Файл: 1 Анализ предметной области 7 1 Краткая характеристика предприятия 7.docx

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 07.11.2023

Просмотров: 318

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1 Анализ предметной области

1.1 Краткая характеристика предприятия

1.2 Особенности системы защиты информации в банковских системах

1.3 Анализ состояния информационной безопасности

2 Разработка комплекса мер по обеспечению защиты информации

2.2 Обоснование методов и средств обеспечения информационной безопасности

2.3 Определение мест размещения средств обеспечения информационной безопасности

2.4 Комплекс программно–аппаратных средств обеспечения информационной безопасности

3 Оценка эффективности предлагаемых мероприятий В настоящее время стало необходимым наличие в каждом банке «Политики информационной безопасности банка», главного документа при формировании системы его информационной безопасности. В данном документе выделяются серьезные угрозы безопасности информации в банке, представляется описание объектов защиты, устанавливаются ключевые задачи информационной безопасности, а также меры по обеспечению информационной безопасности банковской системы. Главными элементами системы информационной безопасности банка являются: авторизация и аутентификация; защита от несанкционированного доступа к системам, в том числе и внутренняя защита от незаконного доступа сотрудников банка; защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами; обеспечение юридической значимости электронных документов;  управление инцидентами информационной безопасности; управление непрерывностью ведения бизнеса; внутренний и внешний аудит системы информационной безопасности. При формировании системы информационной безопасности банка следует учесть и такие функциональные требования к системе: получение от должностных лиц в зависимости от их иерархической подчиненности той информации, которая необходима им для решения поставленных задач; возможность использования должностными лицами всего арсенала средств математического и программного обеспечения в интересах принятия решений; обеспечение диалогового взаимодействия участников при работе с системой; соответствие процессов функционирования и применения системы методам и логике деятельности должностных лиц; соответствие особенностей хранения информации свойствам ее источников и потребителей, обеспечение требуемой срочности, периодичности и очередности ее представления; возможность объективного контроля и проверки промежуточных данных и результатов на основе протоколирования. Долгосрочное адекватное функционирование системы информационной безопасности способно обеспечить только систематическое поддержание баланса между всеми составляющими системы и элементами ее окружения. Такое соответствие является основной задачей поддержания информационной безопасности в банковской деятельности. Одним из крупнейших банков Европы и России является российский публичный акционерный банк «Сбербанк России». Он контролируется Центральным банком Российской Федерации и оказывает широкий спектр банковских услуг. С целью обеспечения безопасности информации в ПАО «Сбербанк России» создана система защиты информации, представляющая собой совокупность направлений, требований, средств и мероприятий, сокращающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке. Для увеличения экономической безопасности ПАО «Сбербанк России» концентрируется на выборе персонала, периодически организовывает инструктажи по безопасности. В контрактах ПАО «Сбербанк России» отчетливо выделены персональные требования, функции к персоналу, а также ответственность за различные нарушения, так как в большинстве случаев именно он существенно влияет на информационную безопасность банка. Также, в деятельности Сбербанка широкое распространение получает введение в служебных документах грифа секретности и назначение увеличения суммы оклада для соответствующих категорий персонала. 3.1 Оценка эффективности существующей системы безопасности информации Настройка политик DLP–системы осуществляется вручную, по результатам обследования бизнес–процессов. По сути, политики представляют собой статичный срез информационной картины бизнеса, склонный к постепенному старению и утрате актуальности.По опыту внедрения и экспертным оценкам специалистов Сбербанка, совокупную точность (соотношение ложноположительных и ложноотрицательных срабатываний) классической DLP–системы редко удаётся удержать на уровне выше 70%. Дальнейшее повышение точности ведёт к значительному росту затрат на управление и актуализацию политик.Невысокие показатели точности не позволяют переводить DLP–систему в режим предотвращения утечек (в режим блокировки, «в разрыв») из–за рисков прерывания бизнес–процессов, а служба кибербезопасности сталкивается с целой лавиной ложных срабатываний политик DLP и необходимостью применять разветвлённый набор фильтров для того, чтобы сузить воронку срабатываний до приемлемого уровня. Таким образом, DLP–система, являясь ядром технологического стека процесса защиты от утечек, становится его слабым звеном именно с точки зрения конечного результата: к моменту разбора инцидента по факту утечки сама утечка уже состоялась, а информация покинула периметр.Радикально поднять точность DLP–систем можно, лишь выполнив два условия: принципиально повысить качество политик; обеспечить актуальность политик – резко сократить скорость реагирования на изменения, в том числе за счёт пересмотра процесса формирования политик. Решение этих задач традиционными способами, например, наращиванием вычислительных мощностей или персонала, выглядит неудачной идеей в силу существования принципиально неустранимых проблем ручного труда с его субъективными суждениями, неполнотой и трудностями получения информации. Для реализации подхода и обучения детектирующих моделей были выбраны типы данных, на которых чаще всего происходят сбои в детекции утечки системой DLP. Массив таких данных был размечен и обогащён набором, который точно относится к анализируемому типу (например, номера паспортов, счетов и т. д.), при этом символьная информация и неструктурированные данные также преобразовываются в цифровой структурированный вид при помощи ещё одних моделей, работающих перед основной. Ансамбль таких моделей помогает обнаруживать в потоке информации данные счетов, паспортов и банковских карт, при этом для данных, уже преобразованных в цифровой формат, и для ускорения фильтрации применяются регулярные выражения, алгоритмы определения контрольного разряда и Луна.Ансамбль моделей составляют нейронные сети (в большинстве своём класса NLP– Natural Language Processing) и «классические». Для NLP используются модели CNN и RNN (сверточные и рекуррентные нейронные сети). При обучении использовались различные параметры настройки слоёв нейронных сетей. Не все варианты оказались удачными, но те, что удовлетворяли заданным метрикам по точности, нашли применения в промышленном решении. Модели дополняют друг друга, усиливая точность взаимного результата отнесения анализируемых данных к тому или иному типу и категории защищаемой информации.Подробнее приведено на врезке 1; на врезке 2 представлены подробные данные по основным типам распознаваемых типов данных. Как мы видим, основной упор делается на поиск персональных данных, так как их охрана – одно из важнейших требований различных регуляторов (законы РФ, ЦБ РФ, GDPR).Как результат: обучены четыре модели на рекуррентных и сверточных нейросетях на базе NER (Name Entity Recognition). По результатам сравнения качества моделей на валидационной выгрузке отобраны три лучшие из них. Ансамбль из трёх моделей с анализом контрольных разрядов и проверками на регулярных выражениях показывает среднюю точность 95%, из них

Заключение

Список использованных источников



Основной вывод, который можно сделать из анализа развития банковской безопасностии, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

Список использованных источников




        1. Федеральный закон Российской Федерации от 21.07.1993 № 5485–1 "О государственной тайне" (далее – Закон о государственной тайне).

  1. Федеральный закон Российской Федерации Перечень сведений, составляющих государственную тайну, содержится в Указе Президента РФ от 24.01.1998 №61.

  2. Федеральный закон Российской Федерации от 27.07.2006 N 149–ФЗ (ред. от 29.12.2022) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 09.01.2023)

  3. Федеральный закон Российской Федерации ст. 12 ФЗ РФ от 15.11.1997г. № 143–ФЗ «Об актах гражданского состояния»

  4. Федеральный закон Российской Федерации ст. 243 Трудового кодекса РФ

  5. Постановление Правительства РФ от 18 сентября 2006г. № 573 «О предоставлении социальных гарантий гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны»

  6. Федеральный закон Российской Федерации № 149 «Об информации, информационных технологиях и о защите информации» от 27.06.2006 г.

  7. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. – М.: КноРус, 2019. – 136 c.

  8. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. – Рн/Д: Феникс, 2020. – 324 c.

  9. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. – Ст. Оскол: ТНТ, 2021. – 384 c.

  10. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. – М.: ЮНИТИ–ДАНА, 2018. – 239 c.

  11. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт. Монография. Гриф УМЦ «Профессиональный учебник». Гриф НИИ образования и науки. / Л.Л. Ефимова, С.А. Кочерга. – М.: ЮНИТИ, 2019. – 239 c.

  12. Запечников, С.В. Информационная безопасность открытых систем. В 2–х т. Т.1 – Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. – М.: ГЛТ, 2021. – 536 c.

  13. Запечников, С.В. Информационная безопасность открытых систем. В 2–х т. Т.2 – Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. – М.: ГЛТ, 2018. – 558 c. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. – М.: ГЛТ, 2022. – 280 c.

  14. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. – М.: Форум, 2018. – 432 c.

  15. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. – М.: АРТА, 2016. – 296 c.

  16. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. – М.: МГИУ, 2017. – 277 c.

  17. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. – М.: Гелиос АРВ, 2018. – 336 c.

  18. Защита информации о https://pandia.ru/text/80/218/40223.phpграниченного доступа | Организация систем защиты информации с ограниченным доступом – SearchInform

  19. Тема 17 п https://pandia.ru/text/80/218/40223.phpравовые основы защиты информации с ограниченным доступом (studfile.net)

  20. Статья 9. Огран https://pandia.ru/text/80/218/40223.phpичение доступа к информации \ КонсультантПлюс (consultant.ru)

  21. [Электронный ресурс] – Категории инф https://pandia.ru/text/80/218/40223.phpормационных ресурсов по доступу к ним пользователей – Информационное право (studme.org)

  22. [Электронный ресурс] – Права доступа https://pandia.ru/text/80/218/40223.phpк ресурсам (studfile.net)

  23. [Электронный ресурс] – Информационные р https://pandia.ru/text/80/218/40223.phpесурсы (discovered.com.ua)

  24. [Электронный ресурс] – Категории https://pandia.ru/text/80/218/40223.php информационных ресурсов по доступу к ним пользователей – Информационное право (studme.org)

  25. [Электронный ресурс] – Информацион https://pandia.ru/text/80/218/40223.phpные ресурсы Банка России и возможности их использования | Контент–платформа Pandia.ru