Файл: 1 Анализ предметной области 7 1 Краткая характеристика предприятия 7.docx
Добавлен: 07.11.2023
Просмотров: 301
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1.1 Краткая характеристика предприятия
1.2 Особенности системы защиты информации в банковских системах
1.3 Анализ состояния информационной безопасности
2 Разработка комплекса мер по обеспечению защиты информации
2.2 Обоснование методов и средств обеспечения информационной безопасности
2.3 Определение мест размещения средств обеспечения информационной безопасности
2.4 Комплекс программно–аппаратных средств обеспечения информационной безопасности
-
взaимoдeйcтвиe и кoopдинaция. Oзнaчaeт ocущecтвлeниe мep oбecпeчeния инфopмaциoннoй бeзoпacнocти нa ocнoвe чeткoй взaимocвязи cooтвeтcтвующих пoдpaздeлeний и cлужб, cтopoнних cпeциaлизиpoвaнных opгaнизaций в этoй oблacти, кoopдинaции их уcилий для дocтижeния пocтaвлeнных цeлeй, a тaкжe coтpудничecтвa c зaинтepecoвaнными oбъeдинeниями и взaимoдeйcтвия c opгaнaми гocудapcтвeннoгo упpaвлeния и пpaвooхpaнитeльными opгaнaми. -
сoвepшeнcтвoвaниe. Пpeдуcмaтpивaeт coвepшeнcтвoвaниe мep и cpeдcтв зaщиты нa ocнoвe coбcтвeннoгo oпытa, пoявлeния нoвых тeхничecких cpeдcтв c учeтoм измeнeний в мeтoдaх и cpeдcтвaх paзвeдки и пpoмышлeннoгo шпиoнaжa, нopмaтивнo–тeхничecких тpeбoвaний, дocтигнутoгo oтeчecтвeннoгo и зapубeжнoгo oпытa. -
цeнтpaлизaция упpaвлeния. Пpeдпoлaгaeт caмocтoятeльнoe функциoниpoвaниe cиcтeмы инфopмaциoннoй бeзoпacнocти пo eдиным пpaвoвым, opгaнизaциoнным, функциoнaльным и мeтoдoлoгичecким пpинципaм и цeнтpaлизoвaнным упpaвлeниeм дeятeльнocтью cиcтeмы бeзoпacнocти разнooбpaзиe вapиaнтoв пocтpoeния кoмплeкcнoй cиcтeмы зaщиты инфopмaции oгpoмнoe кoличecтвo, нo вoт нa зaкoннoм ли ocнoвaнии oни cocтaвлeны и являeтcя главным в пpaвoвoм oтнoшeнии кoмплeкcнoй cиcтeмы зaщиты инфopмaции.
1.3 Анализ состояния информационной безопасности
Стратегии информационной защиты для сектора банков довольно сильно отличаются от стратегий компаний и организаций других секторов бизнеса. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.
Информационная безопасность банка должна учитывать следующие специфические факторы:
-
хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги.
На основе информации, содержащейся в банковских компьютерах, производятся выплаты, открываются счета, выдаются кредиты, а также переводятся большие суммы денег. Поэтому ясно, что несанкционированное манипулирование с подобной информацией может повлечь серьезные убытки для клиентов банка. Данная особенность резко расширяет число преступников, совершающих покушения именно на банки.
-
информация в банковских системах затрагивает интересы большого количества людей и организаций – клиентов банка.
Как правило, клиенты предоставляют банку
конфиденциальную информацию и потому ожидают, что банк несет ответственность за то, что данная информация находится в строгой секретности. Если банк не выполняет это условие, он рискует своей репутацией со всеми вытекающими отсюда последствиями.
-
конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом.
Клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими денежными средствами. Однако такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
-
информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
Сбербанк использует современные системы информационной безопасности для обеспечения безопасного и полнофункционального обслуживания клиентов. В 2018 году применение искусственного интеллекта и аналитических измерений для определения мошеннических операций, при которых клиент добровольно передает информацию мошенникам, позволило хеджировать около 97% такого риска со стороны клиента. За 2018 год было пресечено более 300 тыс. попыток хищения средств физических и юридических лиц, предотвращен ущерб на сумму более 40 млрд руб.
Сбербанк уделяет особое внимание кибербезопасности. Банк научился успешно противодействовать киберпреступности с помощью интеллектуальной системы защиты клиентов. Проект Сбербанка «Фрод–мониторинг для удаленных каналов обслуживания физических лиц» стал бронзовым призером международного конкурса IPMA International Project Excellence Award 2018. В рамках масштабного проекта, который длился 15 месяцев, в Сбербанке была внедрена уникальная система фрод–мониторинга, созданная на основе искусственного интеллекта. Система в автоматическом режиме защищает клиентов от некорректных действий, вызванных недостаточным знанием правил кибербезопасности.
В 2018 году развитие системы противодействия кибермошенничеству продолжилось, чтобы обеспечить абсолютную защиту всех каналов обслуживания клиентов Сбербанка.
Обеспечение защиты персональных данных в Сбербанке осуществляется в рамках единой комплексной системы организационно–технических и правовых мер по защите конфиденциальной информации (коммерческая, банковская тайна, персональные данные), с учетом требований федерального законодательства (включая Федеральный закон № 152–ФЗ «О персональных данных» от 27.07.2006) и лучших мировых практик.
При обработке персональных данных банк принимает необходимые правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
В состав мер по обеспечению безопасности персональных данных входят:
-
обеспечение контролируемой зоны, в пределах которой осуществляется функционирование автоматизированных систем Сбербанка; -
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные; -
антивирусная защита; -
обнаружение и предотвращение вторжений; -
контроль и анализ защищенности персональных данных; -
обеспечение целостности автоматизированных систем Сбербанка и персональных данных; -
обеспечение доступности персональных данных; -
защита среды виртуализации; -
защита технических средств; -
защита автоматизированных систем, их средств, систем связи и передачи данных; -
выявление инцидентов, которые могут привести к сбоям или нарушению функционирования автоматизированных систем и (или) к возникновению угроз безопасности персональных данных, и реагирование на них.
В целях нейтрализации актуальных угроз безопасности персональных данных обеспечено применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
Доступ к обрабатываемым персональным данным предоставляется только тем работникам Сбербанка, которым он необходим в связи с исполнением ими своих трудовых обязанностей. Все лица, оформляемые на работу в Сбербанк, подписывают обязательства о неразглашении персональных данных и другой конфиденциальной информации, хранение обязательств осуществляется в личных делах работников.
В целях повышения осведомленности, знаний и навыков по вопросам обеспечения информационной безопасности проводится обучение работников в форме обязательного прохождения электронных дистанционных программ подготовки.
Также в Сбербанке организован внутренний контроль (аудит) соответствия обработки персональных данных 152–ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Сбербанка в отношении обработки персональных данных, локальным актам Сбербанка. Внутренний аудит осуществляется Службой внутреннего аудита Сбербанка в рамках аудиторских проверок.
Контроль обеспечения защиты персональных данных при их обработке в автоматизированных системах осуществляется подразделениями Службы кибербезопасности Сбербанка. В рамках реализации мер контроля защищенности информационной инфраструктуры применяются инструментальный контроль защищенности и тестирование на проникновение.
Политика безопасности Сбербанка осуществляется по нескольким элементам:
-
нормативно–правового элемент;
В сфере защиты информации ПАО «Сбербанк России» руководствуется следующими нормативно–правовыми актами:
-
федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24–ФЗ; -
закон Российской Федерации «О государственной тайне» (с изменениями от 27 марта 1996 года), принят Верховным Советом Российской Федерации 21.07.93, 5485–1; -
закон Российской Федерации «Об информации, информатизации и защите информации», принят Государственной думой 25.01.95; -
указ Президента Российской Федерации «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3.04.95, 334; -
постановление Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 35; -
постановление Правительства Российской Федерации «Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности» 870 от 4.09.95; -
указ Президента Российской Федерации «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9.01.96; -
закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных», принят Верховным Советом РФ 23.09.92, 3523–1; -
закон Российской Федерации «О правовой охране топологий интегральных микросхем», принят Верховным Советом РФ 23.09.92, 3526–1; -
указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» 188 от 6.03.97; -
указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» 1203 от 30.11.95; -
указ Президента Российской Федерации «О Межведомственной комиссии по защите государственной тайны» 1108 от 8.11.95; -
постановление Правительства Российской Федерации «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 года) 608 от 26.06.95; -
федеральный закон «О банках и банковской деятельности» от 25.06.1993 года.
На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ПАО «Сбербанк России»
Организационные меры инженерно–технической защиты информации Сбербанка включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации.
Регламентация предусматривает:
-
установку контролируемых границ и охранных зон; -
определение уровней защиты информации в зонах; -
регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее и т.д.); -
определение режимов работы технических устройств, в том числе сбора, обработки и хранения информации, которая требует защиты, на персональных электронно–вычислительных машинах, передачи документов.
Управление доступом к информации в Сбербанке включает следующие мероприятия:
-
идентификацию лиц и обращений; -
проверку полномочий лип и обращений; -
регистрацию обращений к информации, требующей защиты; -
реагирование на обращения к информации.
Идентификация пользователей, сотрудников, посетителей, обращений к каналам телекоммуникаций проводится с целью их надежного опознавания.
ПАО «Сбербанк России» использует следующие способы идентификации:
-
карточки или ключи; -
пароли и коды; -
в некоторых помещениях установлены биометрические идентификаторы (используются техники цифрового изображения лица в 3D или 2D, отпечатки пальцев и идентификация личности по радужной оболочке глаза).
С помощью биометрических систем безопасности Банк ограничивает или разрешает доступ:
-
для сотрудников – в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов; -
для клиента – к своей ячейке; -
для особо важных клиентов – в ряд специальных помещений.
При этом биометрия существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом, создает психологический барьер для потенциального злоумышленника, а также документально подтверждает факт прохода в охраняемые помещения каждой личности.