты информации
6. динамическая аутентификация
7. обеспечение сохранности секретных ключей
8. надежная процедура проверки клиента при регитрации в
прикладной системе
9. использование электронного сертификата клиента
10. создание защищенного соединения клиента с сервером
В связи с тем, что в АКБ «Глобэкс» активно используется Интернет, то возникает необходимость защиты передаваемых данных как в плане конфиденциальности, так и в плане обеспечения подлинности, иначе они могут быть искажены или перехвачены. Интернет-систему следует защитить от подлога, несанкционированного изменения, разрушения, блокирования работы и т.д. Эти функции также должны быть возложены на службу компьютерной безопасности АКБ «Глобэкс».
Для защиты передаваемой информации рекомендуется использовать комплекс технических средств защиты интернет-сервисов Мельников Ю., Теренин А. Возможность нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак//Банковские технологии.-- 2003. -- №1. -C.47-52:
1.брандмауер (межсетевой экран) - программная и/ или аппаратная реализация
2. системы обнаружения атак на сетевом уровне
3. антивирусные средства
4. защищенные операционные сиситемы, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных
5. защита на уровне приложений: протоколы безопасности, шифрования, электронная цифровая подпись
6. цифровые сертификаты, системы контроля целостности
7. защита средствами системы управления баз данных
8. защита передаваемых по сети компонентов программного обеспечения
9. мониторинг безопасности и выявления попыток вторжения адаптивная защита сетей, активный аудит действий пользователей
10. обманные системы
11. корректное управление политикой безопасности
При проведении электронного документооборота в АКБ «Глобэкс» должны выполняться:
аутентификация документа при его создании
защита документа при его передаче
аутентификация документа при обработке, хранении и исполнении
защита документа при доступе к нему из внешней среды
Для обеспечении непрерывности процесса обработки информации должны проводиться следущие мероприятия:
Аварийный архив должен обновляться в случае замены версий системного и прикладного программного обеспечения или изменения конфигурации.
Текущий архив должен обновляться ежедневно в конце рабочего дня, на носителях с текущим архивом должна проставляться дата архивирования.
При записи архивов на магнитные носители администратор безопасности обрабатывает данные средствами помехоустойчивого кодирования. Места хранения архивов должны быть физически защищены. В наличии всегда должны быть две архивные копии, хранящиеся в разных защищенных от несанкционированного доступа помещениях.
Вследствии того, что в АКБ «Глобэкс» постоянно присутствует важная информация, и она не должна быть утеряна, искажена или стать известной посторонним, то только создание специализированной службы состоящей из специалистов, может в полной мере обеспечить безопасность автоматизированной системы обработки информации банка. Но необходимо учитывать тот факт, что с системой работает персонал банка, поэтому система зашиты, которая используется для защиты АСОИ, не должна создавать неудобства в работе для персонала.
3.3 Совершенствование работы с персоналом
Для обеспечения высокого уровня информационной безопасности вычислительных систем рекомендуется проводить следущие процедуры при организации работы персонала в АКБ «Глобэкс»:
1. Распределять основные функции между сотрудниками так, чтобы ни одна операция не могла быть выполнена одним человеком от начала до конца.
2. Обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации.
3. Постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности.
4. Создать базу данных для фиксирования попыток несанкционированного доступа к конфеденциальной информации.
5. Проводить служебные расследования в каждом случае нарушения политики безопасности.
В случаях, когда персонал работает с АСОИ, обеспечить безопасность от ознакомления можно следующими способами:
-организовать контроль за доступом в помещение, в котором установлена ПЭВМ;
- назначить ответственных за использование ПЭВМ;
- шифровать информацию на диске;
- использовать системы разграничения доступа;
- закрывать доступ или демонтировать дисководы и порты ввода-вывода;
- применять средства оповещения администратора о вскрытии корпуса ПЭВМ.
Многие сотрудники, обслуживающие АСОИ в АКБ «Глобэкс», не всегда осознают риск, связанный с обработкой информации в АСОИ. Только специальная предварительная подготовка персонала будет способствовать правильной и эффективной работе средств защиты и восстановления; она может проводиться с привлечением сторонних специалистов. Описание различных способов преодоления и нарушения защиты в повседневной деятельности в сфере бизнеса (как, например, утечка информации к конкуренту) поможет обслуживающему персоналу понять необходимость точного выполнения требований защиты (например, своевременной смены паролей).
Ответственность персонала. Каждый сотрудник обслуживающего персонала вычислительной системы должен хорошо знать свои обязанности и нести ответственность за свои действия. Ниже приводятся некоторые примеры обязанностей сотрудников и групп сотрудников, которые можно применить в АКБ «Глобэкс»:
1. Пользователь персонального компьютера или терминала несет ответственность за физическую целостность компьютера (терминала) во время сеанса работы с АСОИ, а также за разглашение собственного пароля.
2. Администратор баз данных несет ответственность за конфиденциальность информации в базах данных, ее логическую непротиворечивость и целостность.
3. Сотрудник руководства отвечает за разделение обязанностей служащих в сфере безопасности обработки информации, предупреждение возможных угроз и профилактику средств защиты.
4. Необходимо проводить беседы с увольняющимися сотрудниками, главная цель которых - предотвратить утечку информации или ее неправомерное использование.
Для контроля сотрудников банка, занимающихся разработкой программ для АСОИ или ее защиты, необходимо, чтобы Служба безопасности совместно с Отделом кадров проводила регулярные проверки сотрудников, путем использования специализированных тестов. Такие проверки смогут помочь при выявлении изменений настроений сотрудников по отношению к банку.
Ввод в работу крупномасштабных и дорогих средств защиты целесообразно проводить постепенно, давая возможность обслуживающему персоналу и пользователям спокойно ознакомиться со своими новыми обязанностями. Для этого необходимо проводить разного рода тренировки, занятия по разъяснению целей защиты и способов ее реализации.
Службе компьютерной безопасности следует установить порядок доступа не только к системе, но и к файлам, папкам, программам, томам, при котором пользователь наделяется правом получать доступ лишь к специально поименованным объектам и только в тех пределах, которые являются санкционированными конкретно для него или групп сотрудников. С этой целью каждому пользователю и каждому документу необходимо присвоить классификационные метки, отражающие их место в соответствующей иерархии.
3.4 Нормативно-методическое обеспечение системы защиты информации
Для создания правовых основ защиты информации в АКБ «Глобэкс» необходимо начать с подготовки соответствующих организационно-распорядительных документов, наделяющих специально выделенных работников банка (далее -комиссию) правом относить информацию к числу сведений, составляющих коммерческую тайну. Нормативной основой работы комиссии должно служить специально разработанное "Положение о сохранности сведений, составляющих коммерческую тайну банка".
Этот документ, разрабатываемый в соответствии с законодательством, должен устанавливать порядок выявления и оценки степени конфиденциальности сведений, составляющих коммерческую тайну организации, регламентировать основные направления и механизм защиты этих сведений. "Положение о защите сведений, составляющих коммерческую тайну банка" представлено в Приложении 1.
Комиссия с целью оптимизации своей деятельности должна разработать проект перечня сведений, которые следует относить к коммерческой тайне банка. Туманова Л.В., Снытников А.А. Обеспечение и защита права на информацию.- М.: "Городец-издат", 2001. -C..34. Сведения, относимые к этому перечню, не должны противоречить Постановлению Правительства РФ от 05.12.91 г. № 35 “ О перечне сведений, которые не могут составлять коммерческую тайну”.
Этот документ утверждается Президентом банка . "Перечень сведений, составляющих коммерческую тайну" изменяется и дополняется по мере целесообразности (устаревания сведений, отнесенных к коммерческой тайне организации, появления новых достижений у конкурентов и пр.). С перечнем сведений, составляющих КТ банка должны быть ознакомленны все сотрудника АКБ «Глобэкс». Предлагается внести в Перечень следующие сведения:
* о размерах и условиях банковских кредитов;
* о финансовом положении организаций - клиентов банка;
* об источниках финансирования;
* о кредитоспособности и получении кредитов под конкретный проект, их размерах и условиях;
* о вложении средств в ценные бумаги и на депозитные счета;
* о состоянии материально-технической базы банка;
* о характеристиках телекоммуникационных систем банка;
* об электронных системах накопления, обработки и передачи информации банка, их программном обеспечении и средствах защиты и т.д.
Примерный перечень сведений, составляющих коммерческую тайну АКБ «Глобэкс», прилагается в Приложении 2. Он может быть декомпозирован и уточнен для каждого подразделения или должностного лица и доведен до каждого сотрудника в рамках его функциональных обязанностей. Целесообразно разработать договор о сохранении коммерческой тайны АКБ «Глобэкс» между банком и сотрудником. Форма договора предлагается в приложении 4.
Также для обеспечения безопасности АСОИ в АКБ «Глобэкс» необходимо провести следущие мероприятия по совершенствованию пропускного режима и охраны:
1. Бумажные пропуска сотрудников банка следует заменить на электронные пропуска. Перед входом в каждую из восьми территорий банка установить электронные замки и специальные считывающие устройства для открытия этих замков, с тем чтобы сотрудники, проходящие в данную территорию, активизировали такие пропуска при входе в территорию и выходе из нее. С помощью таких мер служба безопасности банка сможет контролировать перемещения сотрудников банка по территории АКБ «Глобэкс» и выявлять попытки несанкционированного прохода персонала банка в территории, запрещенные для прохода. Около входов в территории, разрешенные для доступа посетителей, установить посты охраны, задачами сотрудников которых будет проверка пропусков посетителей. Такие устройства следует также установить на входе в банк. Посетителям банка следует проходить на территорию банка через специальный вход, где им будут выдаваться разовые или временные бумажные пропуска. Также на входе для посетителей должна бать установленна система контроля, которая ограничивает проход на территорию банка одновременно большого количества посетителей. Необходимо обеспечить наблюдение за входами в банк и входами в каждую территорию банка с помощью видеокамер и подключенных видеомагнитофонов.
В заключение необходимо сказать, что все программно-аппаратные средства, используемые для защиты автоматизированной системы обработки информации в АКБ «Глобэкс», должны быть сертифицированы в соответствии с «Положением о сертификации средств защиты информации», утвержденным постановлением Правительства Российской Федерации от 26.06.95 N 608 "О сертификации средств защиты информации". Также для предотвращения злоупотреблений программистами, занимающимися разработкой АСОИ для банка, целосообразно привлекать к выполнению работ и оказанию услуг, связанных с созданием и функционированием АСОИБ и обеспечением системы защиты информации в банке, предприятия и организации, имеющие лицензию Государственной технической комиссии при Президенте РФ. Такая лицензия выдаётся им в соответствии с Федеральным Законом РФ «О лицензировании отдельных видов деятельности» Федеральный Закон РФ «О лицензировании отдельных видов деятельности» 2001, № 33, часть 1, ст. 3430.
Выводы по третьей главе:
1. Показано, что для защиты автоматизированной системы обработки информации в АКБ «Глобэкс» основной организационной мерой является создание службы компьютерной безопасности в составе Службы безопасности банка;
2. Даны рекомендации по совершенствованию технологии защиты информации в автоматизированной системе обработки информации;
3.Разработаны нормативные документы, необходимые для правового обеспечения деятельности Службы компьютерной безопасности и защиты коммерческой тайны банка;
4. Определены процедуры при организации работы персонала АКБ «Глобэкс» с автоматизированной системой обработки информации;
5.Указаны мероприятия по режиму и охране в АКБ «Глобэкс», обеспечивающие безопасность АСОИ;
ЗАКЛЮЧЕНИЕ
При развитии рыночных отношений и формировании коммерческих структур главенствующую роль играют коммерческие банки. Именно они аккумулируют огромные финансовые потоки и способны активно влиять на развитие национальной экономики. Но в тоже время именно банки подвержены наибольшей опасности, ведь там, где есть большие деньги, всегда найдутся люди, которые хотели бы их отнять. А ведь проблема безопасности банка - это не только проблема его владельцев и сотрудников, это еще и проблема его клиентов и акционеров. В условиях постоянного роста коммерческих структур повышается актуальность защиты объектов на основе комплексного использования современных средств и методов защиты.
В последнее время наиболее массовыми преступлениями против банков стали противоправные действия, создающие угрозу информационной безопасности банка. Они реализуются в основном путем несанкционированного доступа к конфиденциальной банковской информации или прямого похищения конфиденциальных документов, содержащих сведения, относимые к банковской тайне или коммерческой тайне банка.
При защите информационной составляющей АКБ «Глобэкс» необходимо уделять пристальное внимание защите автоматизированной системы обработки информации банка. При защите этой системы надо учитывать тот факт, что эта система отличаются от вычислительных систем вообще; основные отличия заключаются в следующем:
1. Необходимость обработки и хранения конфиденциальной информации накладывает ограничения на "открытость" системы: она должна быть надежно защищена и обособлена; связь с другими системами обычно осуществляется через специальные шлюзы.
2. Необходимость бесперебойной работы накладывает ограничения на устойчивость к сбоям: система должна продолжать работу даже в случае выхода из строя отдельных узлов.
Построение системы защиты - это процесс поиска компромисса между уровнем защищенности АСОИ и сохранением возможности работы в ней. Безусловно, основой системы защиты АСОИ АКБ «Глобэкс» должны быть организационные (административные) мероприятия. Но организационные меры без повсеместной поддержки их инженерно-техническими и программно-аппаратными средствами будут слабы. Поэтому при выборе средств защиты надо обращать внимание не только на их надежность, но и на то, как они будут
поддерживать разработанные организационные мероприятия.
Актуальность темы объясняется тем, что обеспечение безопасности автоматизированных систем обработки информации в настоящее время становится одной из важнейших составляющих безопасности коммерческого банка и эффективности его функционирования. Состояние защищенности этих систем представляет собой умение и способность кредитной организации надежно противостоять любым попыткам несанкционированного доступа к этим системам. Проведенные в рамках выполнения работы исследования позволили сделать следующие выводы:
1. АКБ «Глобэкс» - крупная финансовая организация, а следовательно представляет большой интерес для технически оснащенных нарушителей. Усиление организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к увелечению количества попыток проникновения в автоматизированные системы банков сохранится.
2. Учитывая задачи, которые поставлены руководством перед АКБ «Глобэкс», можно сделать вывод, что соответствующим службам банка потребутся приложить много усилий для обеспечения безопасности АСОИ банка, учитывая особенности в ее работе.
3. В АКБ «Глобэкс» необходимо определять и прогнозировать возможные угрозы для обоснования, выбора и реализации защитных мероприятий по защите АСОИ.
4. Поскольку компьютеризация банковской деятельности приобретает все большие масштабы, и все банки взаимодействуют между ссбой посредством компьютеров, то Служба Безопасности АКБ «Глобэкс» должна уделять больше внимания защите компьютерной информации в банке.
5. Автоматизированная система обработки информации - одна из наиболее уязвимых частей в информационном обеспечении АКБ «Глобэкс», поэтому банку приходится постоянно решать проблемы, связанные с ее безопасностью.
6. Автоматизация АКБ «Глобэкс» приводит к росту угроз несанкционированного доступа к информации, и, как следствие, к необходимости постоянной поддержки и развития системы защиты;
7. Среди главных недостатков в работе службы сопровождения и внедрения программного обеспечения Службы безопасности АКБ «Глобэкс» можно выделить следующие:
7.1 Штатное обеспечение службы безопасности недостаточно. Почти нет специалистов по защите информации.
7.2 Персоналом банка не проводится систематическая антивирусная проверка.
7.3 Отсутствие ряда нормативных документов не позволяет в полной мере и компетентно решать вопросы безопасности и защиты информации.
7.4 Практически не ведется работа с персоналом после зачисления сотрудников в штат.
Подобные документы
Причины ухода клиента в другой банк. Создание эффективной системы обработки жалоб (SRS). Развитие информационных технологий и средств коммуникации на базе современной техники. SRS для украинских банков. Развитие конкурентности внутри банковской системы.
статья [220,5 K], добавлен 13.01.2010История развития автоматизированных банковских систем (АБС). Анализ российского рынка информационных банковских технологий. Принципы построения и структура типовой АБС. Преимущества использования АБС "БИСквит" в работе банка, ядро и модули системы.
курсовая работа [49,0 K], добавлен 15.01.2014Документы, которые используются в учетно-операционной работе банка. Виды и формы банковских документов, особенности их оформления. Внедрение автоматизированной банковской системы обработки документации. Задачи автоматизации документооборота по отделам.
реферат [288,5 K], добавлен 12.10.2010История появления банковской деятельности. Типы банковских систем. Структура кредитной системы России. Классификации банков, региональный банковский рынок. Применение автоматизированной системы управления. Доступность банковских услуг для населения.
презентация [2,4 M], добавлен 16.09.2013Особенности развития банковской системы России до кризиса 1998 г. и в посткризисный период. Система антикризисных мер Центрального банка как процесс стабилизации банковской системы. Направления совершенствования регулирования банковской системы России.
курсовая работа [32,1 K], добавлен 04.12.2010Анализ зарождения и развития банковской системы в Российской Федерации. Факторы, влияющие на развитие банковской системы. Источники информации для проведения анализа деятельности коммерческого банка. Особенности слияния банков как вида реорганизации.
курсовая работа [1,6 M], добавлен 25.11.2014Сущность и основные элементы банковской системы. Организационно-правовой механизм функционирования банковской системы. Исследование ретроспективного опыта банковских кризисов в России. Направления предупреждения дестабилизации банковской системы.
курсовая работа [196,7 K], добавлен 21.03.2012Выявление и анализ особенностей развития банковской системы РФ в период становления и текущего состояния. Оценка деятельности Сберегательного банка как старейшего звена банковской системы. Зарубежные банковские системы и возможность апробации их опыта.
дипломная работа [118,6 K], добавлен 23.08.2011Организационная структура банка. Документооборот отдела кредитования. Разработка технического задания. Определение трудоемкости создания автоматизированной системы. Определение цены программного продукта. Расчет показателей экономической эффективности.
курсовая работа [124,0 K], добавлен 17.11.2005Характеристика кредитования как важнейшего направления банковской деятельности. Изучение основных видов кредитов, предоставляемых в ОАО АКБ "Пробизнесбанк". Анализ проблем, факторов развития и состояния банковской системы на современном этапе в России.
дипломная работа [125,3 K], добавлен 27.12.2011