Файл: ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 18.06.2023

Просмотров: 123

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ГЛАВА 1 ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1 Цели, задачи и принципы информационной безопасности

1.2 Существующие угрозы для безопасности информации

ГЛАВА 2 АНАЛИЗ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ПАО «СБЕРБАНК»

2.1Характеристика компании ПАО «Сбербанк»

2.2Организация защиты информации в ПАО «Сбербанк»

ГЛАВА 3 ПРОЕКТИРОВАНИЕ МЕРОПРИЯТИЙ ПО СОВЕРШЕНСТВОВАНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

3.1 Рекомендации по оптимизации информационной безопасности ПАО «Сбербанк»

3.2Оценка затрат на реализацию предлагаемых мероприятий

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ПАО «Сбербанк России».

  1. Инженерно-технического элемент.

Организационные меры инженерно-технической защиты информации Сбербанка включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации.

Регламентация предусматривает:

  • установку контролируемых границ и охранных зон;
  • определение уровней защиты информации в зонах;
  • регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее и т.д.);
  • определение режимов работы технических устройств, в том числе сбора, обработки и хранения информации, которая требует защиты, на персональных электронно-вычислительных машинах, передачи документов.

Управление доступом к информации в Сбербанке включает следующие мероприятия:

  • идентификацию лиц и обращений;
  • проверку полномочий лип и обращений;
  • регистрацию обращений к информации, требующей защиты;
  • реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений к каналам телекоммуникаций проводится с целью их надежного опознавания.

ПАО «Сбербанк России» использует следующие способы идентификации:

  • карточки или ключи;
  • пароли и коды;
  • в некоторых помещениях установлены биометрические идентификаторы (используются техники цифрового изображения лица в 3D или 2D, отпечатки пальцев и идентификация личности по радужной оболочке глаза).

С помощью биометрических систем безопасности Банк ограничивает или разрешает доступ:

  • для сотрудников - в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов;
  • для клиента - к своей ячейке;
  • для особо важных клиентов - в ряд специальных помещений.

При этом биометрия существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом, создает психологический барьер для потенциального злоумышленника, а также документально подтверждает факт прохода в охраняемые помещения каждой личности.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

В системе безопасности Сбербанка применяются специальные средства видеоконтроля. Сетевой программно-аппаратный комплекс видеоконтроля и автоматизированного управления интегрированными системами безопасности «Инспектор+» сочетает в себе высокое качество компьютерных цифровых технологий с возможностью объединения автономных компонентов системы безопасности банка в профессиональную интегрированную систему безопасности. «Инспектор+» позволяет распределить приоритеты между видеоканалами таким образом, что в момент тревоги тревожной камере выделяется максимальный ресурс по скорости записи, который даже в режиме мультиплексирования составляет до 10-12,5 FPS. Помимо качественного видеоконтроля «Инспектор+» осуществляет синхронно с видеоконтролем аудиоконтроль.

Объединение сети банка в единое пространство безопасности в технологии «Инспектор+» происходит через видеошлюз, который призван сопрягать высокоскоростные характеристики локальных сетей с медленной работой межсетевых соединений.

Помимо видеошлюза, в арсенале технологии «Инспектор+» содержатся и другие полезные модули.

Модуль резервного копирования, или видеоархивации, - это объект, управляющий процессами архивации видеоданных. Модуль видеоархивации позволяет создавать централизованный архив видеоданных. Как правило, данная функция используется при решении задач долговременного хранения большого объема информации или информации, имеющей стратегическое значение.

Модуль телеметрического управления используется для дистанционного управления камерами, установленными на двухкоординатных поворотных устройствах. Управление всеми камерами может осуществляться как с любой клавиатуры, так и посредством управляющих окон на экране компьютера.

Для защиты банкоматов в технологии «Инспектор+» существует подсистема «Банкомат Инспектор». Данная подсистема позволяет создать интегрированную систему защиты требуемой конфигурации как для одного банкомата, так и для территориально- распределенной сети банкоматов, что является наиболее сложной задачей, которую невозможно решить обычными средствами обеспечения безопасности. В системе «Банкомат Инспектор» полностью интегрированы устройства видеонаблюдения, сенсоры и оборудование передачи сигналов с возможностью гибкой настройки логики системных реакций на входные события.

  1. Программный элемент.

Для реализации программного элемента защиты информации в ПАО «Сбербанк России» используется комплексная система защиты информации «Панцирь-К».

Это программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты как автономных компьютеров, так и компьютеров в составе сети предприятия.

К комплексной системе защиты КСЗИ может быть отнесена, ввиду того, что она служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОСWindows, т.е. позволяет решать задачи защиты информации в общем виде. КСЗИ может применяться для защиты, как от внешних, так и от внутренних угроз для информационных технологий, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном устройстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам, эксплойтам, вредоносным и шпионским и любым иным деструктивным программам, атакам на ошибки программирования в системном и прикладном ПО; содержит в своем составе, как механизмы защиты от несанкционированного доступа, так и механизмы криптографической защиты данных.

В части криптографической защиты конфиденциальности информации в КСЗИ реализована возможность шифрования данных, при этом обеспечивается прозрачное для пользователя шифрование любого заданного администратором любого файлового объекта. Ключевая политика, реализующаяся данной комплексной системой, позволяет защитить данные от раскрытия даже при краже компьютера и при наличии ключа шифрования, позволяет осуществлять коллективный доступ к локальным и разделенным в сети зашифрованным объектам.

Для шифрования данных в КСЗИ интегрированы возможности использования сертифицированных криптопровайдеров «Signal-СОМ СSP» и «КриптоПро СSP 3.0».

КСЗИ «Панцирь-К» предоставляет возможности

использования аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам; разграничения и аудита работы пользователей с локальными и сетевыми ресурсами; разграничения и аудита работы программ с локальными и сетевыми ресурсами; разграничения и аудита работы пользователей с устройствами с использованием их серийных номеров; разграничения и аудита работы пользователей и приложений с локальными и глобальными сетями (ЛВС, Internet/Intranet) - персональный Firewall; шифрования данных «на лету», включая сетевые ресурсы, скрытие, разграничение доступа, а также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным; контроля времени, проведенного сотрудников за работой, в то числе с помощью использования систем видеонаблюдения.

В 2018-ом году Сбербанком, совместно с Российским квантовым центром, была протестирована первая собственная линия связи, которая была защищена с помощью квантовой криптографии [9].

Данный тип криптографической защиты подразумевает потенциально невзламываемый тип информационной защиты. Поскольку данные для создания ключей шифрования передаются по каналу связи в виде состояний частиц света (фотонов), злоумышленник, пытающийся перехватить нужные ему данные, не сможет получить доступ к информации - квантовое состояние фотона после перехвата неизбежно изменится, и о взломе узнают те, кто должен был получить эти данные.

В ходе теста специалистам удалось с успехом передать информацию с квантовой защитой на 25 километров между двумя офисами банка в Москве. Сбербанк подчеркнул, что это первый в России эксперимент по квантово-защищенной передаче реально используемых данных в городских условиях.

По технической части киберзащиты Сбербанк продвинулся достаточно далеко. Как сообщил руководитель службы безопасности банка Сергей Лебедь: "Для нас сейчас технические вопросы перестали быть актуальными, мы научились бороться с вирусами, компьютерными атаками, развиваем наш антифрод, у него достаточно высокая эффективность. Сейчас для нас основная проблема — социальная инженерия" [10].

Сами представители банка считают своим главным слабым местом человеческий фактор. Некоторые молодые специалисты по неопытности могут открыть вредоносные файлы или программы, а клиенты банка очень просто могут стать жертвами социальной инженерии и предоставить мошенникам свои пароли или любую другую конфиденциальную информацию. Это так называемый фишинг - вид интернет-мошенничества, целью которого является получение личных данных пользователей (номеров карт, счетов и т.п.).

Чтобы защитить своих сотрудников от фишинга, Сбербанк выпустил специальную flash-игру, в которой сотрудник чувствует себя агентом, решающим какие-либо задачи: хранит пароли, реагирует на фишинговые письма, учится отличать и обнаруживать признаки фишинга [11].

Несмотря на то, что сам Сбербанк чувствует себя относительно безопасно, если речь заходит о кибератаках, они не прекращаются. По состоянию на 1 июня 2018 года число кибератак на банк уже превысило 30 раз. Хакерские атаки становятся всё сложнее: они сокращаются по времени и совершаются сразу на несколько банковских ресурсов. По подсчётам аналитиков TAdviser, Сбербанк в 2018 году потратил на IT 105 млрд. руб. [12].

Таким образом, в создании высокого уровня обеспечения информационной безопасности Сбербанк, бесспорно, добился больших успехов. Предприятием было внедрено большое разнообразие способов идентификации, а также высокотехнологичных устройств, с помощью которых предприятие справляется с возможными кибератаками, сохраняя при этом коммерческую тайну и индивидуальные данные своих клиентов. Предприятие, несомненно, оценивает риски, с которыми связано хранение такого рода информации, и потому развивает область своей деятельности, связанную с защитой информации.

ГЛАВА 3 ПРОЕКТИРОВАНИЕ МЕРОПРИЯТИЙ ПО СОВЕРШЕНСТВОВАНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

3.1 Рекомендации по оптимизации информационной безопасности ПАО «Сбербанк»

В результате проведенной работы и на основе собранной информации, были предложены следующие пути по оптимизации информационной безопасности ПАО "Сбербанк":

  1. Автоматизированный профайлинг «КИБ СёрчИнформ»

Профайлинг - это набор приемов, с помощью которых можно быстро составить психологический портрет и понять, как будет действовать человек в тех или иных обстоятельствах [13].

Многие специалисты по информационной безопасности являются профайлерами от природы и полагаются на интуицию, однако у них не достает четкого алгоритма, по которому составляется психологический портрет, и ясного представления, как получить максимальную пользу от типизации и классификации.

Вместе с психологическими портретами сотрудников специалист по безопасности получает следующие знания:

  • безопасно ли давать сотруднику доступ к конфиденциальной информации, финансовым активам и ценным ресурсам компании;
  • на что обращать внимание, чтобы вовремя заметить критичные изменения в линии поведения сотрудника;
  • за кем из сотрудников необходимо следить время от времени, а за кем — постоянно или в определенных ситуациях, например, только в период высокой нагрузки;
  • с кем в коллективе сохранять подчеркнуто формальные отношения, а с кем, наоборот, наладить дружеские связи;
  • кому из сотрудников достаточно «внушения» и профилактической беседы, а кого следует более строго наказывать за нарушение правил и т. д. [14].

Смотрите также файлы