Добавлен: 30.04.2023
Просмотров: 448
Скачиваний: 13
СОДЕРЖАНИЕ
1. ТЕОРЕТИКО-МЕТОДИЧЕСКИЕ ОСНОВЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
1.1. Понятие системы защиты информации
1.2. Особенности системы защиты информации в банковских системах
2. АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
2.1. Общая характеристика предприятия АО ВУЗ-БАНК
2.2 Анализ информационной системы банка
ВВЕДЕНИЕ
В условиях развития финансовых технологий и усиливающейся экономической нестабильности всё чаще встаёт вопрос о безопасности банка. Банковская система выступает неотъемлемой составляющей экономики и является необходимым условием национальной безопасности. Главная цель обеспечения банковской безопасности заключается, прежде всего, в обеспечении стабильного и эффективного функционирования кредитных организаций.
Система защиты информации в банковских системах представляет собой совокупность информационно-технологических и технических средств, обеспечивающих информационную поддержку методического и организационного обеспечения деятельности участников. Одним из принципов проектирования информационной системы является обеспечение безопасности банков в соответствии с законодательством Российской Федерации.
Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.
Автоматизация бизнес-процессов в банковской сфере вышла за рамки применения стандартных, привычных для банков решений, как например АБС или ДБО – систем для автоматизации банковских операций или дистанционного обслуживания клиентов. Информационным технологиям доверяют все больше задач по оптимизации нетипичных процессов с применением новых математических моделей и алгоритмов – это и автоматизация управления различными видами рисков, претензионно-исковой работы, решения для борьбы с мошенничествами и т.п.
При реализации стратегии цифровой трансформации высокотехнологичный банк становится гораздо более уязвимым к киберугрозам.
В настоящее время банковский сектор находится под пристальным вниманием ЦБ в связи с участившимися кибератаками, объектами которых становятся не только клиенты банков, но и сами банки. В связи с этим Банк России разрабатывает требования к кибербезопасности (например, 382-П или 552-П) и настаивает на их выполнении. ЦБ организует участие информационного обмена банков с ФинЦЕРТ для коллективной борьбы с киберугрозами.
Финансовый сектор является законодателем моды в информационной безопасности, ориентиром для всего остального рынка. Банки - это самый лакомый кусок для киберпреступников различной степени подготовки и возможность быстро монетизировать свои навыки и умения.
Объект исследования курсовой работы является обеспечение безопасности ИС в банковской системе.
Предмет исследования - системы защиты информации в банковской системе.
Цель курсовой работы - исследование системы защиты информации в банковской системе на примере АО «ВУЗ-банк».
Задачи курсовой работы:
1. Рассмотреть понятие системы защиты информации
2. Выявить особенности системы защиты информации в банковских системах
3. Провести анализ системы защиты информации в банковских системах
Основными методами исследования послужили монографические, методологические, статистические методы.
Информационной базой исследования стали законодательные акты и нормативно - правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения об использовании служебной информации.
Структура курсовой работы состоит из введения, двух глав, заключения, списка использованных источников и приложения.
1. ТЕОРЕТИКО-МЕТОДИЧЕСКИЕ ОСНОВЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ
1.1. Понятие системы защиты информации
Защита информации - это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.
Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.
В сегодняшнем социуме сфера информации имеет две составные части:[1]
- информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
- и информационно-психологическую (естественный мир живой природы, который включает и самого человека).
В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:
- конфиденциальность - представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
- целостность - представляет собой избежание несанкционированных изменений информации;
- доступность - представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.
Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:
- апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
- подотчетность – официальная регистрация данных;
- достоверность - представляет собой свойство соответствия предусмотренным результатам или поведению;
- аутентичность или подлинность - представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.
Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:[2]
- Научная, нормативно-правовая и законодательная база.
- Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
- Режимные и организационно-технические методы защиты информации (политика безопасности информации).
- Программные, а также технические средства защиты информации.
Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:
- выявить требования к защите информации, специфические для этого объекта защиты;
- принять во внимание требования международного и национального Законодательства;
- использовать существующие практики (методологии, стандарты) построения подобных систем;
- определить подразделения, которые ответственны за реализацию и поддержку системы;
- распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
- на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
- исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
- реализовать систему управления (менеджмента) безопасности информации (СМИБ);
- применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.
Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.[3]
В России к нормативно-правовым актам в сфере информационной безопасности причисляются:
- Федеральные законодательные акты:
- Международные договоры России.
- Конституция России.
- Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
- Указы Президента России.
- Правительственные постановления Российской Федерации.
- Правовые нормативные акты федеральных ведомств и министерств.
- Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.
2) К нормативно-методическим документам возможно причислить:
- Методические документы правительственных органов России:
а) Доктрина безопасности информации России.
б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.
в) Приказы Федеральной службы безопасности.
- Стандарты безопасности информации, из которых можно выделить:
а) Международные стандарты.
б) Национальные (государственные) стандарты России.
в) Рекомендации по стандартизации.
г) Указания методические.
Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:[4]
- Комитет Госдумы по безопасности.
- Совет безопасности России.
- ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
- ФСБ (Федеральная служба безопасности) России.
- ФСО (Федеральная служба охраны) РФ.
- СВР (Служба внешней разведки) России.
- Минобороны (Министерство обороны) РФ.
- МВД (Министерство внутренних дел) России.
- Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).
Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:[5]
- организацию режима, охраны, работу с документами, с кадрами;
- применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.
К основным мероприятиям защиты информации можно причислить:
- Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
- Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
- Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
- Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
- Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
- Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.
Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.
1.2. Особенности системы защиты информации в банковских системах
Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.[6]
К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.
В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.
Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.
Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.