Добавлен: 17.06.2023
Просмотров: 140
Скачиваний: 4
СОДЕРЖАНИЕ
1.2 Принципы информационной безопасности банка
1.3 Угрозы информационной безопасности банка
1.4 Правовая защита банковской информации
1.5 Защита персональных данных в банках
1.6 Блокировка мошеннических сайтов
Глава 2 Реализация средств защиты информации в автоматизированных банковских системах
2.1 Физические средства защиты информации
2.2 Технические средства защиты информации
2.3 Защита информации от компьютерных вирусов
2.4 Наиболее известные в России разработчики систем информационной безопасности
Комплекс "Банк - Активная Защита", разработанный фирмой "Андек", используют для ликвидации последствий атак хакеров, если им все же удалось прорвать информационную защиту. Он позволяет проводить постоянный мониторинг всех критических информационных узлов с периодическим уведомлением об этом пользователей компьютерной сети.
В финансово-кредитных организациях широко используется программа NetInvestor 5.0 Client (создана московским МФД "ИнфоЦентр"), которая обладает широкими возможностями по анализу, графическому отображению и передаче необходимых данных в удобных для пользователей режимах, помогает предотвратить взлом сервера, несанкционированный доступ злоумышленников, перехват ими ценной конфиденциальной информации.
Это эффективное средство от несанкционированного доступа к важной коммерческой информации, хранящейся в электронном виде. NetInvestor обеспечивает контроль за всеми входящими и выходящими через Интернет документами, шифрование и надежную электронно-цифровую подпись всех сообщений. Есть несколько вариантов криптографической защиты ("Крипто Про", "Венба" и др.), что делает такую защиту более гибкой.
Пакеты данных снабжены сквозной нумерацией, что способствует защите их от перехвата. Предусмотрено создание протоколов всех действий, которые проводят пользователи с помощью этой информационной системы. Они самостоятельно формируют криптографический ключ, что повышает безопасность работы при использовании информационных технологий. Кроме того, реализованы смена паролей самим пользователем, хранение и передача паролей в шифрованном виде, проверка "качества" пароля при его смене.
Для эффективного использования подобных средств защиты необходимо, чтобы банки создали специальную службу информационной безопасности или хотя бы воспользовались услугами специалиста по компьютерной безопасности. Расходы на его содержание, как показывает зарубежный опыт, будут оправданы.
За рубежом специалисты по компьютерной безопасности есть почти в каждом банке, а новые технологии защиты информационных сетей активно берутся на вооружение. Среди них высокоскоростные беспроводные сети для личного и корпоративного пользования. Помимо этого внедряются так называемые электронные ловушки, которые завлекают хакеров в свои сети, нейтрализуя их разрушительное действие.
Перспективна разработка сертификатов, гарантирующих безопасность на основе криптографических алгоритмов, которые обеспечивают секретность коммерческой информации.
Заключение
Следует отметить, что прямого влияния на рост доходов банков информационная безопасность не имеет, точнее, имеет, но подсчитать в денежном выражении ее пользу весьма сложно. Поэтому, как правило, не следует ожидать мгновенного увеличения прибыли после установки, например, криптографии. Однако грамотно построенная система защиты информации, несомненно, в недалеком будущем отразится на престиже банка, а значит, и на росте его доходов.
В процессе написания курсовой работы были изучены различные средства защиты информации в банковских системах и на основе полученной информации можно сделать вывод, что наилучшие результаты по защите автоматизированных банковских систем достигаются при системном подходе к вопросам безопасности и комплексном использовании различных средств защиты на всех этапах жизненного цикла автоматизированной банковской системы.
Список литературы
- Букин, С. О. Безопасность банковской деятельности / С.О. Букин. - М.: Питер, 2016. - 288 c.
- Гамза, В. А. Безопасность банковской деятельности / В.А. Гамза, И.Б. Ткачук. - М.: Маркет ДС, 2014. - 408 c.
- Гафнер, В. В. Информационная безопасность / В.В. Гафнер. - М.: Феникс, 2017. - 336 c.
- Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников и др. - Москва: Гостехиздат, 2016. - 536 c.
- Мельников, В. П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - Москва: Наука, 2017. - 336 c.
- Партыка, Т.Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: ИНФРА-М, 2015. - 368 c.
- Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2012. - 304 c.
- Федоров, А. В. Информационная безопасность в мировом политическом процессе / А.В. Федоров. - М.: МГИМО-Университет, 2017. - 220 c.
- Чипига, А. Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2017. - 336 c.
- Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2016. - 416 c.
- Ярочкин, В.И. Безопасность банковских систем / В.И. Ярочкин. - М.: Ось-89, 2012. - 430 c.
Приказ ФСТЭК России от 18 февраля 2013 г. N 21
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 18 февраля 2013 г. N 21
ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Список изменяющих документов
(в ред. Приказа ФСТЭК России от 23.03.2017 N 49)
В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818), приказываю:
1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).
Директор
Федеральной службы по техническому
и экспортному контролю
В.СЕЛИН
УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 18 февраля 2013 г. N 21
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Список изменяющих документов
(в ред. Приказа ФСТЭК России от 23.03.2017 N 49)
I. Общие положения
1. Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - меры по обеспечению безопасности персональных данных) для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
2. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
3. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
7. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328).
II. Состав и содержание мер по обеспечению безопасности персональных данных
8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.
8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).