Исследование процессов защиты информации в банке УРАЛ ФД

Описание информационных потоков организации, анализ угроз. Построение модели нарушителя. Исследование процессов защиты информации на примере банка Урал ФД: нормативно-правовой, организационный, инженерно-технический и программно-аппаратный элементы.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 03.02.2011
Размер файла 120,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

· организацию работы с сотрудниками по обучению правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации;

· организацию работы с документами, включая разработки и использование документов и носителей КИ, их учет, исполнение, возврат, хранение и уничтожение;

· организацию использования технических средств сбора, обработки, накопления и хранения КИ;

· регламентация разрешительной системы разграничения доступа персонала к защищаемой информации;

· организация ведения всех видов аналитической работы;

· регламентация действий персонала в экстремальных ситуациях;

· регламентация организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

· организация защиты информации - создание службы информационной безопасности или назначение ответственных сотрудников за защиту информации.

Естественно организационные мероприятия должны четко планироваться, направляться и осуществляться службой информационной безопасности, в состав которой входят специалисты по безопасности.

Таким образом, организационной защиты является основным элементом комплексной СЗИ и во многом от того, каким образом реализован организационный элемент, зависит безопасности организации.

3.1.3 Инженерно-технический элемент защиты информации в Урал ФД

Предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты можно условно разделить:

· физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (доступу) злоумышленников на объекты защиты (территорию, в здание и помещения) и материальными носителями. Например, заборы, стальные двери, кодовые замки, сейфы и т.д.;

· средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и др. технических средств управления;

· средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации);

· средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);

· технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.

· средства противопожарной охраны;

· средства защиты помещений от визуальных способов технической разведки.

3.1.4 Программно-аппаратный элемент защиты информации в Урал ФД

Предназначен для защиты конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ЛВС и различных информационных системах. "Аппаратные средства защиты информации представлены техническими устройствами, предназначенными для защиты информации от разглашения, утечки или несанкционированного доступа". Аппаратные средства могут быть:

· средствами выявления;

· средствами защиты от несанкционированного доступа.

· Программные средства защиты имеют следующие разновидности специальных программ:

· идентификации технических средств, файлов и аутентификации пользователей;

· регистрации и контроля работы технических средств и пользователей;

· обслуживания режимов обработки информации ограниченного пользования;

· защиты операционных средств ЭВМ и программ пользователей;

· уничтожения информации в защитные устройства после использования;

· сигнализирующих нарушения использования ресурсов;

· вспомогательных программ защиты различного назначения.

3.2 Реализация политики безопасности в Урал ФД

3.2.1 Реализация нормативно-правового элемента защиты информации в Урал ФД

На основе перечисленных в пункте 2.1.1 документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в Урал ФД. Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации включает в себя комплекс внутренней нормативно-организационной документации, в которую входят такие документы организации, как:

· Устав;

· коллективный трудовой договор;

· трудовые договоры с сотрудниками Банка;

· правила внутреннего распорядка служащих Банка;

· должностные обязанности руководителей, специалистов и служащих Банка.

· инструкции пользователей информационно-вычислительных сетей и баз данных;

· инструкции администраторов ИВС и БД;

· положение о подразделении по защите информации;

· концепция системы защиты информации в Урал ФД;

· инструкции сотрудников, допущенных к защищаемым сведениям;

· инструкции сотрудников, ответственных за защиту информации;

· памятка сотрудника о сохранении коммерческой или иной тайны;

· договорные обязательства.

3.2.2 Реализация организационного элемента защиты информации в Урал ФД

Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур. Как свидетельствует современный опыт, безопасность экономической деятельности Банка во многом зависит от того, в какой степени квалификация ее сотрудников, их морально-нравственные качества соответствуют решаемым задачам.

В связи с этим в целях повышения экономической безопасности Урал ФД уделяет большое внимание подбору и изучения кадров, проверке любой информации, указывающей на их сомнительное поведение и компрометирующие связи. При этом в обязательном порядке проводить значительную разъяснительно-воспитательную работу, систематические инструктажи и учения по правилам и мерам безопасности, регулярные, но неожиданные тестирования различных категорий сотрудников по постоянно обновляемым программам.

В контрактах Урал ФД четко очерчивает персональные функциональные обязанности всех категорий сотрудников Банка и на основе существующего российского законодательства во внутренних приказах и распоряжениях определяет их ответственность за любые виды нарушений, связанных с разглашением или утечкой информации, составляющей коммерческую тайну.

Кроме того Банк все шире вводит в своих служебных документах гриф "конфиденциально" и распространяет различного рода надбавки к окладам для соответствующих категорий своего персонала.

При отборе сотрудников важную роль занимают рекомендательные письма, научные методы проверки на профессиональную пригодность и различного рода тестирования, осуществляемые кадровыми подразделениями Банка, сотрудниками службы безопасности и группами психологической поддержки.

В настоящее время Урал ФД имеет строго разработанные и утвержденные руководством организационные структуры и функции управления для каждого подразделения. Составлены организационные схемы и чертежи, на которых графически изображается каждое рабочее место, прописываются должностные обязанности и определяются информационные потоки для отдельного исполнителя.

При такой схеме управления и контроля предельно ясно, на каком участке (отдел, служба, управление) требуется специалист соответствующей квалификации и какой информацией он должен располагать для выполнения функций на своем рабочем месте. Внутренними распоряжениями также определяются требования к деловым и личным качествам сотрудников и обусловливаются режимы сохранения коммерческой тайны.

Кроме того, для большей конкретизации этих процедур на каждое рабочее место составляется профессиограмма, т.е. перечень личностных качеств, которыми в идеале должен обладать потенциальный сотрудник. Содержательная сторона и глубина проработки профессиограмм могут быть различными. Это зависит в первую очередь от того, на какое рабочее место они составляются.

Обязательными атрибутами подобных документов являются разделы, отражающие профессионально значимые качества (психологические характеристики, свойства личности, без которых невозможно выполнение основных функциональных обязанностей), а также противопоказания (личностные качества, которые делают невозможным зачисление кандидата на конкретную должность). В некоторых случаях необходимо не только указывать профессионально значимые качества, но и оценивать степень их выраженности, т.е. сформированности.

По схемам управления и профессиограммам Банк приступает к собеседованиям и применяет разнообразные процедуры отбора кандидатов на работу. Как правило, проблема отбора кадров встает перед руководителями банков в двух основных случаях: создание новых подразделений, замещение вакантных должностей. Для первого случая характерно изучение значительного числа кандидатур, для которых из набора имеющихся вакансий подбирается соответствующая должность. Во втором случае из ограниченного числа кандидатов отбирается тот, который по своим личным и профессиональным качествам в наибольшей степени соответствует требованиям профессиограммы данного рабочего места.

Проблема состоит в том, что даже весьма опытные работники кадровых подразделений не всегда могут правильно, достоверно и быстро оценить подлинное психическое состояние лиц, пришедших на собеседование. Этому способствуют повышенное волнение, склонность отдельных кандидатов к предвзятым оценкам характера деятельности некоторых коммерческих структур, но особенно широкое и зачастую бесконтрольное самолечение различных психосоматических расстройств с использованием в ряде случаев весьма сильных психотропных препаратов. В этой связи Урал ФД требует от кандидатов предоставления справок о состоянии здоровья либо сами выдает направления в определенные поликлиники с рекомендацией прохождения полной диспансеризации (за счет кандидата).

С точки зрения обеспечения стратегических интересов Урал ФД являются обязательными следующие функции службы безопасности:

· определение степени вероятности формирования у кандидата преступных наклонностей в случаях возникновения в его окружении определенных благоприятных обстоятельств (персональное распоряжение кредитно-финансовыми ресурсами, возможность контроля за движением наличных средств и ценных бумаг, доступ к материально-техническим ценностям, работа с конфиденциальной информацией и пр.);

· выявление имевших место ранее преступных наклонностей, судимостей, связей с криминальной средой (преступное прошлое, наличие конкретных судимостей, случаи афер, махинаций, мошенничества, хищений на предыдущем месте работы кандидата и установление либо обоснованное суждение о его возможной причастности к этим преступным деяниям).

Для добывания подобной информации Урал ФД использует возможности различных подразделений банковских структур, в первую очередь службы безопасности, отдела кадров, юридического отдела, подразделений медицинского обеспечения, а также некоторых сторонних организаций детективных агентств, бюро по занятости населения, диспансеров и пр.

Также представители банковских структур Урал ФД должны быть абсолютно уверены в том, что проводят тесты, собеседования и встречи именно с теми лицами, которые выступают в качестве кандидатов на работу. Это подразумевает тщательную проверку паспортных данных, иных документов, а также получение фотографий кандидатов без очков, контактных линз, парика, макияжа.

Урал ФД настаивает на получении набора цветных фотографий кандидата, которые могут быть использованы в случае необходимости для предъявления жильцам по месту его проживания или коллегам по работе. Использование в кадровой работе цветных фотографий, соответствующих паспортным данным, предпочтительнее также в связи с тем, что они четко и без искажений передают цвет волос, глаз, кожи, возраст и характерные приметы кандидата.

В том случае, если результаты указанных проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые бы препятствовали приему на работу данного кандидата, с ним заключается трудовое соглашение, предусматривающей испытательный срок (1-3 месяца).

Необходимо также подчеркнуть следующее важное обстоятельство - лица, принимаемые на ответственные вакантные должности в Урал ФД (члены правлений, главные бухгалтеры, консультанты, начальники служб безопасности и охраны, руководители компьютерных центров и цехов, помощники и секретари первых лиц) сегодня подвергаются, как правило, следующей стандартной проверке, включающей:

достаточно продолжительные процедуры сбора и верификации установочно-биографических сведений с их последующей аналитической обработкой;

предоставление рекомендательных писем от известных предпринимательских структур с их последующей проверкой;

проверки по учетам правоохранительных органов; установки по месту жительства и по предыдущим местам работы;

серии собеседований и тестов с последующей психоаналитической обработкой результатов.

По мнению экспертов, даже каждый, взятый в отдельности из упомянутых методов проверки достаточно эффективен. В совокупности же достигается весьма высокая степень достоверности информации о профессиональной пригодности и надежности кандидата, его способностях к творческой работе на конкретном участке.

Серьезное влияние на вопросы безопасности Урал ФД оказывают процедуры увольнения сотрудников. Современные психологические подходы к процессу увольнения, позволили выработать следующую принципиальную рекомендацию: каковы бы ни были причины увольнения сотрудника, он должен покидать Урал ФД без чувства обиды, раздражения и мести.

Только в этом случае можно надеяться на то, что увольняемый сотрудник не предпримет необдуманных шагов и не проинформирует правоохранительные органы, налоговую инспекцию, конкурентов, криминальные структуры об известных ему аспектах работы банка. Кроме того, известны случаи мести бывших сотрудников с использованием компьютерного проникновения.

Таким образом, представители кадровых подразделений и служб безопасности четко ориентированы на выяснение истинных мотивов увольнения всех категорий сотрудников. Зачастую причины, на которые ссылается сотрудник при увольнении, и подлинные мотивы, побудившие его к такому шагу, существенно отличаются друг от друга. Обычно ложный защитный мотив используется потому, что сотрудник в силу прежних привычек и традиций опасается неправильной интерпретации своих действий со стороны руководителей и коллег по работе.

Наряду с этим весьма часто имеют место случаи, когда сотрудник внутренне сам уверен в том, что увольняется по откровенно называемой им причине, хотя его решение сформировано и принято под влиянием совершенно иных, порой скрытых от него обстоятельств. Так, в практике уже известны случаи весьма тонких и тайных комбинаций оказания влияния на высококвалифицированных специалистов с целью их переманивания на другое место работы.

В этой связи принципиальная задача Банка состоит в том, чтобы определить истинную причину увольнения сотрудника, попытаться правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки к искусственному удержанию данного лица в коллективе либо отработать и реализовать процедуру его спокойного и бесконфликтного увольнения. Решение принимается на основе строго объективных данных в отношении каждого конкретного сотрудника.

При поступлении устного или письменного заявления об увольнении во всех без исключениях случаях проводится с сотрудником беседа с участием представителя кадрового подразделения и кого-либо из руководителей банковской структуры. Однако до беседы предпринимаются меры по сбору следующей информации об увольняющемся сотруднике:

· характер его взаимоотношений с коллегами в коллективе; отношение к работе; уровень профессиональной подготовки; наличие конфликтов личного или служебного характера;

· ранее имевшие место высказывания или пожелания перейти на другое место работы;

· доступ к информации, в том числе составляющей коммерческую тайну;

· вероятный период устаревания сведений, составляющих коммерческую тайну для данного предприятия; предполагаемое в будущем место работы увольняющегося (увольняемого) сотрудника.

Беседа при увольнении проводится лишь только после того, когда собраны все необходимые сведения. Конечно, предварительно руководитель коммерческой структуры отрабатывает принципиальный подход к вопросу о том, целесообразно ли предпринимать попытки склонить сотрудника изменить его первоначальное решение либо санкционировать оформление его увольнения. В любом случае рекомендуется дать собеседнику высказаться и в развернутой форме объяснить мотивы своего решения. При выборе места проведения беседы предпочтение отдается, как правило, служебным помещениям.

В зависимости от предполагаемого результата беседа может проводиться в официальном тоне либо иметь форму доверительной беседы, задушевного разговора, обмена мнениями. Однако каковы бы ни были планы в отношении данного сотрудника, разговор с ним должен быть построен таким образом, чтобы последний ни в коей мере не испытывал чувства униженности, обиды, оскорбленного достоинства. Для этого следует сохранять тон беседы предельно корректным, тактичным и доброжелательным, даже несмотря на любые критические и несправедливые замечания, которые могут быть высказаны сотрудником в адрес банковской структуры и ее конкретных менеджеров.

Если менеджером банка, отделом кадров и службой безопасности все же принято решение не препятствовать увольнению сотрудника, а по своему служебному положению он располагал доступом к конфиденциальной информации, то в этом случае отрабатывается несколько вариантов сохранения в тайне коммерческих сведений (оформление официальной подписи о неразглашении данных, составляющих коммерческую тайну, либо устная "джентльменская" договоренность о сохранении увольняемым сотрудником лояльности к "своему банку или фирме").

Персонал оказывает существенное, а в большинстве случаев даже решающее влияние на информационную безопасность банка. В этой связи подбор кадров, их изучение, расстановка и квалифицированная работа при увольнениях в значительной степени повышают устойчивость Урал ФД к возможному стороннему негативному влиянию и агентурному проникновению противоправных элементов.

Регулярное изучение всех категорий персонала, понимание объективных потребностей сотрудников, их ведущих интересов, подлинных мотивов поведения и выбор соответствующих методов объединения отдельных индивидуумов в работоспособный коллектив - все это позволяет руководителям в итоге решать сложные производственные и коммерческо-финансовые задачи, в том числе связанные с обеспечением экономической безопасности.

Программа работы с персоналом в Урал ФД сформулирована следующим образом:

· добывание в рамках действующего российского законодательства максимального объема сведений о кандидатах на работу, тщательная проверка представленных документов как через официальные, так и оперативные возможности, в том числе службы безопасности банка или частного детективного агентства, системность в анализе информации, собранной на соответствующие кандидатуры;

· проведение комплекса проверочных мероприятий в отношении кандидатов на работу, их родственников, бывших сослуживцев, ближайшего окружения в тех случаях, когда рассматривается вопрос об их приеме на руководящие должности или допуске к информации, составляющей коммерческую тайну;

· использование современных методов, в частности собеседований и тестирований, для создания психологического портрета кандидатов на работу, который бы позволял уверенно судить об основных чертах характера и прогнозировать их вероятные действия в различных экстремальных ситуациях;

· оценка с использованием современных психологических методов разноплановых и разнопорядковых факторов, возможно препятствующих приему кандидатов на работу или их использованию на конкретных должностях;

· определение для кандидатов на работу в структурах банка некоторого испытательного срока с целью дальнейшей проверки и выявления деловых и личных качеств, иных факторов, которые бы могли препятствовать зачислению на должность;

· введение в практику регулярных и неожиданных комплексных проверок персонала, в том числе через возможности служб безопасности;

· обучение сотрудников кадровых подразделений и служб безопасности современным психологическим подходам к работе с персоналом, социальным, психоаналитическим, этико-моральным методам, навыкам использования современных технических средств для фиксирования результатов интервью и собеседований, приемам проведения целевых бесед "втемную" и процедурам информационно-аналитической работы с документами кандидатов;

· выделение из числа первых руководителей коммерческих структур куратора кадровой работы для осуществления контроля за деятельностью кадровых подразделений и служб безопасности при работе с персоналом.

3.2.3 Реализация инженерно-технического элемента защиты информации в Урал ФД

К инженерно-техническим мерам относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.

Организационные меры инженерно-технической защиты информации Урал ФД включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

Регламентация предусматривает:

· установление границ контролируемых и охраняемых зон;

· определение уровней защиты информации в зонах;

· регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее и т.д.);

· определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов.

Управление доступом к информации в Урал ФД включает следующие мероприятия:

· идентификацию лиц и обращений;

· проверку полномочий лип и обращений;

· регистрацию обращений к защищаемой информации;

· реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений

к каналам телекоммуникаций проводится с целью их надежного опознавания.

Урал ФД использует следующие способы идентификации:

· носимые (карточки, ключи)

· знания (пароль, коды, способ использования)

· в некоторых помещениях биометрические идентификаторы (цифровое изображение лица (3D и 2D), отпечаток пальца и изображение радужной оболочки глаза).

С помощью биометрических систем безопасности Банк ограничивает или разрешает доступ:

· для сотрудников - в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов;

· для клиента - к своей ячейке;

· для особо важных клиентов - в ряд специальных помещений.

При этом биометрия решает следующие задачи:

· существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом;

· создает психологический барьер для потенциального злоумышленника;

· документально подтверждает факт прохода в охраняемые помещения каждой личности.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Важнейшее и необходимое направление работ по защите информации - контроль эффективности защиты. Этот вид деятельности проводится прежде всего силами службы безопасности Урал ФД, а также руководителями структурных подразделений. Контроль инженерно-технической зашиты является составной частью контроля защиты информации в организации и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средствами и сравнении их с нормативными.

Применяют следующие виды контроля:

· предварительный;

· периодический;

· постоянный.

Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

· после установки нового технического средства защиты или изменении организационных мер;

· после проведения профилактических и ремонтных работ средств защиты;

· предотвращение использование поддельных документов и документов лицами, которым они не принадлежат.

· после устранения выявленных нарушений в системе защиты.

Периодический контроль в Урал ФД осуществляется с целью обеспечения систематического наблюдения за уровнем зашиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или всей организации) по планам, утвержденным руководителем организации, а также вышестоящими органами.

Периодический (ежедневный, еженедельный, ежемесячный) контроль проводиться также сотрудниками организации в части источников информации, с которыми они работают.

Общий (в рамках всей организации) периодический контроль проводится 2 раза в год. Целью его является тщательная проверка работоспособности всех элементов и системы защиты информации в целом.

Постоянный контроль осуществляется выборочно силами службы безопасности Урал ФД и привлекаемых сотрудников организации с целью объективной оценки уровня зашиты информации и. прежде всего, выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников Урал ФД, вынуждая их более тщательно выполнять требования по обеспечению защиты информации.

Меры контроля, также как и защиты, представляют совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по защите информации.

Технические меры контроля проводятся с использованием технических средств радио- и электроизмерений, физического анализа и обеспечивают проверку:

· напряженности полей с информацией на границах контролируемой зоны;

· уровней опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы контролируемой зоны;

· степени зашумления генераторами помех структурных звуков в ограждениях;

В системе безопасности Урал ФД применяются специальные средства видеоконтроля. Сетевой программно-аппаратный комплекс видеоконтроля и автоматизированного управления интегрированными системами безопасности "Инспектор+ " сочетает в себе высокое качество компьютерных цифровых технологий с возможностью объединения автономных компонентов системы безопасности банка в профессиональную интегрированную систему безопасности.

Одним из основных требований к подсистеме видеоконтроля банка является работа с повышенными разрешениями (768х288 и 768х576) и скоростями записи/видеоотображения от 3-6 FPS до 25 FPS. Инспектор+ позволяет распределить приоритеты между видеоканалами таким образом, что в момент тревоги тревожной камере выделяется максимальный ресурс по скорости записи, который даже в режиме мультиплексирования составляет до 10-12,5 FPS (без мультиплексирования - 25 FPS). Помимо качественного видеоконтроля "Инспектор+" осуществляет синхронно с видеоконтролем аудиоконтроль. Наличие в системе синхронного звука на порядок повышает информативность отображаемого и записываемого видеоряда.

Систем безопасности филиальной сети банка объединена в единый комплекс не только по оптоволоконным сетям, но даже по низкоскоростным сетям связи, таким как X25, коммутируемым телефонным линиям. При этом система безопасности каждого филиала функционирует как автономная система.

Объединение филиальной сети банка в единое пространство безопасности в технологии "Инспектор+" происходит через видеошлюз, который призван сопрягать высокоскоростные характеристики локальных сетей с медленной работой межсетевых соединений.

Помимо видеошлюза в арсенале технологии "Инспектор+" содержатся и другие полезные модули.

Модуль резервного копирования, или иначе - модуль видеоархивации - это объект, управляющий процессами архивации видеоданных. Модуль видеоархивации позволяет создавать централизованный архив видеоданных. Как правило, данная функция используется при решении задач долговременного хранения большого объема информации или информации, имеющей стратегическое значение.

Модуль телеметрического управления используется для дистанционного управления камерами, установленными на двухкоординатных поворотных устройствах и снабженными вариообъективами с сервоприводом. Использоваться различные приемники телеметрического управления. Управление всеми камерами может осуществляться как с любой клавиатуры так и посредством управляющих окон на экране компьютера.

Для защиты банкоматов Урал ФД от возможных угроз в технологии "Инспектор+" существует подсистема "БанкоматИнспектор". "БанкоматИнспектор" позволяет создать интегрированную систему защиты требуемой конфигурации как для одного банкомата, так и для территориально-распределенной сети банкоматов, что является наиболее сложной задачей, которую невозможно решить обычными средствами обеспечения безопасности.

В системе БанкоматИнспектор полностью интегрированы устройства видеонаблюдения, сенсоры и оборудование передачи сигналов с возможностью гибкой настройки логики системных реакций на входные события.

Система позволяет передавать видеоряд о тревожных событиях на пост охраны сети банкоматов в трех различных режимах:

· удаленный видеоконтроль в режиме on-line;

· немедленной реакции (сразу после происшествия или сразу после окончания обслуживания клиента);

· по расписанию (как правило, передача видеоархива за прошедший день в ночное время).

Системы охраны по периметру, берут под охрану не только помещение, но и прилегающую территорию.

Подключение пультов-концентраторов к компьютеру, позволяет наблюдать за контролируемым объектом в целом на схематическом изображении. Дополнительно появляется возможность управлять всей сигнализацией с клавиатуры, а также управлять интегрированной системой контроля доступа и видеонаблюдения.

Система охранно-пожарной сигнализации - составляющая интегрированного охранного комплекса, обеспечивающая пожарную безопасность на объекте, позволяющая выявлять, ликвидировать и локализировать источники возгорания.

3.2.4 Реализация программного элемента защиты информации в Урал ФД

Для реализации программного элемента защиты информации в Урал ФД используется комплексная система защиты информации "Панцирь-К".

Комплексная система защиты информации (КСЗИ)"Панцирь-К" для ОС Windows 2000/XP/2003 - программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты, как автономных компьютеров, так и компьютеров в составе сети предприятия.

КСЗИ реализована программно. Одна и та же клиентская часть установлена на различные ОС семейства Windows (2000/XP/2003).

Реализованные подходы к построению обеспечивают высокую надежность функционирования КСЗИ и независимость от установленных обновлений (path-ей) ОС и приложений - основные компоненты КСЗИ - системные драйверы протестированы с использованием соответствующих средств отладки производителя ОС.

Все механизмы защиты реализованы собственными средствами, не использован ни один встроенный в ОС механизм защиты, многие из которых обладают серьезными архитектурными недостатками.

КСЗИ "Панцирь-К" собственными средствами реализует все требования, предъявляемые к защите конфиденциальной информации от несанкционированного доступа. КСЗИ сертифицирована ФСТЭК по 5 классу СВТ (сертификат №1144, ограничения по использованию в сертификате отсутствуют) и выполняет все требования к классу защищенности для АС.

К комплексной системе защиты КСЗИ может быть отнесена, ввиду того, что она служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОСWindows, т.е. позволяет решать задачи защиты информации в общем виде (что невозможно при использовании всевозможных средств контроля); КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам, эксплойтам, вредоносным и шпионским и любым иным деструктивным программам, атакам на ошибки программирования в системном и прикладном ПО; содержит в своем составе, как механизмы защиты от несанкционированного доступа, так и механизмы криптографической защиты данных.

В части криптографической защиты конфиденциальности информации в КСЗИ реализована возможность шифрования данных (на жестком диске и на отчуждаемых накопителях, локальных и разделенных в сети), при этом обеспечивается шифрование "на лету" (прозрачно для пользователя) любого заданного администратором файлового объекта (диска, папки, файла). Реализованная ключевая политика позволяет защитить данные от раскрытия даже при хищении компьютера и при наличии ключа шифрования, позволяет осуществлять коллективный доступ к локальным и разделенным в сети зашифрованным объектам.

Для шифрования данных в КСЗИ интегрированы возможности использования сертифицированных криптопровайдеров "Signal-COM CSP" и "КриптоПро CSP 3.0 (3.6 для ОС Vista)" (соответствующих требованиям ФСБ РФ к шифрованию конфиденциальной информации по классам "КС1" и "КС2").

КСЗИ "Панцирь-К" предоставляет следующие возможности:

· Использование аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам (смарт-карта, Aladdin eToken, ruToken, iButton);

· Разграничения и аудит работы пользователей с локальными и сетевыми ресурсами (файловые ресурсы - FAT/NTFS/DFS/любые монтируемые ФС), ресурсы реестра ОС, сменные носители, принтеры, сервисы олицетворения, буфер обмена и т.д.);

· Разграничения и аудит работы программ (приложений) с локальными и сетевыми ресурсами;

· Разграничения и аудит работы пользователей с устройствами с использованием их серийных номеров (Flash-диски, CD/DVD, USB, WiFi, Bluetooth, IrDA, IEEE1394/ FireWire, PCMCIA, COM/LPT и т.д.) (Приложение Д);

· Разграничения и аудит работы пользователей и приложений с локальными и глобальными сетями (ЛВС, Internet/Intranet) - персональный Firewall;

· Шифрование данных "на лету" (3DES, AES, DES, ГОСТ 28147-89), включая сетевые ресурсы, скрытие, разграничение доступа, а также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным;

· Контроль рабочего времени пользователя, в том числе, средствами компьютерного видео наблюдения;

Механизмы формирования объекта защиты.

К механизмам формирования объекта защиты в КСЗИ относятся:

· Механизм обеспечения замкнутости программной среды. В КСЗИ могут задаваться папки (это каталоги Windows (для разрешения запуска системных процессов), Program Files и др.), из которых разрешен запуск программ (в них администратор должен штатными средствами ОС инсталлировать приложения), и которые запрещено модифицировать - какая-либо несанкционированная модификация этих папок предотвращается, даже при наличии у злоумышленника системных прав. В итоге, принципиально предотвращается возможность запуска любой деструктивной программы (вируса, трояна, шпионской программы, эксплойта и др.), причем при попытке их запуска, как удаленно, так и локально - инсайдером. Весь компьютер может быть "заражен" подобными программами, но запустить их при этом невозможно.

· Механизм управления подключением (монтированием) к системе устройств. Этот механизм призван обеспечить жестко заданный набор устройств, подключение которых разрешается к системе. Только при реализации подобного механизма можно однозначно описать объект защиты (автономный он или сетевой, с возможностью или без использования отчуждаемых накопителей и каких, и т.д., и т.п.). Важен он и в том смысле, что к устройствам, которые разрешено монтировать к системе, должны разграничиваться права доступа - и без реализации данного механизма потребуется разграничивать доступ ко всем устройствам (что, попросту, глупо). КСЗИ позволяет разрешить монтирование к системе только необходимых для работы пользователя устройств (в отличие от ОС Windows XP, в КСЗИ реализована разрешительная политика управления подключением устройств - это единственно возможное корректное решение задачи защиты), причем с учетом серийных номеров их производителей (например, два Flash - устройства могут быть различимы между собою - монтировать можно разрешить не просто устройства, а конкретные устройства, идентифицируемые их серийными номерами.

Решение механизмами защиты КСЗИ:

· Для каждого пользователя создается число учетных записей по числу ролей;

· Для каждой учетной записи определяются файловые объекты (папки), в которых будет храниться информация, обрабатываемая в рамках реализации роли (Приложение Д);

· Механизмами разграничения доступа к ресурсам, монтирование которых разрешено к системе (файловые объекты, локальные и разделенные в сети, на жестком диске и на внешних накопителях; сетевые ресурсы, принтеры и т.д.), разграничиваются права доступа между учетными записями, применительно к реализации ролевой модели;

· Изолируется возможность обмена информацией между учетными записями различных ролей (в КСЗИ реализуется механизмом разделения между учетными записями файловых объектов, не разделяемых системой и приложениями, механизмом разделения буфера обмена - в ОС Windows буфер обмена принадлежит не учетной записи, а "рабочему столу" - не разделяется системой при многопользовательском режиме, например, при запуске программы по правой кнопке "мыши" под другой учетной записью).

Заключение

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация в банковских системах представляет собой "живые деньги", которые можно получить, передать, истратить, вложить и т.д.

2. Она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка - критически важное условие его существования.

В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

усиления конкуренции между банками;

необходимости сокращения времени на производство расчетов;

необходимости улучшать сервис.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности - наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты банковских систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.

Список литературы

1. Стрельцов, А.А. Обеспечение информационной безопасности России. Теоретические и методические основы / Под ред. В.А. Садовничего и В.П. Шерстюка. - М.: МЦНМО, 2002.

2. Е.Б. Белов, В.П. Лось Основы информационной безопасности. / Москва, Горячая линия - Телеком, 2006

3. Федеральный закон РФ "О персональных данных"

4. Вихорев С.В. Информационная Безопасность Предприятий. Москва, 2006.

5.В.А. Семененко Информационная безопасность. Москва, 2004

6. Аверченков, В.И. Аудит информационной безопасности: учеб. пособие для вузов / В.И. Аверченков. - Брянск: БГТУ, 2005.

7. Гайкович Ю. В, Першин А.С. Безопасность электронных банковских систем. - М: Единая Европа, 1994 г.

8. Демин В.С. и др. Автоматизированные банковские системы. - М: Менатеп-Информ, 1997 г.

9. Крысин В.А. Безопасность предпринимательской деятельности. - М: Финансы и статистика, 1996 г.

10. Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. - М: НИТ, 1998 г.

11. Титоренко Г.А. и др. Компьютеризация банковской деятельности. - М: Финстатинформ, 1997 г.

12. Гайкович В, Першин А. Безопасность электронных банковских систем. - М., 1999.

13. Груздев С. "16 вариантов русской защиты" /КомпьютерПресс №392

14. Груздев С. Электронные ключи. - М. 1993.

15. Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 1995

16. Мафтик С. Механизмы защиты в сетях ЭВМ. /пер. с англ. М.: МИР, 1993.

17. Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. - М., 1998.

18. Спесивцев А.В. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, 1993.

20. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И. Алексенцев // Вопросы защиты информации. - 1996. - № 2. - С.2 - 3.

21. Теория информационной безопасности и методология защиты информации: Конспект лекций.

22. Васильевский, А. Защита коммерческой тайны: организационные и юридические аспекты / А. Васильевский [Электронный ресурс] // Valex Consult - (http://www.valex.net/).

23. Мельников, Ю.Н., Иванов Д.Ю. Многоуровневая безопасность в корпоративных сетях. Международный форум информатизации - 2000: Доклады международной конференции "Информационные средства и технологии".17-19 октября 2000 г. В 3-х тт. Т.2. - М.: Издательство "Станкин", 2000г., - 245 с.

24. Торокин, А.А. Основы инженерно-технической защиты информации. - М.: Издательство "Ось-89". 1998

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.