Файл: Система защиты информации в банковских системах.pdf

ВВЕДЕНИЕ

В условиях развития финансовых технологий и усиливающейся экономической нестабильности всё чаще встаёт вопрос о безопасности банка. Банковская система выступает неотъемлемой составляющей экономики и является необходимым условием национальной безопасности. Главная цель обеспечения банковской безопасности заключается, прежде всего, в обеспечении стабильного и эффективного функционирования кредитных организаций.

Система защиты информации в банковских системах представляет собой совокупность информационно-технологических и технических средств, обеспечивающих информационную поддержку методического и организационного обеспечения деятельности участников. Одним из принципов проектирования информационной системы является обеспечение безопасности банков в соответствии с законодательством Российской Федерации.

Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.

Автоматизация бизнес-процессов в банковской сфере вышла за рамки применения стандартных, привычных для банков решений, как например АБС или ДБО – систем для автоматизации банковских операций или дистанционного обслуживания клиентов. Информационным технологиям доверяют все больше задач по оптимизации нетипичных процессов с применением новых математических моделей и алгоритмов – это и автоматизация управления различными видами рисков, претензионно-исковой работы, решения для борьбы с мошенничествами и т.п.

При реализации стратегии цифровой трансформации высокотехнологичный банк становится гораздо более уязвимым к киберугрозам.

В настоящее время банковский сектор находится под пристальным вниманием ЦБ в связи с участившимися кибератаками, объектами которых становятся не только клиенты банков, но и сами банки. В связи с этим Банк России разрабатывает требования к кибербезопасности (например, 382-П или 552-П) и настаивает на их выполнении. ЦБ организует участие информационного обмена банков с ФинЦЕРТ для коллективной борьбы с киберугрозами.

Финансовый сектор является законодателем моды в информационной безопасности, ориентиром для всего остального рынка. Банки - это самый лакомый кусок для киберпреступников различной степени подготовки и возможность быстро монетизировать свои навыки и умения.

Объект исследования курсовой работы является обеспечение безопасности ИС в банковской системе.

Предмет исследования - системы защиты информации в банковской системе.

Цель курсовой работы - исследование системы защиты информации в банковской системе на примере АО «ВУЗ-банк».

Задачи курсовой работы:

1. Рассмотреть понятие системы защиты информации

2. Выявить особенности системы защиты информации в банковских системах

3. Провести анализ системы защиты информации в банковских системах

Основными методами исследования послужили монографические, методологические, статистические методы.

Информационной базой исследования стали законодательные акты и нормативно - правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения об использовании служебной информации.

Структура курсовой работы состоит из введения, двух глав, заключения, списка использованных источников и приложения.

1. ТЕОРЕТИКО-МЕТОДИЧЕСКИЕ ОСНОВЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ

1.1. Понятие системы защиты информации

Защита информации - это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:^[1] 

• информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
• и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

• конфиденциальность - представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
• целостность - представляет собой избежание несанкционированных изменений информации;
• доступность - представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

• апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
• подотчетность – официальная регистрация данных;
• достоверность - представляет собой свойство соответствия предусмотренным результатам или поведению;
• аутентичность или подлинность - представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:^[2]

• Научная, нормативно-правовая и законодательная база.
• Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
• Режимные и организационно-технические методы защиты информации (политика безопасности информации).
• Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

• выявить требования к защите информации, специфические для этого объекта защиты;
• принять во внимание требования международного и национального Законодательства;
• использовать существующие практики (методологии, стандарты) построения подобных систем;
• определить подразделения, которые ответственны за реализацию и поддержку системы;
• распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
• на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
• исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
• реализовать систему управления (менеджмента) безопасности информации (СМИБ);
• применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.^[3]

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1. Федеральные законодательные акты:

• Международные договоры России.
• Конституция России.
• Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
• Указы Президента России.
• Правительственные постановления Российской Федерации.
• Правовые нормативные акты федеральных ведомств и министерств.
• Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить: 

• Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности. 

• Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:^[4] 

• Комитет Госдумы по безопасности.
• Совет безопасности России.
• ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
• ФСБ (Федеральная служба безопасности) России.
• ФСО (Федеральная служба охраны) РФ.
• СВР (Служба внешней разведки) России.
• Минобороны (Министерство обороны) РФ.
• МВД (Министерство внутренних дел) России.
• Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:^[5]

• организацию режима, охраны, работу с документами, с кадрами;
• применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

• Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
• Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
• Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
• Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
• Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
• Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

1.2. Особенности системы защиты информации в банковских системах

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.^[6]

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.