Файл: ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.pdf

ВВЕДЕНИЕ

На сегодняшний момент трудно представить себе жизнь без компьютера, телефона или любого подобного гаджета. В январе этого года количество пользователей интернета в мире достигло 4,021 миллиарда человек, и каждый из них привносит во всемирную паутину огромное количество информации. Однако не каждый бит информации должен становиться достоянием общественности.

Актуальность данной работы связана с постоянным ростом роли информации не только в жизни одного человека, но и в работе предприятий, их безопасности и успешного функционирования.

Цель данной работы - рассмотреть особенности информационной безопасности на предприятии, проанализировать организацию защиты информации в ПАО «Сбербанк» и сформулировать предложения по совершенствованию способов информационной защиты.

Для достижения поставленной цели решались следующие задачи:

• изучить теоретические аспекты информационной безопасности на предприятии, раскрыв её понятие, цели, задачи и принципы
• рассмотреть сущность и содержание информационной безопасности предприятии;
• провести анализ особенностей обеспечения информационной безопасности ПАО «Сбербанк»;
• предложить ряд мероприятий по оптимизации защиты информации в ПАО «Сбербанк» и оценить затраты, необходимые на их реализацию .

Объект исследования - ПАО «Сбербанк».

Предмет исследования - организация защиты информации ПАО «Сбербанк».

«Сбербанк» — российский финансовый конгломерат, крупнейший транснациональный и универсальный банк России, Центральной и Восточной Европы. Контролируется Центральным банком Российской Федерации, которому принадлежат более 52 % акций. Предоставляет широкий спектр банковских услуг. Является крупнейшим в России банком по объёмам операций с физическими лицами.

Теоретической и методологической основой работы послужили научные труды, а также учебные пособия, в основном, российских специалистов, писавших на разные темы, тесно связанные с вопросами информационной безопасности, таких авторов как, Бабаш А.В., Баранова Е.К., Родичев Ю.А. и др.

Исследование в работе проводилось с применением общих методов научного познания: наблюдения, сравнения, анализа и синтеза, использовавшихся при получении и обработке информации из интернет-ресурсов и специализированной литературы. Также был задействован эмпирический метод при изучении электронного документа в ПАО «Сбербанк».

Помимо научной и учебной литературы в рамках работы использовались законодательные и нормативные документы Российской Федерации.

Структура работы. Работа состоит из введения, трех разделов, заключения, списка использованных источников.

Во введении обосновывается актуальность темы работы, определяются цель и задачи исследования, предмет и объект исследования, краткая характеристика работы, включая краткое содержание всех разделов.

В первом разделе много внимания уделено понятию информационной безопасности, её целям, задачам и принципам.

Раскрываются различные виды угроз информационной безопасности, а также существующие пути защиты.

Во втором разделе приводится описание деятельности компании ПАО «Сбербанк» и организационной структуры организации. Также проанализована система защиты информации предприятия.

В третьем разделе приведены рекомендации по выбору системы информационной защиты, наиболее подходящей для компании ПАО «Сбербанк». В конце раздела даны рекомендации по совершенствованию защиты информации предприятия и оценены затраты и экономическая эффективность их внедрения.

В заключении изложены выводы и основные результаты исследования.

ГЛАВА 1 ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1 Цели, задачи и принципы информационной безопасности

Согласно ст. 16 ФЗ от 27.07.2006 N 149-ФЗ (ред. от 23.04.2018) "Об информации, информационных технологиях и о защите информации", защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного

доступа, уничтожения, модифицирования, блокирования,

копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

• соблюдение конфиденциальности информации

ограниченного доступа;

• реализацию права на доступ к информации [1].

Анализ Ст. 16 указанного Закона показывает, что:

• деятельность по защите информации применима ко всем категориям информации, описанной в Ст. 5 Закона. Для различных категорий информации содержание защиты (выбираемые способы защиты информации) будет различаться;
• выбираемые способы защиты информации применимы ко всем описанным ранее объектам информационного права;
• государственное регулирование отношений в сфере защиты информации осуществляется в двух формах: установление требований о защите информации и установление ответственности за ответственности за нарушение информационного законодательства;
• основным субъектом информационного права, на которого возложена обязанность защиты информации, является обладатель информации;
• для защиты государственных информационных ресурсов и технологий федеральные органы исполнительной власти устанавливают обязательные для исполнения требования на обеспечение информационной безопасности этих ресурсов и технологий;
• федеральное законодательство может ограничивать использование в РФ определенных средств защиты информации и осуществление отдельных видов деятельности по защите информации для всех субъектов информационного права. Ограничения могут выражаться в форме прямых запретов или государственного контроля (например, лицензирование деятельности) [2, стр, 21].

Помимо этого, информационная безопасность также имеет свои цели, задачи и принципы.

Под целями защиты информации понимают:

• предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;
• сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

Для достижения целей защиты должны эффективно решаться следующие задачи:

• защита от вмешательства в процесс функционирования предприятия посторонних лиц;
• защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;
• обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;
• обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;
• регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;
• своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;
• анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;
• обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;
• создание и формирование целенаправленной политики безопасности информации предприятия [3].

Также информационная безопасность должна строго

подчиняться некоторым важным принципам:

• Простота использования информационной системы.

Данный принцип информационной безопасности заключается в том, что минимизации ошибок следует из обеспечения простого использования информационной системы. Во время эксплуатации информационных систем пользователи и администраторы совершают непреднамеренные ошибки, некоторые из которых могут вести к невыполнению требований политик безопасности и снижению уровня информационной безопасности. Чем более сложны, запутанны и непонятны для пользователей и администраторов совершаемые ими операции, тем больше ошибок они совершают. При этом следует помнить, что данный принцип не означает простоту архитектуры и снижение функциональности информационных систем.

• Контроль над всеми операциями.

Этот принцип подразумевает непрерывный контроль состояния информационной безопасности и всех событий, влияющих на безопасность информации. Необходим контроль доступа к любому объекту ИС с возможностью блокировки потенциально вредоносных действий и быстрого восстановления нормальных параметров информационной системы.

• Запрещено всё, что не разрешено.

Этот принцип ИБ заключается в том, что доступ к какому- либо объекту информационной системы должен предоставляться только при наличии соответствующего правила, отраженного, например, в регламенте бизнес-процесса или настройках защитного программного обеспечения. При этом основной функцией системы ИБ является разрешение, а не запрещение каких-либо действий. Данный принцип позволяет допускать только известные безопасные действия, а не заниматься распознаванием любой угрозы, что очень ресурсоёмко, невозможно в полной мере и не обеспечивает достаточный уровень ИБ.

• Открытая архитектура информационных систем.

Этот принцип информационной безопасности состоит в том, что безопасность не должна обеспечиваться через неясность. Попытки защитить информационную систему от компьютерных угроз путем усложнения, запутывания и скрытия слабых мест информационных систем оказываются в конечном итоге несостоятельными и только отсрочивают успешную хакерскую, вирусную или инсайдерскую атаку.

• Разграничение доступа.

Данный принцип ИБ заключается в том, что каждому пользователю предоставляется доступ к информации и её носителям в соответствии с его полномочиями. При этом исключена возможность превышения полномочий. Каждой роли/должности/группе пользователей можно назначить свои права на выполнение действий (чтение/изменение/удаление) над определёнными объектами ИС.

• Минимальные привилегии.

Данный принцип состоит в выделении пользователю наименьших прав и доступа к минимуму необходимых функциональных возможностей программ. Такие ограничения, тем не менее, не должны мешать выполнению работы.

• Достаточная стойкость.

Этот принцип информационной безопасности выражается в том, что потенциальные злоумышленники должны встречать препятствия в виде достаточно сложных вычислительных задач. Например, необходимо, чтобы взлом паролей доступа требовал от хакеров неадекватно больших промежутков времени и/или вычислительных мощностей.

• Минимум идентичных процедур.

Этот принцип информационной безопасности состоит в том, что в системе ИБ не должно быть общих для нескольких пользователей процедур, таких как ввод одного и того же пароля. В этом случае масштаб возможной хакерской атаки будет меньше.

Среди основных условий организационной защиты информации можно выделить следующие:

• непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению её эффективности;
• неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации [4, стр. 13].

При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной информации на предприятии.

Существует множество передовых методов обеспечения безопасности ИТ, которые относятся к определенным отраслям или предприятиям, но некоторые из них применяются в широком смысле.

а) Защита баланса с помощью утилиты

Компьютеры в офисе могут быть полностью защищены, если все модемы были вырваны, а всех выгнали из комнаты, - но тогда они никому не будут полезны. Вот почему одна из самых больших проблем в области безопасности ИТ - это найти баланс между доступностью ресурсов и конфиденциальностью и целостностью ресурсов.

Вместо того, чтобы пытаться защитить от всех видов угроз, большинство ИТ-отделов сосредоточиваются на изоляции самых важных систем в первую очередь, а затем на поиске приемлемых способов защиты остальных, не делая их бесполезными. Некоторые из систем с более низким приоритетом могут быть кандидатами на автоматизированный анализ, так что наиболее важные системы остаются в центре внимания.

б) Разделить пользователей и ресурсы

Чтобы система информационной безопасности работала, она должна знать, кому разрешено видеть и делать определенные вещи. Например, кому-то в бухгалтерском учете не нужно видеть все имена в клиентской базе данных, но ему может потребоваться увидеть цифры, выходящие из продаж. Это означает, что системному администратору необходимо назначить доступ по типу работы человека и, возможно, потребуется дополнительно уточнить эти ограничения в соответствии с организационными разделениями. Это позволит гарантировать, что главный финансовый директор в идеале сможет получить доступ к большему количеству данных и ресурсов, чем младший бухгалтер.

Тем не менее, ранг не означает полный доступ. Генеральному директору компании может потребоваться больше данных, чем другие люди, но он автоматически не нуждается в полном доступе к системе. Это подводит нас к следующему пункту.