Проектирование системы комплексной защиты банковской информации

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Введение

В настоящее время рынок услуг завоевывает частное охранное предприятие или ЧОП. Эти фирмы предоставляют услуги охраны собственности другим предприятиям, а так же частным лицам.

Специфика деятельности частных охранных предприятий подразумевает под собой огромный поток информации, который постоянно циркулируют в этих организациях. Частное охранное предприятие обладает информацией, по теории, обо всей системе безопасности своего клиента. А так как клиентом этих организаций зачастую становятся крупные фирмы, качество безопасность самих частных охранных предприятий должно быть на высоком уровне.

Поэтому важнейшей задачей ЧОП и сотрудников, которые работают в этой сфере, по защите информации является сохранение и исключение ознакомления, модификации и уничтожения конфиденциальной информации.

Чем выше эффективность безопасности, тем ниже вероятности хищений или уничтожение всех ценностей объекта. Уровень безопасности в основном зависит от того, насколько полно и правильно было разработана комплексная система защиты информации на предприятии. Так же, есть ещё немало важный фактор, который является правильно подобранная система наблюдения, которая усиливает надёжность комплексной системы безопасность организации.

Целью курсовой работы является проведение анализа объекта с последующим проектированием системы комплексной защиты информации в организации с разработкой системы видеонаблюдения.

Поставленная цель исследование предполагает решение следующих взаимосвязанных задач.

1) Анализ объекта защиты;

2) Проведение сравнительной оценки различных средств и методов защиты;

3) Классификация угроз безопасности банка;

4) Анализ требований руководящих документов в области защиты информации и систем видеонаблюдения;

5) Разработка предложений по защите информации от утечки информации по возможным каналам;

6) Определение эффективности разработанной системы защиты.



1. Политика безопасности

1.1 Определение политики безопасности

Политика безопасности организации (англ. organizational security policies) -- совокупность документированных руководящих принципов, процедур, правил и практических приёмов в области безопасности на объекте, которые регулируют управление, распределение и защиту ценной информации.

В общем случае такой набор правил представляют собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то есть набор требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривались присутствие нескольких административных ролей.

Роли: аудитор, оператор системы защиты и администратор.

Такое ролевое управление информационной безопасностью -- скорее дань традиции и теоретически позволяет избежать «сговора» администратора и злоумышленника из числа пользователей. Для того чтобы включить данную функциональность продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности.

Политика безопасности зависит:

-от конкретной технологии обработки информации;

-от используемых технических и программных средств;

-от расположения организации.

Главной причиной появления политики безопасности обычно является требование наличия такого документа от регулятора.

Регулятор - это организации, определяющей правила работы предприятий данной отрасли. В этом случае отсутствие политики может повлечь репрессивные действия в отношении предприятия или даже полное прекращение его деятельности.

Кроме того, определенные требования (рекомендации) предъявляют отраслевые или общие, местные или международные стандарты. Обычно это выражается в виде замечаний внешних аудиторов, проводящих проверки деятельности предприятия. Отсутствие политики вызывает негативную оценку, которая в свою очередь влияет на публичные показатели предприятия -- позиции в рейтинге, уровень надежности и т.д.

Ещё одной причиной можно назвать внутреннее осознание руководством предприятия необходимости структурированного подхода к обеспечению определенного уровня безопасности. Часто такое осознание наступает после внедрения ряда технических решений по безопасности, когда возникают проблемы управление такими решениями. Иногда сюда добавляют вопросы обеспечения безопасности персонала, юридические аспекты и подобные факторы, приводящие руководство предприятия к пониманию того, что обеспечение информационной безопасности выходит за рамки чисто технических мероприятий, проводимых ИТ-подразделением или другими специалистами.

Согласно исследованию по безопасности, проведенному компанией Deloitte в 2006 году, предприятия, которые имеют формализованные политики информационной безопасности, значительно меньше подвергаются взлому. Это свидетельствует о том, что наличие политики является признаком зрелости предприятия в вопросах информационной безопасности. То, что предприятие внятно сформулировало свои принципы и подходы к обеспечению информационной безопасности, означает, что в этом направлении была проделана серьезная и качественная работа.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии:

1.«Исследование сверху вниз»

2.«Исследование снизу вверх».

Метод «сверху вниз» представляет собой, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме, и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Второй же метод («снизу вверх») достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: «Вы -- злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.

Само по себе наличие документа, озаглавленного «Политика информационной безопасности», принесет несущественной пользы предприятию, кроме формального аргумента в споре, присутствует или отсутствует у него данная политика. Нас интересует, в первую очередь эффективная политика безопасности.

Неэффективные политики безопасности можно разделить на хорошо сформулированные, но не практичные и на практичные, но плохо сформулированные.

Первая категория чаще всего встречается в случаях, когда специалисты, по безопасности предприятия недолго думая берут готовую политику (скажем, уже давно проверенную или устаревшую) и, проведя минимальные изменения, утверждают ее для своего предприятия. Поскольку общие принципы безопасности у разных предприятий, даже различных отраслей, могут быть весьма схожи, такой подход широко распространен. Однако его использование может привести к проблемам, если от политики верхнего уровня понадобится спуститься к документам нижнего уровня -- стандартам, процедурам, методикам и т.д. Поскольку логика, структура и идеи исходной политики были сформулированы для другого предприятия, возможно возникновение серьезных затруднений (Например: противоречие с новым объектом).

Политики второй категории обычно появляются в случаях, когда возникает необходимость решить сиюминутные задачи. Например, сетевой администратор, устав бороться с попытками пользователей нарушать работу сети, в течение несколько минут набрасывает список из нескольких «можно» и «нельзя», называет его «Политикой» и убеждает руководство в необходимости его использование. Потом этот документ может годами использоваться на предприятии, создавая порой существенные проблемы, например при внедрении новых систем, и порождая огромное количество исключений для случаев, когда его нарушение допускается.

Далее следует выяснение, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап называют «вычисление риска». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на простом методе.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №1):

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №2):

Необходимо отметить, что классификацию ущерба, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Следующим этапом составляется таблица (Таблица №3) рисков предприятия:

На этапе анализа таблицы рисков (Таблица №3) задаются некоторым максимально допустимым риском, например значением 9. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка - это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 9*2=18) с интегральным риском (ячейка «Итого»).

Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество погрешностей, которые в сумме не дадут предприятию эффективно работать. С таким случаем из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.

1.2 Факторы, учитывающиеся при построении информационной безопасности

Информационная безопасность банка должна учитывать следующие специфические факторы:

1.Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производить выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг опасности для банка (в отличие от промышленных компаний, для них внутренняя информация не так важна).

2.Информация в банковских системах затрагивает интересы не только организации и его подчиненных, но клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Банк должен заботиться об интересах клиентов, в противном случае он рискует своей репутацией, со всеми вытекающими отсюда последствиями.

3.Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги с удаленным доступом. Поэтому клиент должен иметь возможность быстро распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4.Информационная безопасность банка должна обеспечивать высокую надежность работы компьютерных систем, даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5.Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже.

1.3 Классификация угроз безопасности банка

а) По признаку целевой направленности угрозы:

- угроза разглашения конфиденциальной информации, которое может нанести значительный ущерб банку в виде ухудшения его конкурентных позиций, имиджа, отношений с клиентами или вызвать санкции со стороны государства;

- угроза имуществу банка в форме его хищения или умышленного повреждения, а также сознательного провоцирования к осуществлению или непосредственного осуществления заведомо убыточных финансовых операций;

- угроза персоналу банка, реализация которой способна ухудшить состояние кадрового направления деятельности (имиджа), например, в форме потери ценного специалиста или возникновения трудовых конфликтов.

б) По признаку источника угрозы (субъекта агрессии):

- угрозы со стороны конкурентов, т.е. отечественных и зарубежных банков, стремящихся к усилению собственных позиций на соответствующем рынке путем использования методов недобросовестной конкуренции (Например: экономического шпионажа, переманивания высококвалифицированных сотрудников, дискредитации соперника в глазах партнеров и государства);

- угрозы со стороны криминальных структур и отдельных злоумышленников, стремящихся к достижению собственных целей, находящихся в противоречии с интересами конкретного банка (Например: захвату контроля над ним, хищению имущества, нанесению иного ущерба);

- угрозы со стороны нелояльных сотрудников банка, осознанно наносящих ущерб его безопасности ради достижения личных целей (Например: улучшения материального положения, карьерного роста, мнения работодателю за реальные или мнимые обиды и т.п).

в) По экономическому характеру угрозы:

- угрозы имущественного характера, наносящие банку прямой финансовый ущерб (Например: похищенные денежные средства и товар, но материальные ценности, сорванный контракт, примененные штрафные санкции);

- угрозы неимущественного характера, это когда от реализации ущерба обычно невозможно точно определить его значимость (Например: сокращение обслуживаемого рынка, ухудшение имиджа банка в глазах его клиентов и деловых партнеров, утеря ценного специалиста).

г) По вероятности практической реализации угрозы:

- потенциальные угрозы, практическая реализация которых на конкретный момент имеет лишь вероятностный характер (в таком случи, у субъекта управления часто есть время на их профилактику или подготовку к отражению);

- реализуемые угрозы, негативное воздействие которых на деятельность субъекта управления находится в конкретный момент в раз личных стадиях развития (соответственно, у субъекта имеются шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);

Прогнозирования, являются стержнем любой торговой системы, вот почему отлично сделанные прогнозы могут сделать вас в высшей степени успешным.

Реализованные угрозы - это негативное воздействие которых уже закончилось и ущерб фактически нанесен (соответственно, субъект управления имеет возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем).

Проведенная классификация позволяет сформулировать три основных компонента безопасности современной кредитно-финансовой организации:

1.Информационная безопасность банка - это защита от угроз разглашения или утери информации, имеющей коммерческую или иную ценность;

2.Безопасность персонала банка - это защита от любых угроз персоналу;

3.Имущественная безопасность банка - это защита от любых угроз денежным средствам, ценным бумагам, товарно-материальным ценностям и другим элементам активов.

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относится:

1.Персонал Банка (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие);

2.Финансовые средства, валюта, драгоценности;

3.Информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;

4.Средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);

5.Материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);

6.Технические средства и системы охраны, защиты материальных и информационных ресурсов.

Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную возможную уязвимость с точки зрения существующего материального или морального ущерба. Исходя из этого, они должны быть классифицированными по уровням уязвимости или опасности, степени риска.

Наибольшую опасность представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.

В процессе выявления, прогнозирования и анализа потенциальных угроз интересам банка необходимо учитывать существующие внешние и внутренние условия, влияющие на их опасность более объективно. Таковыми являются:

-невыполнение законодательных актов, правовой нигилизм, отсутствия ряда законов по жизненно важным вопросом;

-нестабильная политическая, социально-экономическая, обстановка и обострение криминогенной ситуации;

-снижение моральной, производственной и психологической ответственности граждан;

- отсутствие грамотных специалистов в области безопасности.

Наиболее уязвимые категории являются следующие:

а) Угроза персонала и сотрудникам банка:

-похищения и угрозы похищения сотрудников, членов их семей и близких родственников;

-убийства, сопровождаемые насилием, издевательствами и пытками;

-психологический террор, угрозы, запугивание, шантаж, вымогательство;

-нападение с целью завладения денежными средствами, ценностями и документами.

б) Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:

-взрывов;

-обстрелов из огнестрельного оружия;

-минирования, в том числе с применением дистанционного управления;

-поджогов;

-нападения, вторжения, захватов, пикетирования, блокирования;

-повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных:

-технологические аварии, пожары.

в) Угрозы финансовым ресурсам проявляются в виде:

-невозврата кредитных ссуд;

-мошенничества со счетами и вкладами клиентов, а также со средствами Банка;

-подложных платежных документов и пластиковых карт;

-хищения финансовых средств из касс и инкассаторских машин;

-резкое изменение экономической ситуации в стране;

-банкротства деловых партнеров банка.

г) Угроза информационным ресурсам проявляются в виде:

-разглашения конфиденциальной информации;

-утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;

-несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований;

-разрушения или несанкционированной модификации информации;

-ведение «информационной войны» против банка наносящий существенный вред его деловой репутации;

-блокирования или разрушения технических средств приема, передачи, обработки и хранения информации.

Обобщая и анализируя, можно выделить следующие основные составляющие проблемы безопасности:

1.Правовая защита.

2.Организационная защита.

3.Инженерно-техническая защита.

4.Страховая защита.

информационная безопасность банк



2. Концепция информационной безопасности банка

2.1 Общие положения

Это Концепция разработана в соответствии с требованиями законодательства Российской Федерации и Стандарта Банка России СТО БР ИББС-1.0-2006. Концепция представляет собой систему взглядов на проблемы информационной безопасности банка и пути их решения в виде систематизированного изложения целей, принципов, задач и способов достижения качественной информационной безопасности. Концепция является методологической основной практических мер по обеспечению его информационной безопасности.

В Концепции используются следующие основные понятие:

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Конфиденциальность - это свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющий доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от лиц, не имеющих полномочий на право доступа к ней.

Целостность - это сохранение данных в том виде, в каком они были созданы

Доступность - состояние информации, при котором субъекты, имеющие права доступа определенных лиц, могут реализовывать их беспрепятственно (ознакомится, документировать, модифицировать или уничтожить).

Коммерческая тайна - это информация, имеющая действительную или потенциальную коммерческую ценность, в силу её неизвестности третьем лицам. К ней нет свободного доступа на законном основания Банка, как обладать такой информации, принимает меры к охране ее конфиденциальности.

Носители информации, обладающей коммерческой тайной можно назвать следующие:

-автоматизированные системы и телекоммуникационные сети различного назначения, в которых информация обрабатывается, передаются и хранится;

-сотрудники, имеющий доступ к информации;

-материальный носитель;

-документированная информация - это фиксация информации на материальном носителе, т.е. процесс создания документа. В случае, если этот процесс регламентируется, возникают официальные документы;

-доступ к коммерческой тайне - это процедура оформление доступа сотрудника (или сотрудников) к сведениям, составляющим коммерческую тайну;

-доступ к сведениям, составляющим коммерческую тайну - санкционированное полномочным должностным лицом ознакомление сотрудников со сведеньями, составляющими коммерческую тайну;

-гриф конфиденциальности - реквизит, свидетельствующий о степени конфиденциальности сведений, содержащихся на их носителе, проставляемых на самом носителе и (или) в сопроводительной документации к нему;

-перечень сведений, составляющих коммерческую тайну - это совокупность сведений, в соответствии с которыми сведения относятся к коммерческой тайне Банка и охраняются на основаниях и в порядке, установленных федеральным законодательством;

-утечка информации - результат несанкционированного ознакомления с нею неопределенного круга лиц;

- разглашение коммерческой тайны - умышленное разглашение коммерческой тайны без согласия ее владельца лицом, которому коммерческая тайна известна в связи с профессиональной или служебной деятельностью, совершенное из корыстных или иных личных побуждений и причинившее крупный ущерб хозяйствующему субъекту;

-идентификация - присвоение пользователю и объекту доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

-аутентификация - проверка подлинности предъявленного пользователем идентификатора.

2.2 Цели и задачи

Главной целью системы безопасности является обеспечение устойчивого функционирования Банка и предотвращение угроз его безопасности, защита его законных интересов от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.

Другими целями системы безопасности являются:

-формирование более целостного представления о системе безопасности Банка и взаимосвязь различных элементов этой системы, а так же определение путей реализации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов;

-определение путей реализации мероприятий, обеспечивающих необходимый уровень информационной безопасности.

Задачами системы безопасности являются:

-прогнозирование, и своевременное выявление и устранение угроз безопасности персоналу и ресурсам Банка;

- прогнозирование причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и росту;

-обеспечение конституционных прав граждан по сохранению их личной тайны и конфиденциальности персональных их данных.

-минимизировать ущерба и быстрейшее восстановление программных и аппаратных средств, информации, пострадавших в результате чрезвычайных кризисных ситуаций, расследование причин возникновения таких ситуаций и принятие соответствующих мер по их предотвращение и устранению.

2.3 Принципы организации и функционирования системы информационной безопасности

Организация и функционирование системы информационной безопасности должны соответствовать следующим принципам:

1.Комплексность:

-обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;

-обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;

-способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования Банка.

2.Обоснованность. Используемые возможности и средства защиты должны быть реализованы на современном и качественном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам защиты.

3. Совершенствование. Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.

4.Законность. Предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

5. Централизация управления. Предполагает самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и централизованным управлением деятельностью системы безопасности.

6. Взаимодействие и координация. Этот принцип означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.

7. Законность. Предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

8.Непрерывность. Принцип постоянного поддержание всей системы защиты в актуальном состояния и совершенствование её в соответствии с изменяющимися условиями функционирования банка.

9. Специализация. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности Банка, его функциональных и обслуживающих подразделений.

2.4 Правовое обеспечение информационной безопасности

Правовая форма защиты информации - это защита информации склонно на применении Гражданского и Уголовного кодексов, Федеральных законов и других нормативно-правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации.

Настоящая Концепция базируется на следующих нормативно-правовых актах:

- «Гражданский кодекс Российской Федерации» от 30.11.94 г., №151-ФЗ ч.1, ст. 139;

- «Уголовный Кодекс Российской Федерации» от 13.06.96г., №63-ФЗ ст. 183, 272, 273, 274;

- «Гражданский кодекс Российской Федерации» от 21.01.96 г., №14-ФЗ ч.2, ст. 857;

- «Трудовой кодекс Российской Федерации» от 30.12.01, №197-ФЗ ст. 85,86,87,88,89,90;

- Федеральный Закон Российской Федерации «О банках и банковской деятельности» от 02.12.90г. №395-1, ст.26;

- «Кодекс Российской Федерации об административных правонарушениях» от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14;

- Федеральный Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;

- Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ (в ред. от 21.03.2002 № 31-ФЗ);

- Указ Президента РФ от 06.03.97г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

- Постановление Правительства РФ от 15.08.06. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

- Приказ ФАПСИ от 13.06.01г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Гражданский кодекс РФ и Закон «Об информации, информационных технологиях и о защите информации» позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории информации:

- информация, составляющая государственную тайну;

- информация, составляющая коммерческую тайну;

- персональные данные.

Предметом рассмотрения данной Концепции является информация второй и третьей категорий. Банк в процессе своей деятельности выступает не только собственником, но и пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками. Банк вправе распоряжаться такой информацией, следовательно и выбирать степень её защиты.

Решение задач правового обеспечения информационной безопасности Банка достигается формированием системы внутренних инструкций, положений, планов, правил.

2.5 Объкт защиты

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

1.Персонал Банка (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие);

2.информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;

3. Финансовые средства, валюта, драгоценности;

4.Средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);

5.Технические средства и системы охраны и защиты материальных и информационных ресурсов;

6 Материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства).

Все объекты, в отношении которых могут быть подвержены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или не материального (морального) ущерба. Исходя из этого, они должны быть классифицированы по уровням уязвимости (опасности), степени риска.

Наибольшую подверженную опасность представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.

2.6 Основные виды угроз объектам информационной безопасности

Определение и прогнозирование возможных угроз и степени их опасности необходимы для обоснования, выбора и построение защитных мероприятий. Комплексный подход к проблеме защиты информации необходимо проводить с учетом двух факторов:

1.Предполагаемое вероятность возникновение угрозы.

2.Ущерб от угрозы.

Объективность оценки достигается провидением детального аудита функционирования банка. Аудит проводится собственными силами или с привлечением сторонних организаций.

Угрозы можно разделить на внешние и на внутренние. Угрозы объекта информационной безопасности проявляются в виде:

-разглашения конфиденциальной информации;

-утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;

-несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований;

-разрушения или несанкционированной модификации информации;

-блокирования или разрушения технических средств приема, передачи, обработки и хранения информации.

Ситуация, возникающая в результате воздействия какой-либо угрозы, называется кризисной. Кризисные ситуации могут быть преднамеренными и непреднамеренными и иметь различную степень тяжести в зависимости от вызвавших их факторов риска, степени их воздействия, категории информации, уязвимого места.

Виды кризисных ситуаций (степень их тяжести):

1. Угрожающая - воздействие на объект информационной безопасности, которое может привести к полному выходу его из строя, а также уничтожение и модификацию или компрометацию (утечку) наиболее важной для Банка информации. Для устранения угрожающей ситуации требуется, как правило, полная или частичная замена оборудования, программ и данных.

2.Серьезная - воздействие на объект информационной безопасности, которое может привести к выходу из строя отдельных компонентов, потере производительности, а также осуществлению несанкционированного доступа (НСД) к программам и данным. В этом случае система сохраняет работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена (восстановление) оборудования, программ и данных, корректировка параметров системы, проведение организационно-технических мероприятий.

3.Обычная - попытка воздействия на объект информационной безопасности, не наносящая ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как правило, требуется корректировка параметров защиты.

2.7 Порядок проведения работы по обеспечению информационной безопасности

Работа по обеспечению информационной безопасности в Банке включает следующие этапы:

- определение информации, содержащей коммерческую тайну, и сроков ее действия;

- категорирование помещений по степени важности обрабатываемой в них информации;

- определение категории информации, обрабатываемой каждой отдельной системой;

- выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;

- описание системы, определение факторов риска, определение уязвимых мест систем;

- выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.

Отнесение информации к коммерческой тайне - это установление ограничений на распространение информации, требующей защиты. Среди сведений относимых к категории коммерческой тайны применительно к банку, можно выделить следующие: деловую информацию о деятельности банка, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.

Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Чтобы отнесение информации к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального «Перечня сведений, составляющих коммерческую тайну МОРСКОГО АКЦИОНЕРНОГО БАНКА» (Открытое Акционерное общество) (далее Перечень), который разрабатывается (уточняется не реже одного раза в год) постоянно действующей Комиссией Банка по защите коммерческой тайны, назначаемой приказом Председателя Правления Банка.

Перечень разрабатывается путем экспертных оценок на основании предложений подразделений Банка и с учетом действующего законодательства. В Перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Перечень утверждается Председателем Правления Банка.

Степень конфиденциальности информации, составляющей коммерческую тайну, должна соответствовать степени тяжести ущерба от происшествие, который может быть нанесен безопасности Банка вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой тайне, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф «Конфиденциально». Присвоение грифа «Конфиденциально» или его отмена принадлежит Председателю Правления Банка.

Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.

Для каждой информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну Банка». В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.

Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:

- цели и задачи системы;

- пользователи и обслуживающий персонал;

- способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;

- физическую топологию сети в зданиях Банка;

- логическую топологию сети Банка, ее основные характеристики;

- перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;

- перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики.

Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.

Факторы риска -- это возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального (морального) характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность Банка. Основными факторами риска являются:

- стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;

- несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;

- неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;

- несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи;

- мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;

- нарушение конфиденциальности отдельных данных;

- повторное использование внешних и внутренних носителей информации для съема информации;

- несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;

- нарушение конфиденциальности массивов данных.

Перечень факторов риска может уточняться.

Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся:

- все технические средства - необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов;

- все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей Банка - необходимо защищать от НСД, приводящего к нарушению целостности и доступности;

- все автоматизированные рабочие места (АРМ) и терминалы - необходимо защищать от НСД;

- опорная сеть Банка и передаваемые по ней данные - необходимо защищать от нарушения целостности или доступности и НСД;

- ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию - необходимо защищать от повторного использования («сборки мусора»);

- конфиденциальная и строго конфиденциальная информация - необходимо защищать от нарушения конфиденциальности;

- помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация - необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств.

Перечень уязвимых мест системы Банка может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.

2.8 Защита информации в автоматизированных системах и сетях

Основным и не менее главным объектом защиты является информация, циркулирующая в программно-аппаратных средствах, информационно-вычислительных системах и сетях, используемых в Банке. Непосредственное проведение работ по обеспечению информационной безопасности Банка осуществляется Отделом информационной безопасности Управления экономической безопасности, сформированного из специалистов, имеющих специальное образование или прошедших переподготовку по вопросам защиты информации. Работы по защите проводятся с привлечением уполномоченных лиц подразделений Головной организации Банка, филиалов и дополнительных офисов на основе анализа материалов по системам обработки информации, в первую очередь Департамента информационных технологий, и выработки на их основе рекомендаций, направленных на улучшение характеристик применяемых средств защиты или внедрения новых.

Основным компонентом защиты информации является «Политика информационной безопасности МОРСКОГО АКЦИОНЕРНОГО БАНКА», представляющая свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых в Банке. В Политику включаются следующие этапы работ:

- оценка существующего программно-аппаратного обеспечения;

- монтаж и наладка систем безопасности;

- приобретение дополнительных программно-технических средств;

- обучение пользователей и персонала, обслуживающего систему;

- тестирование системы безопасности, проверка эффективности средств защиты.

Основной целью обеспечения информационной безопасности является защита информационно-вычислительных систем Банка и отдельных ее компонентов от воздействия факторов риска, а также минимизация воздействий от них. Законом "Об информации, информатизации и защите информации" вводится обязательное применение сертифицированных отечественных программно-аппаратных средств защиты информации. Поставщики средств должны иметь необходимые лицензии на распространение продукции и обслуживание, а также иные лицензии в соответствии с законодательством РФ.

Информационная безопасность реализуется с помощью средств защиты и управления защитой, контроля и регистрации, обеспечения безотказной работы и восстановления систем и сетей. Предотвращение кризисных ситуаций осуществляется средствами защиты, предохраняющими уязвимые места систем от воздействия факторов риска. В случае возникновения кризисных ситуаций, предотвращение которых средствами защиты невозможно, работа систем осуществляется по «Плану обеспечения безотказной работы и восстановления сетей и систем МОРСКОГО АКЦИОНЕРНОГО БАНКА».

Информационная безопасность достигается путем:

1.Предотвращения кризисных ситуаций, способных нанести ущерб программным и аппаратным средствам, информации, а также персоналу;

2.Минимизации ущерба и быстрейшего восстановления программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин и принятие соответствующих мер.

Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые. При осуществлении технических мер применяются следующие средства защиты автоматизированных систем.

1.Средства контроля доступа и назначения полномочий:

-средства контроля доступа в помещения;

-средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования;

-средства контроля доступа к серверам;

-средства контроля доступа к сети передачи данных;

-средства защиты на уровне ПК;

-средства протоколирования действий пользователей и обслуживающего персонала в системе.

2.Средства криптографической защиты информации (СКЗИ), применяемые для связи с внешними платежными и торговыми системами, а так же для связи с клиентами.

3.Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств.

Перечисленные средства необходимо использовать с учетом следующих базовых принципов:

- все элементы системы Банка должны быть разделены на «контуры защиты». Защита организуется внутри контура и между ними. Суть этого принципа заключается в том, что информация определенной категории сосредоточена внутри контура, а вход и выход за пределы контура контролируются;

- каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает расследование нарушений и фактов проникновения.

К организационно-правовым мероприятиям следует отнести наряду с общими обязательствами по сохранению коммерческой тайны, подписание специального обязательства о правилах пользования компьютерными сетями Банка. Оно должно включать следующие положения:

- использование нематериальных активов Банка только в производственных интересах;

- ограничение передачи коммерческой информации по внешним коммуникационным сетям;

- добровольное согласие на автоматизированный контроль внешних коммуникаций.

Отдельно оговариваются права на использование сотрудником лицензируемых продуктов, приобретаемых Банком, и обязательства по порядку их использования и нераспространения.

Система санкционированного доступа в помещения, отнесённые к «зонам безопасности», должна обеспечивать протоколирование перемещений сотрудников путем установки системы запирающих устройств, открывающихся персональными карточками - ключами и управляемых с единого рабочего места. Управление системой контроля доступа осуществляет Управление экономической безопасности Банка.

Незаменимым и важным элементом обеспечения информационной безопасности является однозначная идентификация (определение личности) и аутентификация (подтверждение личности) пользователей, применяемые в Банке в виде парольной защиты. При этом требуется:

- использовать обязательную парольную защиту в качестве базовой с предотвращением перехвата пароля. Пароль должен обновляться не реже 1 раза в квартал. При работе с приложениями также используется механизм аутентификации;

- для доступа к узлам или другой аппаратуре, обрабатывающей конфиденциальную информацию, использовать усиление парольной защиты в виде специальных программно-аппаратных средств;

- запретить привилегированный доступ к удаленным узлам.

Управление средствами идентификации и аутентификации осуществляется администраторами безопасности сетей и систем.

Средства защиты серверов предназначены для обеспечения конфиденциальности и целостности путем защиты от НСД к ЭВМ, среде исполнения процесса, областям пользователей, областям оперативной памяти и дискового пространства, данным на чтение/модификацию/уничтожение. Обеспечение доступности достигается средствами мониторинга и диагностики, а также с помощью средств и мер безотказной работы.

Конкретные способы и методы использования средств защиты определяются особенностями конкретной системы или сервера и регламентируются планом защиты конкретной системы.

Телекоммуникационная сеть Банка представляет собой совокупность локальных сетей Банка и филиалов, а также опорной сети Банка (сети провайдеров телекоммуникационных услуг). Основной задачей защиты телекоммуникационной сети является обеспечение конфиденциальности передаваемой информации (предотвращение прослушивания трафика); целостность конфигурации и трафика сети; доступность ресурсов сети; контроль доступа для предотвращения НСД извне; контроль доступа и управления коммуникационным оборудованием локальной сети.

Задачи защиты сетей Банка решаются на основе существующих программно-аппаратных коммуникационных средств. Те задачи, которые не могут быть решены на уровне транспортной службы сети, должны решаться средствами операционных систем и приложений.

Одним из самых уязвимых мест любой системы является точка входа в сеть общего пользования (Internet). В связи с этим предлагается применять следующие меры по защите внутренней сети:

- если сеть общего пользования используется для передачи конфиденциальной информации, то такая передача должна осуществляться с применением сертифицированных средств криптозащиты;

- взаимодействие с сетью общего пользования должно осуществляться через специальный шлюз;