Файл: Система защиты информации в банковских системах (Общая характеристика средств защиты в банковской сфере).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 25.04.2023

Просмотров: 180

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Таким образом, организационная защита является основным элементом комплексной СЗИ и во многом от того, каким образом реализован организационный элемент, зависит безопасности организации.

Инженерно-технический элемент защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты можно условно разделить:

  1. физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (доступу) злоумышленников на объекты защиты (территорию, в здание и помещения) и материальными носителями. Например, заборы, стальные двери, кодовые замки, сейфы и т. д.;
  2. средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и др. технических средств управления;
  3. средства обеспечения охраны зданий и территорий (средства наблюдения, оповещения, сигнализации, информирования и идентификации);
  4. средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п);
  5. технические средства контроля, предотвращающие вынос пер-соналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.
  6. средства противопожарной охраны;
  7. средства защиты помещений от визуальных способов техни-ческой разведки.

Программно-аппаратный элемент защиты информации банковского отделения предназначен для защиты конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ЛВС и различных информационных системах. Аппаратные средства защиты информации представлены техническими устройствами, предназначенными для защиты информации от разглашения, утечки или несанкционированного доступа. Аппаратные средства могут быть:

  1. средствами выявления;

средствами защиты от несанкционированного доступа (идентификации технических средств, файлов и аутентификации пользователей; регистрации и контроля работы технических средств и пользователей; обслуживания режимов обработки информации ограниченного пользования; защиты операционных средств ЭВМ и программ пользователей; уничтожения информации в защитные устройства после использования);


  1. сигнализирующих нарушения использования ресурсов;
  2. вспомогательных программ защиты различного назначения.

2.2 Реализация политики безопасности в отделении банка

Практика последнего времени свидетельствует о том, что различные по масштабам, последствиям и значимости виды преступлений и правонарушений так или иначе связаны с конкретными действиями сотрудников коммерческих структур. В связи с этим в целях повышения экономической безопасности АКСБ банков уделяет большое внимание подбору и изучения кадров, проверке любой информации, указывающей на их сомнительное поведение и компрометирующие связи.

При этом в обязательном порядке проводить значительную разъяснительно-воспитательную работу, систематические инструктажи и учения по правилам и мерам безопасности, регулярные, но неожиданные тестирования различных категорий сотрудников по постоянно обновляемым программам. Банки в своих контрактах с сотрудниками четко очерчивают функциональные обязанности для всех категорий своих отделений на основе российского законодательства во внутренних приказах и распоряжениях определяет их ответственность за любые виды нарушений, связанных с разглашением или утечкой информации, составляющей коммерческую тайну.

Кроме того банки все шире вводят в своих служебных документах гриф «конфиденциально» и распространяют различного рода надбавки к окладам для соответствующих категорий своего персонала.

При отборе сотрудников важную роль занимают рекомендательные письма, научные методы проверки на профессиональную пригодность и различного рода тестирования, осуществляемые кадровыми подразделениями банка, сотрудниками службы безопасности и группами психологической поддержки. Составляются организационные схемы и чертежи, на которых графически изображается каждое рабочее место, прописываются должностные обязанности и определяются информационные потоки для отдельного исполнителя. При такой схеме управления и контроля предельно ясно, на каком участке (отдел, служба, управление) требуется специалист соответствующей квалификации и какой информацией он должен располагать для выполнения функций на своем рабочем месте. Внутренними распоряжениями также определяются требования к деловым и личным качествам сотрудников и обусловливаются режимы сохранения коммерческой тайны. Кроме того, для большей конкретизации этих процедур на каждое рабочее место составляется профессиограмма, т.е. перечень личностных качеств, которыми в идеале должен обладать потенциальный сотрудник. Содержательная сторона и глубина проработки профессиограмм могут быть различными. Это зависит в первую очередь от того, на какое рабочее место они составляются. Обязательными атрибутами подобных документов являются разделы, отражающие профессионально значимые качества (психологические характеристики, свойства личности, без которых невозможно выполнение основных функциональных обязанностей), а также противопоказания (личностные качества, которые делают невозможным зачисление кандидата на конкретную должность). В некоторых случаях необходимо не только указывать профессионально значимые качества, но и оценивать степень их выраженности, т.е. сформированности.


По схемам управления и профессиограммам Банк приступает к собеседованиям и применяет разнообразные процедуры отбора кандидатов на работу. Как правило, проблема отбора кадров встает перед руководителями банков в двух основных случаях: создание новых подразделений, замещение вакантных должностей. Для первого случая характерно изучение значительного числа кандидатур, для которых из набора имеющихся вакансий подбирается соответствующая должность. Во втором случае из ограниченного числа кандидатов отбирается тот, который по своим личным и профессиональным качествам в наибольшей степени соответствует требованиям профессиограммы данного рабочего места.

Проблема состоит в том, что даже весьма опытные работники кадровых подразделений не всегда могут правильно, достоверно и быстро оценить подлинное психическое состояние лиц, пришедших на собеседование. Этому способствуют повышенное волнение, склонность отдельных кандидатов к предвзятым оценкам характера деятельности некоторых коммерческих структур, но особенно широкое и зачастую бесконтрольное самолечение различных психосоматических расстройств с использованием в ряде случаев весьма сильных психотропных препаратов. В этой связи банки требуют от кандидатов предоставления справок о состоянии здоровья либо сами выдают направления в определенные поликлиники с рекомендацией прохождения полной диспансеризации (за счет кандидата).

    • Также представители банковских структур должны быть абсолютно уверены в том, что проводят тесты, собеседования и встречи именно с теми лицами, которые выступают в качестве кандидатов на работу. Это подразумевает тщательную проверку паспортных данных, иных документов, а также получение фотографий кандидатов без очков, контактных линз, парика, макияжа. В том случае, если результаты указанных проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые бы препятствовали приему на работу данного кандидата, с ним заключается трудовое соглашение, предусматривающей испытательный срок (1-3 месяца).

По мнению экспертов, даже каждый, взятый в отдельности из упомянутых методов проверки достаточно эффективен. В совокупности же достигается весьма высокая степень достоверности информации о профессиональной пригодности и надежности кандидата, его способностях к творческой работе на конкретном участке.

Персонал оказывает существенное, а в большинстве случаев даже решающее влияние на информационную безопасность банка. В этой связи подбор кадров, их изучение, расстановка и квалифицированная работа при увольнениях в значительной степени повышают устойчивость банков к возможному стороннему негативному влиянию и агентурному проникновению противоправных элементов


Для реализации программного же элемента защиты информации в банковском отделении рассмотрим в качестве примера использование комплексной системы защиты информации «Панцирь-К».

Комплексная система защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003 – программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты, как автономных компьютеров, так и компьютеров в составе сети предприятия.

КСЗИ реализована программно. Одна и та же клиентская часть установлена на различные ОС семейства Windows (2000/XP/2003). Реализованные подходы к построению обеспечивают высокую надежность функционирования КСЗИ и независимость от установленных обновлений (path-ей) ОС и приложений – основные компоненты КСЗИ – системные драйверы протестированы с использованием соответствующих средств отладки производителя ОС. Все механизмы защиты реализованы собственными средствами, не использован ни один встроенный в ОС механизм защиты, многие из которых обладают серьезными архитектурными недостатками.

КСЗИ «Панцирь-К» собственными средствами реализует все требования, предъявляемые к защите конфиденциальной информации от несанкционированного доступа. КСЗИ сертифицирована ФСТЭК по 5 классу СВТ (сертификат №1144, ограничения по использованию в сертификате отсутствуют) и выполняет все требования к классу защищенности 1Г для АС.

    • комплексной системе защиты КСЗИ может быть отнесена, ввиду того, что она служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС Windows, т.е. позволяет решать задачи защиты информации в общем виде (что невозможно при использовании всевозможных средств контроля); КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве).

В части криптографической защиты конфиденциальности информации в КСЗИ реализована возможность шифрования данных (на жестком диске и на отчуждаемых накопителях, локальных и разделенных в сети), при этом обеспечивается шифрование «на лету» (прозрачно для пользователя) любого заданного администратором файлового объекта (диска, папки, файла). Реализованная ключевая политика позволяет защитить данные от раскрытия даже при хищении компьютера и при наличии ключа шифрования, позволяет осуществлять коллективный доступ к локальным и разделенным в сети зашифрованным объектам.


Для шифрования данных в КСЗИ интегрированы возможности использования сертифицированных криптопровайдеров «Signal-COM CSP» и «КриптоПро CSP 3.0 (3.6 для ОС Vista)» (соответствующих требованиям ФСБ РФ к шифрованию конфиденциальной информации по классам «КС1» и «КС2»). КСЗИ «Панцирь-К» предоставляет следующие возможности:

  1. Использование аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам (смарт-карта, Aladdin eToken, ruToken, iButton);
  2. Разграничения и аудит работы пользователей с локальными и сетевыми ресурсами (файловые ресурсы - FAT/NTFS/DFS/любые монтируемые ФС), ресурсы реестра ОС, сменные носители, принтеры, сервисы олицетворения, буфер обмена и т.д.);
  3. Разграничения и аудит работы программ (приложений) с локальными и сетевыми ресурсами;
  4. Разграничения и аудит работы пользователей с устройствами с использованием их серийных номеров (Flash-диски, CD/DVD, USB, WiFi, Bluetooth, IrDA, IEEE1394/ FireWire, PCMCIA, COM/LPT и т.д.) (Приложение Д);
  5. Разграничения и аудит работы пользователей и приложений с локальными и глобальными сетями (ЛВС, Internet/Intranet) – персональный Firewall;
  6. Шифрование данных «на лету» (3DES, AES, DES, ГОСТ 28147-89), включая сетевые ресурсы, скрытие, разграничение доступа, а также также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным;
  7. Контроль рабочего времени пользователя, в том числе, средствами компьютерного видео наблюдения.

ЗАКЛЮЧЕНИЕ

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

  1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д
  2. Она затрагивает интересы большого количества организаций и отдельных лиц.