Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 27.06.2023

Просмотров: 128

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Рис. 1 Взаимосвязь СИБ, СМИБ и СОИБ

Степень выполнения указанной деятельности со стороны руководства организации определяется осознанием необходимости обеспечения ИБ банка.

    1. Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации

Осознание необходимости обеспечения ИБ проявляется в использовании руководством бизнес-преимуществ обеспечения ИБ, способствующих формированию условий для дальнейшего развития бизнеса организации с допустимыми рисками. Осознание необходимости обеспечения ИБ является внутренним побудительным мотивом руководства банка постоянно инициировать, поддерживать, анализировать и контролировать систему обеспечения информационной безопасности в
отличие от ситуации, когда решение о выполнении указанных видов деятельности либо принимается в результате возникших проблем, либо определяется внешними факторами.

Осознание необходимости обеспечения ИБ банка выражается посредством выполнения в рамках системы менеджмента информационной безопасности деятельности со стороны руководства, направленной на инициирование, поддержание, анализ и контроль системы обеспечения информационной безопасности банка.

Модели угроз и нарушителей должны быть основным инструментом при развертывании, поддержании и совершенствовании системы обеспечения информационной безопасности банка.

Деятельность организации БС РФ поддерживается входящей в её состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

  • физического (линии связи, аппаратные средства и пр.);
  • сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы и пр.);
  • сетевых приложений и сервисов;
  • операционных систем (ОС);
  • систем управления базами данных (СУБД);
  • банковских технологических процессов и приложений;
  • бизнес-процессов организации.

На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.

Главной целью злоумышленника является получение контроля над информационными активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например путём раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через иные уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективно по соотношению «затраты / получаемый результат».

Другой целью злоумышленника может являться нарушение функционирования бизнес-процессов кредитной организации, например, посредством распространения вредоносных программ или нарушения правил эксплуатации ЭВМ или их сетей.

Организация должна определить конкретные объекты среды информационных активов на
каждом из уровней информационной инфраструктуры.

Основными источниками угроз ИБ являются:

  • неблагоприятные события природного, техногенного и социального характера;
  • террористы и криминальные элементы;
  • зависимость от поставщиков/провайдеров/партнеров/клиентов;
  • сбои, отказы, разрушения/повреждения программных и технических средств;
  • работники, реализующие угрозы ИБ с использованием легально предоставленных им прав и полномочий (внутренние нарушители ИБ);
  • работники, реализующие угрозы ИБ вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работниками, но осуществляющие попытки НСД и НРД (внешние нарушители ИБ);
  • несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.

Наиболее актуальные источники угроз на физическом уровне, уровне сетевого оборудования и уровне сетевых приложений:

  • внешние нарушители ИБ: лица, разрабатывающие/распространяющие вирусы и другие вредоносные программные коды; лица, организующие DoS, DDoS и иные виды атак;
  • лица, осуществляющие попытки НСД и НРД;
  • внутренние нарушители ИБ: персонал, имеющий права доступа к аппаратному оборудованию, в
том числе сетевому, администраторы серверов, сетевых приложений и т.п.;
  • комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующие совместно и (или) согласованно;
  • сбои, отказы, разрушения/повреждения программных и технических средств.

Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:

  • внутренние нарушители ИБ: администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.;
  • комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующие в сговоре.

Наиболее актуальные источники угроз на уровне бизнес-процессов:

  • внутренние нарушители ИБ: авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.;
  • комбинированные источники угроз: внешние нарушители ИБ (например, конкуренты) и внутренние, действующие в сговоре;
  • несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.

Источники угроз используют для реализации угрозы уязвимости ИБ.

Хорошей практикой в организациях банковской системы является разработка моделей угроз и нарушителей ИБ для организации в целом, а
также при необходимости для её отдельных банковских процессов.

Степень детализации параметров моделей угроз и нарушителей ИБ может быть различной и определяется реальными потребностями для каждой организации в отдельности.

В банках рекомендуется устанавливать процедуры регулярного анализа необходимости пересмотра модели угроз и нарушителей ИБ.

3.2 Общие требования к системе защиты информации в банковской сфере

Выполнение требований к системе информационной безопасности банка является основой для обеспечения должного уровня ИБ.

Требования к системе информационной безопасности должны быть сформированы в
том числе для следующих областей:

  • назначения и распределения ролей и обеспечения доверия к персоналу;
  • обеспечения ИБ на стадиях жизненного цикла автоматизированной банковской системы;
  • защиты от НСД и НРД, управления доступом и регистрацией всех действий в автоматизированной банковской системе, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;
  • антивирусной защиты;
  • использования ресурсов сети Интернет;
  • использования систем криптографической защиты информации;
  • защиты банковских платёжных и информационных технологических процессов, в
том числе банковских технологических процессов, в рамках которых обрабатываются персональные данные.

В конкретной организации требования к системе информационной безопасности могут формироваться и для других областей и направлений деятельности.

Тщательное удаление информации и очищение памяти после работы приложений (этому подвержены также диски, дискеты, USB-накопители, мобильные жесткие диски).
Функция регистрации и учета предназначена для фиксирования обращений к защищаемым ресурсам, что позволяет позже расследовать инциденты, связанные с утечкой или утратой информации ограниченного доступа.
И еще исключительно важная задача СЗИ от НСД – это контроль и обеспечение целостности системы. В случае если программные или аппаратные компоненты системы подвергались модификации, правильность выполнения основной функции системы может быть поставлена под сомнение, поэтому необходимо, чтобы перед стартом компоненты системы сравнивались с эталоном и, в случае обнаружения расхождений, пользователь оповещается о несанкционированной модификации системы и дальнейшая работа системы блокировалась.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах.

При распределении прав доступа работников и клиентов к информационным активам банка следует руководствоваться принципами:

  • «знать своего клиента»;
  • «знать своего служащего»;
  • «необходимо знать», а также рекомендуется использовать принцип «двойное управление».

Формирование ролей должно осуществляться на основании существующих бизнес-процессов и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности. Формирование ролей не должно выполняться по принципу фиксации фактически сложившихся прав и полномочий персонала.

Для обеспечения ИБ и контроля за качеством обеспечения ИБ должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство организации должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ.

ИБ автоматизированной банковской системы должна обеспечиваться на всех стадиях жизненного цикла автоматизированной банковской системы, автоматизирующих банковские технологические процессы, с
учётом интересов всех сторон, вовлеченных в процессы жизненного цикла (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений).

При принятии руководством решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а
также иных документов, связанных с обеспечением ИБ при использовании сети Интернет, необходимо учитывать следующие положения:

  • сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;
  • существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, доступные из сети Интернет;
  • гарантии по обеспечению ИБ при использовании сети Интернет никакой организацией не предоставляются;
  • существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет.

В рамках банковских платёжных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:

  • банковский платёжный технологический процесс;
  • платёжную информацию;
  • информацию, отнесённую к защищаемой информации в соответствии с пунктом Положения Банка России от 09.06.2012 №382-П.

3.3 Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу

В банке должны быть выделены роли работников. Формирование и назначение ролей работников следует осуществлять с учётом соблюдения принципа предоставления минимальных прав и полномочий, необходимых для выполнения служебных обязанностей.

Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть зафиксирована в должностных инструкциях или организационно-распорядительных документах банка.

С целью предупреждения возникновения и снижения рисков нарушения ИБ не допускается совмещения в рамках одной роли следующих функций: разработки и сопровождения автоматизированной банковской системы, её разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в автоматизированной банковской системе и контроля их выполнения.

В организации должны быть определены, выполняться и регистрироваться процедуры контроля деятельности работников, обладающих полномочиями, позволяющими получить контроль над
защищаемым информационным активом организации.

В банке должны быть определены, выполняться и регистрироваться процедуры приема на работу, влияющую на обеспечение ИБ, включающие:

  • проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
  • проверку в части профессиональных навыков и оценку профессиональной пригодности.

Указанные процедуры должны предусматривать фиксацию результатов проводимых проверок.

Рекомендуется определить, выполнять и регистрировать с фиксацией результатов процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки — при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.

Все работники организации должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.

Смотрите также файлы