Файл: 1 Анализ предметной области 7 1 Краткая характеристика предприятия 7.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 07.11.2023

Просмотров: 303

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1 Анализ предметной области

1.1 Краткая характеристика предприятия

1.2 Особенности системы защиты информации в банковских системах

1.3 Анализ состояния информационной безопасности

2 Разработка комплекса мер по обеспечению защиты информации

2.2 Обоснование методов и средств обеспечения информационной безопасности

2.3 Определение мест размещения средств обеспечения информационной безопасности

2.4 Комплекс программно–аппаратных средств обеспечения информационной безопасности

3 Оценка эффективности предлагаемых мероприятий В настоящее время стало необходимым наличие в каждом банке «Политики информационной безопасности банка», главного документа при формировании системы его информационной безопасности. В данном документе выделяются серьезные угрозы безопасности информации в банке, представляется описание объектов защиты, устанавливаются ключевые задачи информационной безопасности, а также меры по обеспечению информационной безопасности банковской системы. Главными элементами системы информационной безопасности банка являются: авторизация и аутентификация; защита от несанкционированного доступа к системам, в том числе и внутренняя защита от незаконного доступа сотрудников банка; защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами; обеспечение юридической значимости электронных документов;  управление инцидентами информационной безопасности; управление непрерывностью ведения бизнеса; внутренний и внешний аудит системы информационной безопасности. При формировании системы информационной безопасности банка следует учесть и такие функциональные требования к системе: получение от должностных лиц в зависимости от их иерархической подчиненности той информации, которая необходима им для решения поставленных задач; возможность использования должностными лицами всего арсенала средств математического и программного обеспечения в интересах принятия решений; обеспечение диалогового взаимодействия участников при работе с системой; соответствие процессов функционирования и применения системы методам и логике деятельности должностных лиц; соответствие особенностей хранения информации свойствам ее источников и потребителей, обеспечение требуемой срочности, периодичности и очередности ее представления; возможность объективного контроля и проверки промежуточных данных и результатов на основе протоколирования. Долгосрочное адекватное функционирование системы информационной безопасности способно обеспечить только систематическое поддержание баланса между всеми составляющими системы и элементами ее окружения. Такое соответствие является основной задачей поддержания информационной безопасности в банковской деятельности. Одним из крупнейших банков Европы и России является российский публичный акционерный банк «Сбербанк России». Он контролируется Центральным банком Российской Федерации и оказывает широкий спектр банковских услуг. С целью обеспечения безопасности информации в ПАО «Сбербанк России» создана система защиты информации, представляющая собой совокупность направлений, требований, средств и мероприятий, сокращающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке. Для увеличения экономической безопасности ПАО «Сбербанк России» концентрируется на выборе персонала, периодически организовывает инструктажи по безопасности. В контрактах ПАО «Сбербанк России» отчетливо выделены персональные требования, функции к персоналу, а также ответственность за различные нарушения, так как в большинстве случаев именно он существенно влияет на информационную безопасность банка. Также, в деятельности Сбербанка широкое распространение получает введение в служебных документах грифа секретности и назначение увеличения суммы оклада для соответствующих категорий персонала. 3.1 Оценка эффективности существующей системы безопасности информации Настройка политик DLP–системы осуществляется вручную, по результатам обследования бизнес–процессов. По сути, политики представляют собой статичный срез информационной картины бизнеса, склонный к постепенному старению и утрате актуальности.По опыту внедрения и экспертным оценкам специалистов Сбербанка, совокупную точность (соотношение ложноположительных и ложноотрицательных срабатываний) классической DLP–системы редко удаётся удержать на уровне выше 70%. Дальнейшее повышение точности ведёт к значительному росту затрат на управление и актуализацию политик.Невысокие показатели точности не позволяют переводить DLP–систему в режим предотвращения утечек (в режим блокировки, «в разрыв») из–за рисков прерывания бизнес–процессов, а служба кибербезопасности сталкивается с целой лавиной ложных срабатываний политик DLP и необходимостью применять разветвлённый набор фильтров для того, чтобы сузить воронку срабатываний до приемлемого уровня. Таким образом, DLP–система, являясь ядром технологического стека процесса защиты от утечек, становится его слабым звеном именно с точки зрения конечного результата: к моменту разбора инцидента по факту утечки сама утечка уже состоялась, а информация покинула периметр.Радикально поднять точность DLP–систем можно, лишь выполнив два условия: принципиально повысить качество политик; обеспечить актуальность политик – резко сократить скорость реагирования на изменения, в том числе за счёт пересмотра процесса формирования политик. Решение этих задач традиционными способами, например, наращиванием вычислительных мощностей или персонала, выглядит неудачной идеей в силу существования принципиально неустранимых проблем ручного труда с его субъективными суждениями, неполнотой и трудностями получения информации. Для реализации подхода и обучения детектирующих моделей были выбраны типы данных, на которых чаще всего происходят сбои в детекции утечки системой DLP. Массив таких данных был размечен и обогащён набором, который точно относится к анализируемому типу (например, номера паспортов, счетов и т. д.), при этом символьная информация и неструктурированные данные также преобразовываются в цифровой структурированный вид при помощи ещё одних моделей, работающих перед основной. Ансамбль таких моделей помогает обнаруживать в потоке информации данные счетов, паспортов и банковских карт, при этом для данных, уже преобразованных в цифровой формат, и для ускорения фильтрации применяются регулярные выражения, алгоритмы определения контрольного разряда и Луна.Ансамбль моделей составляют нейронные сети (в большинстве своём класса NLP– Natural Language Processing) и «классические». Для NLP используются модели CNN и RNN (сверточные и рекуррентные нейронные сети). При обучении использовались различные параметры настройки слоёв нейронных сетей. Не все варианты оказались удачными, но те, что удовлетворяли заданным метрикам по точности, нашли применения в промышленном решении. Модели дополняют друг друга, усиливая точность взаимного результата отнесения анализируемых данных к тому или иному типу и категории защищаемой информации.Подробнее приведено на врезке 1; на врезке 2 представлены подробные данные по основным типам распознаваемых типов данных. Как мы видим, основной упор делается на поиск персональных данных, так как их охрана – одно из важнейших требований различных регуляторов (законы РФ, ЦБ РФ, GDPR).Как результат: обучены четыре модели на рекуррентных и сверточных нейросетях на базе NER (Name Entity Recognition). По результатам сравнения качества моделей на валидационной выгрузке отобраны три лучшие из них. Ансамбль из трёх моделей с анализом контрольных разрядов и проверками на регулярных выражениях показывает среднюю точность 95%, из них

Заключение

Список использованных источников


  • взaимoдeйcтвиe и кoopдинaция. Oзнaчaeт ocущecтвлeниe мep oбecпeчeния инфopмaциoннoй бeзoпacнocти нa ocнoвe чeткoй взaимocвязи cooтвeтcтвующих пoдpaздeлeний и cлужб, cтopoнних cпeциaлизиpoвaнных opгaнизaций в этoй oблacти, кoopдинaции их уcилий для дocтижeния пocтaвлeнных цeлeй, a тaкжe coтpудничecтвa c зaинтepecoвaнными oбъeдинeниями и взaимoдeйcтвия c opгaнaми гocудapcтвeннoгo упpaвлeния и пpaвooхpaнитeльными opгaнaми.

  • сoвepшeнcтвoвaниe. Пpeдуcмaтpивaeт coвepшeнcтвoвaниe мep и cpeдcтв зaщиты нa ocнoвe coбcтвeннoгo oпытa, пoявлeния нoвых тeхничecких cpeдcтв c учeтoм измeнeний в мeтoдaх и cpeдcтвaх paзвeдки и пpoмышлeннoгo шпиoнaжa, нopмaтивнo–тeхничecких тpeбoвaний, дocтигнутoгo oтeчecтвeннoгo и зapубeжнoгo oпытa.

  • цeнтpaлизaция упpaвлeния. Пpeдпoлaгaeт caмocтoятeльнoe функциoниpoвaниe cиcтeмы инфopмaциoннoй бeзoпacнocти пo eдиным пpaвoвым, opгaнизaциoнным, функциoнaльным и мeтoдoлoгичecким пpинципaм и цeнтpaлизoвaнным упpaвлeниeм дeятeльнocтью cиcтeмы бeзoпacнocти разнooбpaзиe вapиaнтoв пocтpoeния кoмплeкcнoй cиcтeмы зaщиты инфopмaции oгpoмнoe кoличecтвo, нo вoт нa зaкoннoм ли ocнoвaнии oни cocтaвлeны и являeтcя главным в пpaвoвoм oтнoшeнии кoмплeкcнoй cиcтeмы зaщиты инфopмaции.


1.3 Анализ состояния информационной безопасности


Стратегии информационной защиты для сектора банков довольно сильно отличаются от стратегий компаний и организаций других секторов бизнеса. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Информационная безопасность банка должна учитывать следующие специфические факторы:

  • хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги.

На основе информации, содержащейся в банковских компьютерах, производятся выплаты, открываются счета, выдаются кредиты, а также переводятся большие суммы денег. Поэтому ясно, что несанкционированное манипулирование с подобной информацией может повлечь серьезные убытки для клиентов банка. Данная особенность резко расширяет число преступников, совершающих покушения именно на банки.

  • информация в банковских системах затрагивает интересы большого количества людей и организаций – клиентов банка.

Как правило, клиенты предоставляют банку

конфиденциальную информацию и потому ожидают, что банк несет ответственность за то, что данная информация находится в строгой секретности. Если банк не выполняет это условие, он рискует своей репутацией со всеми вытекающими отсюда последствиями.

  • конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом.

Клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими денежными средствами. Однако такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

  • информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

Сбербанк использует современные системы информационной безопасности для обеспечения безопасного и полнофункционального обслуживания клиентов. В 2018 году применение искусственного интеллекта и аналитических измерений для определения мошеннических операций, при которых клиент добровольно передает информацию мошенникам, позволило хеджировать около 97% такого риска со стороны клиента. За 2018 год было пресечено более 300 тыс. попыток хищения средств физических и юридических лиц, предотвращен ущерб на сумму более 40 млрд руб.


Сбербанк уделяет особое внимание кибербезопасности. Банк научился успешно противодействовать киберпреступности с помощью интеллектуальной системы защиты клиентов. Проект Сбербанка «Фрод–мониторинг для удаленных каналов обслуживания физических лиц» стал бронзовым призером международного конкурса IPMA International Project Excellence Award 2018. В рамках масштабного проекта, который длился 15 месяцев, в Сбербанке была внедрена уникальная система фрод–мониторинга, созданная на основе искусственного интеллекта. Система в автоматическом режиме защищает клиентов от некорректных действий, вызванных недостаточным знанием правил кибербезопасности.

В 2018 году развитие системы противодействия кибермошенничеству продолжилось, чтобы обеспечить абсолютную защиту всех каналов обслуживания клиентов Сбербанка.

Обеспечение защиты персональных данных в Сбербанке осуществляется в рамках единой комплексной системы организационно–технических и правовых мер по защите конфиденциальной информации (коммерческая, банковская тайна, персональные данные), с учетом требований федерального законодательства (включая Федеральный закон № 152–ФЗ «О персональных данных» от 27.07.2006) и лучших мировых практик.

При обработке персональных данных банк принимает необходимые правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В состав мер по обеспечению безопасности персональных данных входят:

  • обеспечение контролируемой зоны, в пределах которой осуществляется функционирование автоматизированных систем Сбербанка;

  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

  • антивирусная защита;

  • обнаружение и предотвращение вторжений;

  • контроль и анализ защищенности персональных данных;

  • обеспечение целостности автоматизированных систем Сбербанка и персональных данных;

  • обеспечение доступности персональных данных;

  • защита среды виртуализации;

  • защита технических средств;

  • защита автоматизированных систем, их средств, систем связи и передачи данных;

  • выявление инцидентов, которые могут привести к сбоям или нарушению функционирования автоматизированных систем и (или) к возникновению угроз безопасности персональных данных, и реагирование на них.

В целях нейтрализации актуальных угроз безопасности персональных данных обеспечено применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

Доступ к обрабатываемым персональным данным предоставляется только тем работникам Сбербанка, которым он необходим в связи с исполнением ими своих трудовых обязанностей. Все лица, оформляемые на работу в Сбербанк, подписывают обязательства о неразглашении персональных данных и другой конфиденциальной информации, хранение обязательств осуществляется в личных делах работников.

В целях повышения осведомленности, знаний и навыков по вопросам обеспечения информационной безопасности проводится обучение работников в форме обязательного прохождения электронных дистанционных программ подготовки.

Также в Сбербанке организован внутренний контроль (аудит) соответствия обработки персональных данных 152–ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Сбербанка в отношении обработки персональных данных, локальным актам Сбербанка. Внутренний аудит осуществляется Службой внутреннего аудита Сбербанка в рамках аудиторских проверок.

Контроль обеспечения защиты персональных данных при их обработке в автоматизированных системах осуществляется подразделениями Службы кибербезопасности Сбербанка. В рамках реализации мер контроля защищенности информационной инфраструктуры применяются инструментальный контроль защищенности и тестирование на проникновение.

Политика безопасности Сбербанка осуществляется по нескольким элементам:

  • нормативно–правового элемент;

В сфере защиты информации ПАО «Сбербанк России» руководствуется следующими нормативно–правовыми актами:

  • федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24–ФЗ;

  • закон Российской Федерации «О государственной тайне» (с изменениями от 27 марта 1996 года), принят Верховным Советом Российской Федерации 21.07.93, 5485–1;

  • закон Российской Федерации «Об информации, информатизации и защите информации», принят Государственной думой 25.01.95;

  • указ Президента Российской Федерации «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3.04.95, 334;

  • постановление Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 35;

  • постановление Правительства Российской Федерации «Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности» 870 от 4.09.95;

  • указ Президента Российской Федерации «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9.01.96;

  • закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных», принят Верховным Советом РФ 23.09.92, 3523–1;

  • закон Российской Федерации «О правовой охране топологий интегральных микросхем», принят Верховным Советом РФ 23.09.92, 3526–1;

  • указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» 188 от 6.03.97;

  • указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» 1203 от 30.11.95;

  • указ Президента Российской Федерации «О Межведомственной комиссии по защите государственной тайны» 1108 от 8.11.95;

  • постановление Правительства Российской Федерации «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 года) 608 от 26.06.95;

  • федеральный закон «О банках и банковской деятельности» от 25.06.1993 года.

На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ПАО «Сбербанк России»

Организационные меры инженерно–технической защиты информации Сбербанка включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации.

Регламентация предусматривает:

  • установку контролируемых границ и охранных зон;

  • определение уровней защиты информации в зонах;

  • регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее и т.д.);

  • определение режимов работы технических устройств, в том числе сбора, обработки и хранения информации, которая требует защиты, на персональных электронно–вычислительных машинах, передачи документов.

Управление доступом к информации в Сбербанке включает следующие мероприятия:

  • идентификацию лиц и обращений;

  • проверку полномочий лип и обращений;

  • регистрацию обращений к информации, требующей защиты;

  • реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений к каналам телекоммуникаций проводится с целью их надежного опознавания.

ПАО «Сбербанк России» использует следующие способы идентификации:

  • карточки или ключи;

  • пароли и коды;

  • в некоторых помещениях установлены биометрические идентификаторы (используются техники цифрового изображения лица в 3D или 2D, отпечатки пальцев и идентификация личности по радужной оболочке глаза).

С помощью биометрических систем безопасности Банк ограничивает или разрешает доступ:

  • для сотрудников – в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов;

  • для клиента – к своей ячейке;

  • для особо важных клиентов – в ряд специальных помещений.

При этом биометрия существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом, создает психологический барьер для потенциального злоумышленника, а также документально подтверждает факт прохода в охраняемые помещения каждой личности.

Смотрите также файлы