Файл: 1 Анализ предметной области 7 1 Краткая характеристика предприятия 7.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 07.11.2023

Просмотров: 270

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1 Анализ предметной области

1.1 Краткая характеристика предприятия

1.2 Особенности системы защиты информации в банковских системах

1.3 Анализ состояния информационной безопасности

2 Разработка комплекса мер по обеспечению защиты информации

2.2 Обоснование методов и средств обеспечения информационной безопасности

2.3 Определение мест размещения средств обеспечения информационной безопасности

2.4 Комплекс программно–аппаратных средств обеспечения информационной безопасности

3 Оценка эффективности предлагаемых мероприятий В настоящее время стало необходимым наличие в каждом банке «Политики информационной безопасности банка», главного документа при формировании системы его информационной безопасности. В данном документе выделяются серьезные угрозы безопасности информации в банке, представляется описание объектов защиты, устанавливаются ключевые задачи информационной безопасности, а также меры по обеспечению информационной безопасности банковской системы. Главными элементами системы информационной безопасности банка являются: авторизация и аутентификация; защита от несанкционированного доступа к системам, в том числе и внутренняя защита от незаконного доступа сотрудников банка; защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами; обеспечение юридической значимости электронных документов;  управление инцидентами информационной безопасности; управление непрерывностью ведения бизнеса; внутренний и внешний аудит системы информационной безопасности. При формировании системы информационной безопасности банка следует учесть и такие функциональные требования к системе: получение от должностных лиц в зависимости от их иерархической подчиненности той информации, которая необходима им для решения поставленных задач; возможность использования должностными лицами всего арсенала средств математического и программного обеспечения в интересах принятия решений; обеспечение диалогового взаимодействия участников при работе с системой; соответствие процессов функционирования и применения системы методам и логике деятельности должностных лиц; соответствие особенностей хранения информации свойствам ее источников и потребителей, обеспечение требуемой срочности, периодичности и очередности ее представления; возможность объективного контроля и проверки промежуточных данных и результатов на основе протоколирования. Долгосрочное адекватное функционирование системы информационной безопасности способно обеспечить только систематическое поддержание баланса между всеми составляющими системы и элементами ее окружения. Такое соответствие является основной задачей поддержания информационной безопасности в банковской деятельности. Одним из крупнейших банков Европы и России является российский публичный акционерный банк «Сбербанк России». Он контролируется Центральным банком Российской Федерации и оказывает широкий спектр банковских услуг. С целью обеспечения безопасности информации в ПАО «Сбербанк России» создана система защиты информации, представляющая собой совокупность направлений, требований, средств и мероприятий, сокращающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке. Для увеличения экономической безопасности ПАО «Сбербанк России» концентрируется на выборе персонала, периодически организовывает инструктажи по безопасности. В контрактах ПАО «Сбербанк России» отчетливо выделены персональные требования, функции к персоналу, а также ответственность за различные нарушения, так как в большинстве случаев именно он существенно влияет на информационную безопасность банка. Также, в деятельности Сбербанка широкое распространение получает введение в служебных документах грифа секретности и назначение увеличения суммы оклада для соответствующих категорий персонала. 3.1 Оценка эффективности существующей системы безопасности информации Настройка политик DLP–системы осуществляется вручную, по результатам обследования бизнес–процессов. По сути, политики представляют собой статичный срез информационной картины бизнеса, склонный к постепенному старению и утрате актуальности.По опыту внедрения и экспертным оценкам специалистов Сбербанка, совокупную точность (соотношение ложноположительных и ложноотрицательных срабатываний) классической DLP–системы редко удаётся удержать на уровне выше 70%. Дальнейшее повышение точности ведёт к значительному росту затрат на управление и актуализацию политик.Невысокие показатели точности не позволяют переводить DLP–систему в режим предотвращения утечек (в режим блокировки, «в разрыв») из–за рисков прерывания бизнес–процессов, а служба кибербезопасности сталкивается с целой лавиной ложных срабатываний политик DLP и необходимостью применять разветвлённый набор фильтров для того, чтобы сузить воронку срабатываний до приемлемого уровня. Таким образом, DLP–система, являясь ядром технологического стека процесса защиты от утечек, становится его слабым звеном именно с точки зрения конечного результата: к моменту разбора инцидента по факту утечки сама утечка уже состоялась, а информация покинула периметр.Радикально поднять точность DLP–систем можно, лишь выполнив два условия: принципиально повысить качество политик; обеспечить актуальность политик – резко сократить скорость реагирования на изменения, в том числе за счёт пересмотра процесса формирования политик. Решение этих задач традиционными способами, например, наращиванием вычислительных мощностей или персонала, выглядит неудачной идеей в силу существования принципиально неустранимых проблем ручного труда с его субъективными суждениями, неполнотой и трудностями получения информации. Для реализации подхода и обучения детектирующих моделей были выбраны типы данных, на которых чаще всего происходят сбои в детекции утечки системой DLP. Массив таких данных был размечен и обогащён набором, который точно относится к анализируемому типу (например, номера паспортов, счетов и т. д.), при этом символьная информация и неструктурированные данные также преобразовываются в цифровой структурированный вид при помощи ещё одних моделей, работающих перед основной. Ансамбль таких моделей помогает обнаруживать в потоке информации данные счетов, паспортов и банковских карт, при этом для данных, уже преобразованных в цифровой формат, и для ускорения фильтрации применяются регулярные выражения, алгоритмы определения контрольного разряда и Луна.Ансамбль моделей составляют нейронные сети (в большинстве своём класса NLP– Natural Language Processing) и «классические». Для NLP используются модели CNN и RNN (сверточные и рекуррентные нейронные сети). При обучении использовались различные параметры настройки слоёв нейронных сетей. Не все варианты оказались удачными, но те, что удовлетворяли заданным метрикам по точности, нашли применения в промышленном решении. Модели дополняют друг друга, усиливая точность взаимного результата отнесения анализируемых данных к тому или иному типу и категории защищаемой информации.Подробнее приведено на врезке 1; на врезке 2 представлены подробные данные по основным типам распознаваемых типов данных. Как мы видим, основной упор делается на поиск персональных данных, так как их охрана – одно из важнейших требований различных регуляторов (законы РФ, ЦБ РФ, GDPR).Как результат: обучены четыре модели на рекуррентных и сверточных нейросетях на базе NER (Name Entity Recognition). По результатам сравнения качества моделей на валидационной выгрузке отобраны три лучшие из них. Ансамбль из трёх моделей с анализом контрольных разрядов и проверками на регулярных выражениях показывает среднюю точность 95%, из них

Заключение

Список использованных источников



При реализации мер защиты необходимо помнить о важной категории киберугроз – человеческом факторе. Ошибочные действия пользователей часто приводят к реализации вирусных атак.

Для минимизации киберрисков и возможного ущерба необходимо применять следующие организационные меры:

Обучение сотрудников правилам кибергигиены и противодействия вирусным атакам является неотъемлемой частью обеспечения информационной безопасности. Особое внимание стоит уделить темам безопасной работы с корпоративной электронной почтой, правилам реагирования на обнаружение вредоносного ПО, способам выявления фишинга, описанию методов социальной инженерии, правилам обращения с собственными и «случайно» найденными внешними носителями. Сотрудникам необходимо предоставить способ оперативно связаться с подразделениями кибербезопасности в случае появления любых подозрений на нелегитимную деятельность внутри организации.

Персонал организации должен быть ознакомлен с требованиями кибербезопасности и политикой информационной безопасности, включающей требования к антивирусной защите.

В организации должны быть разработаны меры обеспечения защиты от вредоносного ПО:

  • политика информационной безопасности организации (включая требования к антивирусной защите);

  • инструкции и регламенты работы пользователей;

  • политика антивирусной безопасности;

  • описание процедур, обеспечивающих процесс эксплуатации систем антивирусной безопасности.


2.1 Организационные меры обеспечения политики информационной безопасности

Организация мер политики безопасности ПАО « Сбербанк» начинается с правовой формы защиты информации – это защита информации склонно на применении Гражданского и Уголовного кодексов, Федеральных законов и других нормативно–правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации.

Настоящая Концепция базируется на следующих нормативно–правовых актах:

  • «Гражданский кодекс Российской Федерации» от 30.11.94 г., №151–ФЗ ч.1, ст. 139;

  • «Уголовный Кодекс Российской Федерации» от 13.06.96г., №63–ФЗ ст. 183, 272, 273, 274;

  • «Гражданский кодекс Российской Федерации» от 21.01.96 г., №14–ФЗ ч.2, ст. 857;

  • «Трудовой кодекс Российской Федерации» от 30.12.01, №197–ФЗ ст. 85,86,87,88,89,90;

  • Федеральный Закон Российской Федерации «О банках и банковской деятельности» от 02.12.90г. №395–1, ст.26;

  • «Кодекс Российской Федерации об административных правонарушениях» от 30.12.01, №195–ФЗ ст. 13.12, 13.13, 13.14;

  • Федеральный Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149–ФЗ;

  • Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2001 №128–ФЗ (в ред. от 21.03.2002 № 31–ФЗ);

  • Указ Президента РФ от 06.03.97г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

  • Постановление Правительства РФ от 15.08.06. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

  • Приказ ФАПСИ от 13.06.01г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Гражданский кодекс РФ и Закон «Об информации, информационных технологиях и о защите информации» позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории информации:

  • информация, составляющая государственную тайну;

  • информация, составляющая коммерческую тайну;

  • персональные данные.

Предметом рассмотрения данной Концепции является информация второй и третьей категорий. Банк в процессе своей деятельности выступает не только собственником, но и пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками. Банк вправе распоряжаться такой информацией, следовательно и выбирать степень её защиты.

Решение задач правового обеспечения информационной безопасности Банка достигается формированием системы внутренних инструкций, положений, планов, правил.

Работа по обеспечению информационной безопасности в Банке включает следующие этапы:

  • определение информации, содержащей коммерческую тайну, и сроков ее действия;

  • категорирование помещений по степени важности обрабатываемой в них информации;

  • определение категории информации, обрабатываемой каждой отдельной системой;

  • выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;

  • описание системы, определение факторов риска, определение уязвимых мест систем;

  • выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.

Отнесение информации к коммерческой тайне – это установление ограничений на распространение информации, требующей защиты. Среди сведений относимых к категории коммерческой тайны применительно к банку, можно выделить следующие: деловую информацию о деятельности банка, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.

Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно – важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.


Чтобы отнесение информации к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального «Перечня сведений, составляющих коммерческую тайну МОРСКОГО АКЦИОНЕРНОГО БАНКА» (Открытое Акционерное общество) (далее Перечень), который разрабатывается (уточняется не реже одного раза в год) постоянно действующей Комиссией Банка по защите коммерческой тайны, назначаемой приказом Председателя Правления Банка.

Перечень разрабатывается путем экспертных оценок на основании предложений подразделений Банка и с учетом действующего законодательства. В Перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Перечень утверждается Председателем Правления Банка.

Степень конфиденциальности информации, составляющей коммерческую тайну, должна соответствовать степени тяжести ущерба от происшествие, который может быть нанесен безопасности Банка вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой тайне, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер.

Такой информации отдельно присваивается гриф «Конфиденциально». Присвоение грифа «Конфиденциально» или его отмена принадлежит Председателю Правления Банка.

Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.

Для каждой информационно–вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну Банка». В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.

Основная задача этапа описания систем – описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:

  • цели и задачи системы;

  • пользователи и обслуживающий персонал;

  • способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;

  • физическую топологию сети в зданиях Банка;

  • логическую топологию сети Банка, ее основные характеристики;

  • перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;

  • перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики.

Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.

Факторы риска — это возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального (морального) характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность Банка. Основными факторами риска являются:

  • стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;

  • несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;

  • неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;

  • несанкционированные проникновения в информационно–вычислительную систему, в том числе по внешним каналам связи;

  • мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;

  • нарушение конфиденциальности отдельных данных;

  • повторное использование внешних и внутренних носителей информации для съема информации;

  • несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;

  • нарушение конфиденциальности массивов данных.

Перечень факторов риска может уточняться.

Уязвимые места – элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся:

  • все технические средства – необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов;

  • все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей Банка – необходимо защищать от НСД, приводящего к нарушению целостности и доступности;

  • все автоматизированные рабочие места (АРМ) и терминалы – необходимо защищать от НСД;

  • опорная сеть Банка и передаваемые по ней данные – необходимо защищать от нарушения целостности или доступности и НСД;

  • ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию – необходимо защищать от повторного использования («сборки мусора»);

  • конфиденциальная и строго конфиденциальная информация – необходимо защищать от нарушения конфиденциальности;

  • помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация – необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств.

Перечень уязвимых мест системы Банка может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.

Смотрите также файлы