Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 27.06.2023

Просмотров: 123

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

ВВЕДЕНИЕ

Банковская деятельность очень тесно связана с обработкой и хранением большого количества данных. В первую очередь это персональные данные о клиентах, сотрудников банка, коммерческая тайна самой организации и данные о счетах и вкладах клиентов банка.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями программного обеспечения.

На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации. Во-первых, физический доступ к местам её хранения и обработки. Например, злоумышленники могут проникнуть в офис банка ночью и украсть жесткие диски со всеми базами данных.

Во-вторых, использование злоумышленниками вредоносного программного обеспечения. Злоумышленники рассылают фишинговые письма для заражения рабочего места сотрудника банка и воруют информацию о клиентах банка, их счетов или персональные данные. Так
же используется методика социального инжиниринга, при которой сотрудник или клиент банка неосознанно разглашает конфиденциальную информацию, позволяющую в дальнейшем осуществить атаку на банк и его клиентов. Например, злоумышленники обзванивают сотрудников банка и представляются сотрудниками регулирующих органов и узнают необходимую информацию об организации работы в банке или о сетевой инфраструктуре банка. Или злоумышленники обзванивают клиентов банка, информацию о которых они могут найти в социальных сетях, которые состоят в сообществах банка в этих сетях или иных группах, представляются сотрудниками банков и узнают персональные данные для доступа к счёту клиента, после чего выводят средства на другой счёт в другие банки или кредитные организации.

В-третьих, наиболее
вероятный способ
 конфиденциальной информации — несанкционированный доступ
сотрудников банка
к защищаемой информации. У
пользователей нередко существует возможность
опосредованно (с
помощью определенного
ПО) целиком скопировать базы
данных, с
которыми они
работают, и
вынести их
за пределы компании. Иногда сотрудники делают это
без всякого
злого умысла, чтобы поработать
с информацией дома. Однако такие действия являются серьезнейшим
нарушением политики безопасности
и они могут стать причиной
утечки конфиденциальных данных.

Кроме того, в
любом банке есть группа людей, обладающих
в локальной сети
повышенными привилегиями. Речь идет
о системных администраторах. С
одной стороны, это
необходимо им
для выполнения служебных обязанностей. Но, с
другой стороны, у
них появляется возможность
получить доступ
к любой информации

Один из главных инструментов собственника в обеспечении ИБ – основанный на опыте прогноз (составление модели угроз и модели нарушителя). Чем обоснованнее и точнее сделан прогноз в отношении актуальных для банков рисков нарушения ИБ, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня ИБ. При этом следует учитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтому модели следует периодически пересматривать.

Наиболее правильный и эффективный способ добиться недопущения проявления в деятельности банка неприемлемых для неё рисков нарушения информационной безопасности – разработать политику информационной безопасности банка и в соответствии с ней реализовать, эксплуатировать и совершенствовать систему обеспечения информационной безопасности банка.

ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Система защиты информации – это
совокупность организационных (административных) и технологических мер, программно-технических средств, правовых норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума
возможного ущерба пользователям и владельцам системы. Главным объектом защиты являются данные, которые обрабатываются в информационной системе организации и задействованы при выполнении рабочих процессов.

Система защиты информации в организации должна обеспечивать:

  • конфиденциальность информации – недоступность защищаемой информации для третьих лиц;
  • целостность ­информации – невозможность изменения защищаемой информации лицами, не имеющими полномочий на изменение защищаемой информации;
  • доступность информации – непрерывность доступа к
информации авторизованными пользователями.

Система защиты информации в организации должна адекватно отвечать актуальным угрозам безопасности информации и не должна быть избыточна.

При создании системы защиты информации необходимо оценить актуальные угрозы безопасности и установить требования к создаваемой системе защиты информации, оценить экономическую эффективность от внедрения системы защиты информации, руководствоваться федеральными законами и иными нормативно-правовыми актами, регулирующими защиту информации в Российской Федерации.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

ОСНОВНЫЕ НОРМАТИВНО-ПРАВОВЫЕ АКТЫ, ИСПОЛЬЗУЕМЫЕ ПРИ СОЗДАНИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Защита информации в банковской сфере очень критична, Так как при утечке информации, её изменении злоумышленниками или сбоя доступа к ней может нанести непоправимый репутационный или финансовый вред как самой кредитной организации, так
и клиентам этой организации, поэтому к системе защиты информации в кредитных организациях предъявляются высокие требования.

В настоящее время деятельность банков регламентируется федеральным законом «О банках и банковской деятельности». В нем, помимо всего прочего, вводится понятие «банковская тайна». Согласно ему любая кредитная организация обязана обеспечивать конфиденциальность всех данных о вкладах клиентов. За их разглашение она несёт ответственность, включая возмещение причиненного утечкой информации ущерба.

Так
же банки должны защищать не только банковскую тайну, но и коммерческую тайну, необходимую для обеспечения репутационного и финансового благополучия самого банка, а так
же персональные данные клиентов и сотрудников банка.

Кроме того банк является оператором информационных систем персональных данных, в которых хранятся персональные данные клиентов и сотрудников организации и должен обеспечивать сохранность этих данных.

Таким образом система защиты информации должна соответствовать не только требованиям федеральных законов, регулирующих банковскую сферу, и требованиям и постановлениям Центрального Банка России, но так
же и требованиям Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности.

Основные документы, устанавливающие требования к защите информации в банковской сфере:

  • Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»;
  • Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 г. 382-П;
  • Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ;
  • Положение ЦБР от 29 августа 2008 г. № 321-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»;
  • Положение Банка России от 2 сентября 2013 г. № 407-П «О представлении кредитными организациями по запросам Федеральной службы по финансовому мониторингу информации об операциях клиентов, о бенефициарных владельцах клиентов и информации о движении средств по счетам (вкладам) клиентов в электронном виде»;
  • Приказ ФСТЭК № 21 от 18 февраля 2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Федеральный закон «Об электронной подписи» от 06.04.2011 №63-ФЗ.

Так
же в банках могут применяться международные стандарты обеспечения безопасности, такие как Cobit, PCI DSS, ISO 27000 и другие.

Основной рекомендацией по защите информации является Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

Положение ЦБ РФ №382-П содержит требования по обеспечению защиты информации и требования по работе с системами криптографической защиты информации при обеспечении денежных переводов.

В Федеральном законе «О персональных данных» от 27.07.2006 г. № 152-ФЗ дано определение персональных данных и общие требования по их защите.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

Положение ЦБ РФ № 321-П устанавливает порядок передачи электронных сообщений предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма» уполномоченным органам, устанавливает порядок обеспечения информационной безопасности при передаче электронных сообщений уполномоченным органам, порядок хранения архивных сообщений.

Положение ЦБ РФ №407-П устанавливает требования к форматам представления кредитной организацией в Росфинмониторинг по его запросу информации об операциях клиентов кредитной организации, о бенефициарных владельцах клиентов и информации о движении средств по счетам (вкладам) клиентов в электронном виде, а так
же устанавливает порядок хранения архивных электронных сообщений.

Приказ ФСТЭК № 21 определяет состав организационно-технических мер по защите персональных данных клиентов и сотрудников банка при обработке в информационных системах персональных данных.

Постановление Правительства РФ от 01.11.2012 № 1119 определяет типы угроз безопасности информационных систем персональных данных, уровни защищённости персональных данных и требования по защите персональных данных.

Федеральный закон «Об электронной подписи» от 06.04.2011 №63-ФЗ устанавливает определение электронной подписи, её виды, условия признания.

На основании вышеуказанных нормативно-правовых актов в кредитной организации проводятся организационные и технические мероприятия, после которых составляются внутренние нормативные документы по защите информации в банке.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

ОБЗОР ОБЩИХ РЕКОМЕНДАЦИЙ ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКЕ

Политика ИБ банков разрабатывается на основе накопленного в банке опыта в области обеспечения ИБ, результатов идентификации активов, подлежащих защите, результатов оценки рисков с учётом особенностей бизнеса и технологий, требований законодательства РФ, нормативных актов Банка России, а также интересов и бизнес-целей конкретного банка.

Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ банка серьезное влияние оказывают отношения как в коллективе, так
и между коллективом и собственником или менеджментом банка, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности банка является её персонал, собственник должен поощрять заинтересованность и осведомленность персонала в решении проблем ИБ.

Смотрите также файлы