Исследование процессов защиты информации в банке УРАЛ ФД
Описание информационных потоков организации, анализ угроз. Построение модели нарушителя. Исследование процессов защиты информации на примере банка Урал ФД: нормативно-правовой, организационный, инженерно-технический и программно-аппаратный элементы.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 03.02.2011 |
Размер файла | 120,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
КУРСОВАЯ РАБОТА
по дисциплине "Информационная безопасность"
на тему: "Исследование процессов защиты информации в банке УРАЛ ФД"
Содержание
- Введение
- 1. Общие сведения об организации
- 2. Теоретические аспекты процессов защиты информации
- 2.1 Описание информационных потоков организации
- 2.2 Анализ возможных угроз
- 2.2.1 Антропогенные источники угроз
- 2.2.2 Техногенные источники угроз
- 2.2.3 Стихийные источники угроз
- 2.2.4 Внутренние источники угроз
- 2.2.5 Последствия воздействия угроз и виды угрожающих воздействий
- 2.3 Построение модели нарушителя
- 3. Исследование процессов защиты информации в Урал ФД
- 3.1 Разработка политики безопасности Банка
- 3.1.1 Нормативно-правовой элемент защиты информации Урал ФД
- 3.1.2 Организационный элемент защиты информации в Урал ФД
- 3.1.3 Инженерно-технический элемент защиты информации в Урал ФД
- 3.1.4 Программно-аппаратный элемент защиты информации в Урал ФД
- 3.2 Реализация политики безопасности в Урал ФД
- 3.2.1 Реализация нормативно-правового элемента защиты информации в Урал ФД
- 3.2.2 Реализация организационного элемента защиты информации в Урал ФД
- 3.2.3 Реализация инженерно-технического элемента защиты информации в Урал ФД
- 3.2.4 Реализация программного элемента защиты информации в Урал ФД
- Заключение
- Список литературы
Введение
Уже в начале 90-х годов кредитные организации начали понимать, что банковский бизнес малоэффективен и достаточно рискован без решения задач безопасности. Любые банковские процессы находятся в прямой зависимости от того, как работает информационная инфраструктура банка, то есть вычислительные комплексы, программные и аппаратные средства, а также персонал, их использующий. Если все это начинает давать сбои, например за счет заражения компьютеров вирусами или атак хакеров, последствия для банков могут быть очень плачевными. Они могут утратить базы данных клиентов и другую необходимую информацию, собираемую годами, лишиться средств и потерять доверие клиентов.
Столкнувшись с подобными проблемами, финансисты начали искать способы их разрешения за счет снижения информационных рисков. В результате появились первые системы защиты, разработанные и созданные банками в буквальном смысле слова "на коленке", то есть второпях, на ходу и собственными усилиями. Однако уже к концу 90-х, осознав важность проблемы, кредитные организации стали постепенно заменять свои устаревшие системы защиты информации (СЗИ) на современные. Построение такой СЗИ включает в себя целый комплекс мероприятий - от аудита банка в области информационной безопасности до создания межфилиальных систем защиты данных.
В последние годы новые системы защиты информации в банковской системе нашей страны переживают бурное развитие. Несмотря на существующие недостатки российского законодательства, регулирующего деятельность банков, ситуация неуклонно меняется к лучшему. Сегодня все больше банков делает ставку на профессионализм своих сотрудников и новые технологии.
Трудно представить себе более благодатную почву для внедрения новых технологий защиты информации, чем банковская деятельность. В принципе почти все задачи, которые возникают в ходе работы банка достаточно легко поддаются автоматизации. Быстрая и бесперебойная обработка значительных потоков информации является одной из главных задач любой крупной финансовой организации. В соответствии с этим обладание средствами защиты информации, позволяющей защитить все возрастающие информационные потоки. Кроме того, именно банки обладают достаточными финансовыми возможностями для использования самой современной техники. Однако не следует считать, что средний банк готов тратить огромные суммы на системы защиты информации. Банк является прежде всего финансовой организацией, предназначенной для получения прибыли, поэтому затраты на модернизацию должны быть сопоставимы с предполагаемой пользой от ее проведения. В соответствии с общемировой практикой в среднем банке расходы на СЗИ составляют не менее 17% от общей сметы годовых расходов.
Целью курсовой работы является исследовать процессы защиты информации в Березниковском филиале Урал ФД.
В курсовой работе были представлены следующие задачи:
· описание информационных потоков организации;
· анализ возможных угроз защиты информации;
· исследование механизма политики безопасности организации.
В качестве объекта исследования выбран Урал ФД Березниковский филиал. Основным видом деятельности организации является оказание банковских услуг.
Объектом исследования являются защита информации в Урал ФД.
Предметом исследования являются процессы и средства защиты информации в Урал ФД.
Основными методами исследования послужили монографические, методологические, статистические методы.
Информационной базой исследования стали законодательные акты и нормативно - правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения об использовании служебной информации в Урал ФД.
1. Общие сведения об организации
Урал ФД - крупнейший самостоятельный универсальный Банк Пермского края. Доля Банка на региональном рынке составляет 7%. Большой профессиональный опыт сотрудников позволяет обеспечивать Банку лидирующее положение на рынке кредитно-финансовых услуг региона в течение 19-ти лет.
Банк обслуживает более 150 000 счетов физических лиц, в том числе 90 000 банковских карт платежной системы VISA.
Инфраструктура Банка Урал ФД включает в себя сеть из 3 филиалов, 16 дополнительных офисов, 3 операционных кассы, 94 банкомата в Перми, Москве, Березниках, Соликамске, Губахе, Полазне и Чайковском.
Согласно рейтингу российских банков агентства РБК. Рейтинг по состоянию на 01.01.09 Банк Урал ФД занимает 139-е место по размеру чистых активов из 1 189 банков, действующих на данную дату. По данным этого же агентства Банк по размеру чистых активов занимает 11-е место в ТОР 130 Банков Приволжского региона. По данным рейтинга журнала Эксперт-Урал Банк Урал ФД входит в ТОР-15 уральских Банков по величине активов.
2. Теоретические аспекты процессов защиты информации
2.1 Описание информационных потоков организации
Информационная безопасность играет в банковском секторе не просто важную, а поистине ключевую роль. С этим параметром напрямую связаны репутационные и финансовые риски, от нее в конечном счете зависит судьба любого финансового бизнеса.
Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.
Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).
Информационный поток - совокупность информации, минимально необходимая для осуществления работы банка.
Банковские информационные потоки можно разделить по типам информации:
Структурированные потоки, в которых выделяются поля, имеющие тип и размерность; к таким потокам относятся:
платежные поручения;
банковские выписки;
обязательные формы отчетности.
Неструктурированные потоки, в которых информационные единицы нельзя подразделить на отдельные поля заданного типа и размерности; к таким потокам относятся:
стратегические планы работы;
нормативные документы;
текущая переписка;
Смешанные потоки, т.е. такие, в которых часть информационной единицы имеет структуру, а часть не структурирована и должна храниться и обрабатываться как единое целое; к таким документам относятся:
договора на обслуживание;
кредитные договора;
отчеты банка о деятельности.
В банке выделяются следующие целевые блоки информационных потоков, направленных для:
· Организации работы правления. Основная задача правления банка - подготовка стратегического плана развития и оперативное руководство общей деятельностью банка. Данный блок системы автоматизации отвечает за информационное обеспечение работы правления. Основная форма работы с информацией в этом блоке - обработка неструктурированной информации и анализ обобщенной структурированной информации.
· Обеспечения работы финансовых служб. Данный блок обеспечивает функционирование финансового управления и бухгалтерии банка. Основные задачи данных служб - сформировать отчетные данные, предоставить обобщенную управленческую информацию для принятия решении правлением банка, оптимизировать налогообложение деятельности банка и пр.
· Обеспечения работы с клиентами. Собственно этот блок обеспечивает выполнение основной производственной деятельности - получение прибыли от операций с денежными средствами. Он определяет основной объем текущей работы в банке. Основной формат информации в данном подразделении - смешанная или чисто структурированная.
· Создание юридического обеспечения. Процесс отвечает за соответствие деятельности банка законам. Данное подразделение работает только с неструктурированной информацией. В его обязанности входит:
подготовка и ведение базы нормативно-справочных документов;
ведение базы данных прецедентов судебных процессов;
юридическая экспертиза шаблонов договоров для блока.
· Организации сбора информации. Этот процесс отвечает за информационное обеспечение деятельности банка. Он работает в основном (на 90-98%) с неструктурированной информацией. Основные задачи данного блока - подготовка аналитических данных и обеспечение оперативной деятельности банка с клиентурой на основе информационных ресурсов и обработки информации из специальных каналов получения информации.
В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, автоматизированная система безопасности прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных.
В общем случае, автоматизированная система безопасности банковской информационной системы должна строиться по иерархическому принципу.
Автоматизированная система безопасности должна обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам:
· Надежность - система в целом должна обладать, продолжать, функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа;
· Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов;
· Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом;
· Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами;
· Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
2.2 Анализ возможных угроз
Угроза безопасности - потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба (защищаемому ресурсу) Банку.
Угрозы можно классифицировать по различным основаниям и измерять в количественных параметрах.
Возможны следующие типы угроз:
· экономические
· социальные
· правовые
· организационные
· информационные
· экологические
· технические
· криминальные.
Уязвимость - это присущие предприятию причины обусловленными особенностями хранения, использования, транспортировки, охраны и защиты ресурсов, приводящие к нарушению безопасности конкретного ресурса.
Атака - реализация угрозы.
Ущерб - невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. (Материальный, физический, моральный).
Носителями угроз безопасности информации в банке являются источники угроз. Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и в не ее - внешние источники.
Деление источников на субъективные и объективные оправдано, исходя из того, что субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами. А объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации банка.
А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.
защита информация банк
Все источники угроз безопасности информации можно разделить на три основные группы:
· Обусловленные действиями субъекта (антропогенные источники угроз).
· Обусловленные техническими средствами (техногенные источники угрозы).
· Обусловленные стихийными источниками.
2.2.1 Антропогенные источники угроз
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты информации банка, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации банка.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
· криминальные структуры;
· потенциальные преступники и хакеры;
· недобросовестные партнеры;
· технический персонал поставщиков тематических услуг;
· представители надзорных организаций и аварийных служб;
· представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации в банке Урал ФД, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
· основной персонал (пользователи, программисты, разработчики);
· представители службы защиты информации;
· вспомогательный персонал (уборщики, охрана);
· технический персонал (жизнеобеспечение, эксплуатация).
Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.
Квалификация антропогенных источников информации играют важную роль в оценке их влияния, и учитывается при ранжировании источников угроз.
2.2.2 Техногенные источники угроз
Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.
Технические средства, являющиеся источниками потенциальных угроз безопасности информации банка так же могут быть внешними:
1) средства связи;
2) сети коммуникации (водоснабжения, канализации);
3) некачественные технические средства обработки информации;
4) некачественные программные средства обработки информации;
5) вспомогательные средства (охраны, сигнализации, телефонии);
6) другие технические средства, применяемые в учреждении.
2.2.3 Стихийные источники угроз
Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы:
1) пожары;
2) землетрясения;
3) наводнения;
4) ураганы;
5) различные непредвиденные обстоятельства;
6) необъяснимые явления;
7) другие форс-мажорные обстоятельства.
Человеческий фактор как антропогенный источник угроз:
Чаще всего к возникновению значительного ущерба приводят злонамеренные или ошибочные действия людей, а техногенные источники, как правило, выступают в качестве предпосылки.
Внешние источники угроз:
Хакеры и криминальные структуры.
Популярность такого источника угроз, как хакеры, к сожалению, активно поддерживается средствами массовой информации.
Важный мотив действий хакера - материальная выгода. Особенно часто совершаются попытки кражи номеров кредитных карт, либо конфиденциальной информации с последующим шантажом с целью вымогательства. Сюда же можно отнести случаи взлома финансовых систем или мошенничества.
Реальная квалификация большинства хакеров ниже, чем у профессиональных программистов. Иногда попытки злоупотреблений совершаются лицами с преступными наклонностями, совсем не обладающими специальными знаниями. Но даже если вас очень впечатлили навыки компьютерного преступника, не рекомендуется принимать его на работу ввиду наличия деструктивных наклонностей. Взлом и построение информационных систем банка - далеко не одно и то же, а "бомба" внутри организации гораздо опаснее, чем снаружи.
Практика показывает, что в большинстве случаев хакеры, представляющие реальную опасность, работают по заказу и под контролем организованных криминальных структур.
Недобросовестные партнёры и конкуренты:
В качестве источника информации недобросовестные партнёры и конкуренты используют Web-сайты, СМИ, материалы публичных выступлений. Для сбора информации в глобальной сети всё чаще привлекаются хакеры.
Но самым опасным для компании источником утечки конфиденциальной информации являются ее собственные сотрудники.
Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При соответствующей подготовке недоброжелатели могут эффективно использовать современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, использовать вредные привычки и скрытые потребности.
В первую очередь объектом воздействия становятся менеджеры и высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.
Особенно полезными для недобросовестных конкурентов могут оказаться уволенные сотрудники, а также сотрудники, получившие приглашение, в том числе мнимое, на работу. Находящиеся в штате работники также не всегда следуют интересам организации.
2.2.4 Внутренние источники угроз
Менеджеры.
Как лица, обладающие большими организационными полномочиями, наибольшую потенциальную угрозу для информационных ресурсов банка представляют менеджеры. Например, к потерям могут привести распоряжения предоставить пользователю неоправданно высокие права, реализовать в информационной системе небезопасный, но удобный функционал. Иногда информационные угрозы возникают вследствие неудовлетворительного выполнения руководителями контролирующих функций. Известны случаи, когда продавалось оборудование, с дисков которого не удалялась конфиденциальная информация компании и партнёров.
Во избежание возникновения ущерба целесообразно обязать менеджеров согласовывать решение вопросов, связанных с информационными рисками, с руководителем службы информационной безопасности.
Сотрудники.
Значительной угрозой информационной безопасности компании является низкая квалификация персонала, недостаточная для корректной работы с корпоративной информационной системой банка. Особо опасными являются некомпетентные сотрудники, выдающие себя за грамотных пользователей, или считающие себя таковыми.
Во многих банках отсутствует контроль над установкой на рабочих станциях программного обеспечения. Не понимая возможных последствий, сотрудник может установить на своём рабочем месте заинтересовавшую его программу или "патч", существенно снизив эффективность усилий по обеспечению корпоративной сетевой безопасности. Подобная угроза возникает и в случае подключения находящейся в локальной сети рабочей станции с Интернет через модем или мобильный телефон, оснащённый функцией цифровой связи.
Конечно, не будет лишним ещё раз упомянуть об угрозах, исходящих от приклеенных к мониторам стикеров с паролями и практики обмена паролями между работниками, выполняющими схожие функции.
В ряде случаев проблемы безопасности связаны с тем, что легальные пользователи используют необходимую для работы информацию не по назначению. Причиной может быть злой умысел, халатность, непонимание последствий распространения доступных им сведений. Очевидно, что данная проблема неразрешима только технологическими мерами.
Наибольшую опасность представляют сотрудники, обиженные на организацию и её руководителей. Поэтому случаи возникновения явных и скрытых конфликтов, несоответствия сложившейся ситуации ожиданиям сотрудников, могут рассматриваться как потенциальные предпосылки нарушений информационной безопасности Банка. Особого внимания требуют связанные с такими ситуациями случаи увольнения. Как отмечалось выше, сотрудник, уволившийся из компании с чувством обиды, легко может стать источником информации для недоброжелателей.
IT-специалисты, администраторы и лица, выполняющие критичные операции.
Хочется обратить внимание на отбор кандидатов, которым предполагается доверить выполнение операций, требующих больших прав в информационной системе. Не меньшее значение, чем профессиональные навыки, имеют лояльность кандидата и способность сохранять приверженность интересам компании даже в сложных ситуациях. По этой причине лица, на вершине системы ценностей которых находится материальное вознаграждение, скорее всего, получат отказ. С особой осторожностью следует относиться к кандидатам, слишком часто меняющим работу, предоставившим недостоверные сведения, привлекавшимся к административной и уголовной ответственности, имевшим психические или невротические расстройства.
Традиционной проблемой, связанной с IT-сотрудниками, является контроль и оценка результатов деятельности. Немногие руководители способны воспринимать "птичий" язык и вникать в сущность их работы, в том числе в вопросы защиты данных. И немногие владеющие глубокими знаниями в IT, компетентны в вопросах управления.
Например, в IТ-подразделениях часто отсутствуют должностные инструкции и не проводятся аттестации. Иногда IТ-специалистов рассматривают как обслуживающий персонал, пытаются нагрузить дополнительной работой, не определённой должностной инструкцией. Это ухудшает выполнение прямых обязанностей, вызывает недовольство, отрицательно сказывается на лояльности, приводит к высокой текучке кадров. Наверняка многим известны случаи, когда увольняющийся администратор блокирует пароли сервера.
2.2.5 Последствия воздействия угроз и виды угрожающих воздействий
Последствием воздействия угроз является нарушение безопасности системы банка. Рассмотрим эти последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты информационно-вычислительной системы банка.
· (Несанкционированное) Вскрытие.
Обстоятельство или событие, посредством которого субъект получил доступ к охраняемым данным (например, конфиденциальным), не имеющий на самом деле прав доступа к ним. Следующие угрожающие действия могут стать причиной несанкционированного вскрытия:
· "Разоблачение": Угрожающее действие, посредством которого охраняемые данные стали доступны непосредственно субъекту, не имеющему на это право. Оно включает:
- "Преднамеренное разоблачение": Умышленный допуск к охраняемым данным субъекта, не имеющему на это право.
- "Просмотр остатка данных": Исследование доступных данных, оставшихся в системе, с целью получения несанкционированного знания охраняемых данных.
- "Ошибка человека": Действие или бездействие человека, которое неумышленно повлекло за собой несанкционированное знание субъектом охраняемых данных.
- "Аппаратно-программная ошибка": Ошибка системы, которая повлекла за собой несанкционированное знание субъектом охраняемых данных.
· "Перехват": Угрожающее действие, посредством которого субъект имеет непосредственный несанкционированный доступ к охраняемым данным, циркулирующим между полномочными источниками и получателями. Оно включает:
- "Кража": Получение доступа к охраняемым данным банка путем воровства различных накопителей информации независимо от их физической сущности (например, кассеты с магнитной лентой или магнитные диски и др.).
- "Прослушивание (пассивное)": Обнаружение и запись данных, циркулирующих между двумя терминалами в системе связи банка.
- "Анализ излучений": Непосредственное получение содержания передаваемых в системе связи сообщений путем обнаружения и обработки сигнала, излучаемого системой и "переносящего" данные, но не предназначенного для передачи сообщений.
· "Вторжение": Угрожающее действие, посредством которого субъект обеспечивает несанкционированный доступ к охраняемым данным банка путем обмана средств обеспечения безопасности системы. Оно включает:
- "Посягательство": Получение несанкционированного физического доступа к охраняемым данным банка путем обмана системных средств защиты информации.
- "Проникновение": Получение несанкционированного логического доступа к охраняемым данным путем обмана системных средств защиты информации.
- "Реконструкция": Добыча охраняемых данных путем декомпозиции и анализа конструкции системного компонента.
· Обман.
Обстоятельство или событие, которое может повлечь за собой получение полномочным субъектом искаженных данных, но воспринимаемых им как верные. Следующие угрожающие действия могут повлечь за собой обман:
· "Маскарад": Угрожающее действие, посредством которого субъект получает несанкционированный доступ к системе банка или осуществляет злонамеренное действие, выступая в роли полномочного субъекта.
- "Мистификация": Попытка субъекта осуществить несанкционированный доступ в систему банка под видом полномочного пользователя.
- "Устройство для злонамеренных действий": С точки зрения "маскарада", любое аппаратно-программное устройство или программное обеспечение (например, "троянский конь"), которое якобы предназначено для поддержания эффективного и устойчивого функционирования системы, но на самом деле обеспечивает несанкционированный доступ к системным ресурсам или обманывает пользователя путем выполнения другого злонамеренного акта.
· "Фальсификация": Угрожающее действие, посредством которого искаженные данные вводят в заблуждения полномочного субъекта.
- "Подмена": Внесение изменений или замена истинных данных на искаженные, которые служат для обмана полномочного субъекта.
- "Вставка": Добавление искаженных данных, которые служат для обмана полномочного субъекта.
· Разрушение.
Обстоятельство или событие, которое препятствует или прерывает корректное функционирование системных служб и реализацию необходимых действий. Следующие угрожающие действия могут вызвать разрушение:
- "Вредительство": Угрожающее действие, которое препятствует или прерывает функционирование системы банка путем вывода из строя ее компонентов.
- "Устройство для злонамеренных действий": С точки зрения "вредительства", любое аппаратно-программное устройство или программное обеспечение (например, "логическая бомба"), умышленно встраиваемое в систему для нарушения ее работоспособности или уничтожения ее ресурсов.
- "Физическое разрушение": Умышленной разрушение системного компонента с целью препятствия нормальному функционированию системы или его прерывание.
- "Ошибка человека": Действие или бездействие человека, которое неумышленно повлекло за собой выход из строя компонента системы.
- "Аппаратно-программная ошибка": Ошибка, которая либо повлекла за собой повреждение системного компонента, либо привела к прекращению нормального (или полному прекращению) функционирования системы.
· "Порча": Угрожающее действие, которое вносит нежелательное изменение в функционирование системы путем вредительского изменения алгоритмов функционирования или данных системы банка.
- "Подделка": С точки зрения "порчи", умышленное искажение программного обеспечения, данных или управляющей информации системы с целью прерывания или препятствования корректному выполнению системных функций.
- "Устройство для злонамеренных действий": С точки зрения "порчи", любое аппаратно-программное устройство или программное обеспечение (например, "компьютерный вирус"), преднамеренно встроенное в систему с целью изменения алгоритмов и процедур функционирования системы или ее данных.
· Захват (узурпация).
Обстоятельство или событие, в результате которого управление службами системы банка и ее функционирование перешло к незаконному субъекту. Следующие угрожающие действия могут повлечь за собой "захват":
- "Незаконное присвоение": Угрожающее действие, посредством которого субъект присваивает себе функции несанкционированного логического или физического управления системным ресурсом.
- "Кража данных": Незаконное приобретение и использование данных банка.
- "Злоупотребление": Угрожающее действие, которое повлекло за собой выполнение системным компонентом каких-либо функций или процедур обслуживания, подрывающих безопасность системы банка.
- "Подделка": С точки зрения "злоупотребления", умышленное искажение программного обеспечения, данных или управляющей информации системы с целью принуждения системы выполнять несанкционированные функции или процедуры обслуживания.
- "Нарушение дозволенности": Действие субъекта, которое обеспечивает для него превышение дозволенных системных полномочий путем выполнения несанкционированной функции.
Анализ представленных угроз и последствий их воздействия показывает, что конечными их целями являются: информация о данных клиентах банка, циркулирующая в информационно-вычислительной сети или системе банка - чтение и искажение (разрушение) информации и/или нарушение процедур информационного обмена; работоспособность самой информационно-вычислительной сети или системы безопасности банка - чтение и искажение (разрушение) управляющей информации и/или нарушение процедур управления компонентами или системой безопасности банка.
2.3 Построение модели нарушителя
В настоящее время под патронажем Банка России разрабатывается Стандарт обеспечения информационной безопасности организаций банковской системы РФ. Одной из его ключевых позиций является постулат - наибольшую угрозу для банков несут не сторонние лица, а собственные сотрудники, имеющие доступ к информационным ресурсам. Для служб безопасности банковской системы это актуально вдвойне.
При разработке средств обеспечения информационной безопасности определяется модель потенциального нарушителя, введение которой используется для определения возможных каналов несанкционированного доступа к информации, обрабатываемой с помощью системы. В рамках выбора модели нарушителя определяются:
· категории лиц, в числе которых может оказаться нарушитель;
· возможные цели нарушителя и их градации по степени важности;
· предположения о квалификации нарушителя;
· оценка его технической вооруженности;
· ограничения и предположения о характере возможных действий нарушителя.
Уровень нарушителя определяется организационно-функциональной структурой системы в конкретном банке. Необходимо помнить, что программные и организационные меры защиты нельзя рассматривать по отдельности, они всегда дополняют друг друга.
Портрет потенциального НАРУШИТЕЛЯ безопасности информационного ресурса может быть представлен следующим образом: Нарушитель - это лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и использующее для этого различные возможности, методы и средства.
Уровни технической оснащенности нарушителя и его знаний о физических принципах работы систем охраны, установленных на объекте, определяют возможность и время, необходимое ему на преодоление средств инженерной защиты и обход сигнализационной техники.
Наиболее вероятными путями физического проникновения "нарушителя" в здание являются:
· через двери и окна первого этажа;
· по коммуникационным и техническим проемам подвала или цокольного этажа;
· с крыши через окна или другие проемы верхних этажей;
· путем разрушения ограждений (разбивание стекол, пролом дверей, решеток, стен, крыши, внутренних перегородок, пола и т.п.).
Рассматривают две группы способов реализации угроз (враждебных действий) - контактные, бесконтактные.
Способы проникновения на объект, в его здания и помещения могут быть самые различные, например:
· разбитие окна, витрины, остекленной двери или других остекленных проемов;
· взлом (отжатие) двери, перепиливание (перекус) дужек замка и другие способы проникновения через дверь;
· пролом потолка, подлежащего блокировке;
· пролом капитального потолка, не подлежащего блокировке;
· пролом стены, подлежащей блокировке;
· пролом капитальной стены, не подлежащей блокировке;
· пролом (подкоп) капитального пола, не подлежащего блокировке;
· пролом (подкоп) пола, подлежащего блокировке;
· проникновение через разгрузочный люк;
· проникновение через вентиляционное отверстие, дымоход или другие строительные коммуникации;
· проникновение подбором ключей;
· оставление нарушителя на объекте до его закрытия;
· свободный доступ нарушителя на объект в связи с временным нарушением целостности здания из-за влияния природно-техногенных факторов или в период проведения ремонта;
· проникновение через ограждение (забор, сетку, решетку), используя подкоп, перелаз, разрушение, прыжок с шестом и т.д.
Каждый тип нарушителей (неподготовленный, подготовленный, квалифицированный) будет осуществлять проникновение на объект по разному - менее или более грамотно используя различные условия, способствующие проникновению, как то:
· взрыв;
· пожар (поджог);
· разбойное нападение;
· наводнение;
· химическое заражение;
· общественные беспорядки;
· отключение электроэнергии на объекте, в районе, городе;
· постановка нарушителем помех ТСО на объекте;
· постановка нарушителем помех в канале связи объекта с охраной;
· предварительный вывод из строя ТСО на объекте;
· предварительный вывод из строя канала связи объекта с охраной;
· предварительный сговор нарушителя с персоналом объекта;
· предварительный сговор нарушителя с персоналом службы охраны объекта;
· создание и использование многих и многих других условий для проникновения на охраняемый объект, например: использование дрессированных животных и птиц, специальных технических средств обхода ТСО, специальных технических средств для предварительного изучения объекта и т.д.
Модель нарушителя информационной безопасности может быть дополнена некоторыми показателями, определяемыми особенностями человеческого характера. Сотрудники банка, участвующие в процессах движения информации, могут быть возможными нарушителями. Типы угроз компьютерной информации и возможные нарушители представлены в таблице.
Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, имеет в своем распоряжении соответствующие технические средства. Он знает систему защиты информации на объекте или имеет возможность доступа к конкретным информационным ресурсам, сам выбирает время и место предполагаемого нарушения.
Угрозы персоналу.
Правовое положение работника на предприятии определяется положениями Конституции РФ, а также условиями контракта (трудового соглашения) и организационно-распорядительными документами, действующими Урал ФД, в т. ч. и в части обеспечения безопасности на своем участке работы. Работодатель обязан предпринять меры для защиты работника от возможных угроз его здоровью, жизни, интересам, а работник, в свою очередь - добросовестно выполнить обязательства, взятые на себя при оформлении контракта во время приема на работу.
Угрозы Персоналу (человеку) могут быть выражены явлениями и действиями такими как:
1) Стихийные бедствия;
2) Вредные условия труда; попытки внесения изменений в технологические процессы производства, с целью подготовки и совершения технологических аварий; техногенные аварии;
3) Психологический террор, угрозы, компромат, распространение ложной информации (то ли он украл, то ли у него украли), запугивание, шантаж, вымогательство;
4) Нападение, с целью завладения денежными средствами, ценностями, сведениями конфиденциального характера и документами;
5) Внесение опасных для здоровья изменений в окружающую среду (радиоактивное, химическое, бактериологическое заражение и т.п.);
8) Убийства, сопровождаемые насилием, издевательствами и пытками и другие.
Способы осуществления угроз персоналу разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.
Угрозы материальным ресурсам.
Ценным ресурсам предприятия с физической формой существования могут угрожать:
· Стихийные бедствия;
· Пожар;
· Хищения - совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества;
· Повреждение - изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становиться полностью или частично непригодным для целевого использования. Повреждение осуществляется с помощью поджогов, взрывов, обстрелов из огнестрельного оружия и другими способами ограждений, входных дверей, ворот, решеток, витрин, и т.п.; транспортных средств, технологического транспорта и оборудования; средств и систем связи и сигнализации; систем жизнеобеспечения банка.
· Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводится в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.
· Заражение радиоактивными, химическими, бактериологическими веществами;
· Пикетирование, блокирование входов, вторжение, захват и другие.
Способы осуществления угроз ценным ресурсам, существующим в физической форме, также разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.
3. Исследование процессов защиты информации в Урал ФД
3.1 Разработка политики безопасности Банка
Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.
Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.
Информационная безопасность банка должна учитывать следующие специфические факторы:
1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
2. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
Для защиты информации в Урал ФД разработана СЗИ. Система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированно доступу к информации, ее разглашению или утечке. ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" также закрепляет понятие СЗИ как совокупности органов и/или исполнителей, используемых ими техники защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
"Направления обеспечения информационной безопасности - это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз". Выделяют следующие элементы СЗИ:
· Нормативно-правовой элемент ЗИ - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия. Обеспечивающие защиту информации на правовой основе;
· Организационный элемент ЗИ - включает регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающую или ослабляющую нанесение, какого - либо ущерба исполнителям;
· Инженерно-технический элемент ЗИ - это использование различных инженерно-технических средств, препятствующих нанесению ущерба защищаемой информации;
· Программно-аппаратный элемент ЗИ - это все программные и автоматизированные системы обработки данных обеспечивающие сохранность и конфиденциальность информации.
3.1.1 Нормативно-правовой элемент защиты информации Урал ФД
"Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу".
Режим защиты информации устанавливается:
· в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";
· в отношении конфиденциальной документированной информации собственник информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
· в отношении персональных данных - федеральным законом". Федеральный закон РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 г. № 24-ФЗ (ст.21).
В сфере защиты информации Урал ФД руководствуется следующими нормативно-правовыми актами:
· Федеральный закон РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 г. № 24-ФЗ (ст.21).
· Закон Российской Федерации "О государственной тайне" (с изменениями от 27 марта 1996 года), принят Верховным Советом Российской Федерации 21.07.93, 5485-1.
· Закон Российской Федерации "Об информации, информатизации и защите информации", принят Государственной думой 25.01.95.
· Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 3.04.95, 334.
· Постановление Правительства РСФСР "О перечне сведений, которые не могут составлять коммерческую тайну" от 5.12.91 35.
· Постановление Правительства Российской Федерации "Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности" 870 от 4.09.95.
· Указ Президента Российской Федерации "О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации" от 9.01.96.
· Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных", принят Верховным Советом РФ 23.09.92, 3523-1.
· Закон Российской Федерации "О правовой охране топологий интегральных микросхем", принят Верховным Советом РФ 23.09.92, 3526-1.
· Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" 188 от 6.03.97.
· Указ Президента Российской Федерации "Об утверждении перечня сведений, отнесенных к государственной тайне" 1203 от 30.11.95.
· Указ Президента Российской Федерации "О Межведомственной комиссии по защите государственной тайны" 1108 от 8.11.95.
· Постановление Правительства Российской Федерации "О сертификации средств защиты информации" (с изменениями от 23 апреля 1996 года) 608 от 26.06.95.
· Федеральный закон " О банках и банковской деятельности" от 25.06.1993года
На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в Урал ФД.
3.1.2 Организационный элемент защиты информации в Урал ФД
"Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз". Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационная защита выполняет функции по:
· организации охраны, режима, работу с кадрами, с документами;
· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз.
Организационный элемент СЗИ включает:
· организацию режима и охраны для исключения возможности тайного проникновения на территорию и в помещения посторонних лиц; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей;
Подобные документы
История развития ОАО "Мобильные ТелеСистемы", характер и направления реализации информационных процессов на нем. Возможные угрозы и их анализ. Неформальная модель нарушителя. Нормативно-правовой, организационный и инженерно-технический элемент защиты.
курсовая работа [39,8 K], добавлен 23.12.2013Анализ организационной структуры ОАО "МегаФон". Информационные потоки отделов. Исследование процессов защиты информации отделов. Классификация информации по видам тайн. Модель нарушителя, каналы утечки информации. Исследование политики безопасности.
курсовая работа [778,8 K], добавлен 07.08.2013Построение модели возможных угроз информационной безопасности банка с учетом существующей отечественной и международной нормативно-правовой базы. Сравнительный анализ нормативных и правовых документов по организации защиты банковской информации.
лабораторная работа [225,7 K], добавлен 30.11.2010Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
курсовая работа [476,3 K], добавлен 19.05.2014Общие сведения о компании ООО "ВТИ-Сервис", ее система защиты информации и описание организации основных информационных потоков. Классификация средств, выявление основных угроз важной информации. Характеристика технических средств по обеспечению ЗИ.
курсовая работа [378,8 K], добавлен 28.04.2014Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Перечень нормативных документов по защите информации, лицензирование и сертификация. Проектирование автоматизированных систем в защищенном исполнении, их внедрение и последующая эксплуатация. Оценка угроз и методы защиты для информационных потоков в АСУ.
курсовая работа [169,1 K], добавлен 21.01.2011Исследование теоретических основ и вопросов инженерно-технической защиты информации на предприятии. Разработка информационной системы инженерно-технической защиты информации. Экономическая эффективность внедренных систем защиты информации на предприятии.
курсовая работа [2,3 M], добавлен 26.05.2021Описание основных целей и рабочих процессов оператора сотовой связи. Шкала оценки важности информации. Построение матрицы ответственности за аппаратные ресурсы. Разработка структурной схемы их взаимодействия между собой и модели информационных потоков.
практическая работа [336,0 K], добавлен 28.01.2015Комплексный подход в обеспечении информационной безопасности. Анализ процессов разработки, производства, реализации, эксплуатации средств защиты. Криптографические средства защиты информации. Основные принципы инженерно-технической защиты информации.
курсовая работа [725,1 K], добавлен 11.04.2016