Курсовая работа - Исследование процессов защиты информации на предприятии - файл n1.doc

Курсовая работа - Исследование процессов защиты информации на предприятии
скачать (297.5 kb.)
Доступные файлы (1):
n1.doc298kb.14.09.2012 16:33скачать

n1.doc

  1   2   3
Оглавление
Введение……………………………………………………………..….4

1.Теоретические аспекты процессов защиты информации …..........7

1.1Описание информационных потоков организации…………...7

1.2 Анализ возможных угроз.......................................................11

1.2.1 Антропогенные источники угроз………………………12

1.2.2 Техногенные источники угроз………………………….14

1.2.3 Стихийные источники угроз…………………………….15

1.2.4 Внутренние источники угроз……………………………17

1.2.5Последствия воздействия угроз и виды угрожающих воздействий………………………………………………..20

1.3 Построение модели нарушителя ….…………………………...26

2. Исследование процессов защиты информации в АКСБ ОАО «Сбербанк России»…………………………………………………….32

    1. Разработка политики безопасности Банка………………………32

2.1.1 Нормативно-правовой элемент защиты информации АКСБ ОАО «Сбербанк России»…………………………………....34

2.1.2 Организационный элемент защиты информации в АКСБ ОАО «Сбербанк России»……………………………………37

2.1.3 Инженерно-технический элемент защиты информации в АКСБ ОАО «Сбербанк России»…………………………….38

2.1.4 Программно-аппаратный элемент защиты информации в АКСБ ОАО «Сбербанк России»…………………………….39

    1. Реализация политики безопасности в АКСБ ОАО «Сбербанк России»……………………………………………………………..41

      1. Реализация нормативно-правового элемента защиты информации в АКСБ ОАО «Сбербанк России»…………….41

      2. Реализация организационного элемента защиты информации в АКСБ ОАО «Сбербанк России»…………….42

2.2.3 Реализация инженерно-технического элемента защиты информации в АКСБ ОАО «Сбербанк России»……………51

2.2.4 Реализация программного элемента защиты информации в АКСБ ОАО «Сбербанк России»…………………………….58

    1. Оценка эффективной политики безопасности в АКСБ ОАО «Сбербанк России»………………………………………………..62

Заключение………………………………………………………………68

Библиографический список…………………………………………….71

Приложение А…………………………………………………………...73

Приложение Б……………………………………………………………75

Приложение В……………………………………………………………76

Приложение Г……………………………………………………………..77

Приложение Д……………………………………………………………..78

Введение

Уже в начале 90-х годов кредитные организации начали понимать, что банковский бизнес малоэффективен и достаточно рискован без решения задач безопасности. Любые банковские процессы находятся в прямой зависимости от того, как работает информационная инфраструктура банка, то есть вычислительные комплексы, программные и аппаратные средства, а также персонал, их использующий. Если все это начинает давать сбои, например за счет заражения компьютеров вирусами или атак хакеров, последствия для банков могут быть очень плачевными. Они могут утратить базы данных клиентов и другую необходимую информацию, собираемую годами, лишиться средств и потерять доверие клиентов.

Столкнувшись с подобными проблемами, финансисты начали искать способы их разрешения за счет снижения информационных рисков. В результате появились первые системы защиты, разработанные и созданные банками в буквальном смысле слова «на коленке», то есть второпях, на ходу и собственными усилиями. Однако уже к концу 90-х, осознав важность проблемы, кредитные организации стали постепенно заменять свои устаревшие системы защиты информации (СЗИ) на современные. Построение такой СЗИ включает в себя целый комплекс мероприятий - от аудита банка в области информационной безопасности до создания межфилиальных систем защиты данных.

В последние годы новые системы защиты информации в банковской системе нашей страны переживают бурное развитие. Несмотря на существующие недостатки российского законодательства, регулирующего деятельность банков, ситуация неуклонно меняется к лучшему. Сегодня все больше банков делает ставку на профессионализм своих сотрудников и новые технологии.

Трудно представить себе более благодатную почву для внедрения новых технологий защиты информации, чем банковская деятельность. В принципе почти все задачи, которые возникают в ходе работы банка достаточно легко поддаются автоматизации. Быстрая и бесперебойная обработка значительных потоков информации является одной из главных за­дач любой крупной финансовой организации. В соответствии с этим обладание средствами защиты информации, позволяющей защитить все возрастающие информационные потоки. Кроме того, именно банки обладают достаточными финансовыми возможностями для использования самой современной техники. Однако не следует считать, что средний банк готов тратить огромные суммы на системы защиты информации. Банк является прежде всего финансовой организацией, предназначенной для получения прибыли, поэтому затраты на модернизацию должны быть сопоставимы с предполагаемой пользой от ее проведения. В соответствии с общемировой практикой в среднем банке расходы на СЗИ составляют не менее 17% от общей сметы годовых расходов.

Целью курсовой работы является исследовать процессы защиты информации в Поволжском филиале АКСБ ОАО «Сбербанк России» и предложение путей улучшения способов защиты информации.

В курсовой работе были представлены следующие задачи:

В качестве объекта исследования выбран АКСБ ОАО «Сбербанк России» Поволжский филиал. Основным видом деятельности организации является оказание банковских услуг.

Объектом исследования являются защита информации в АКСБ ОАО «Сбербанк России».

Предметом исследования являются процессы и средства защиты информации в АКСБ ОАО «Сбербанк России».

Основными методами исследования послужили монографические, методологические, статистические методы.

Информационной базой исследования стали законодательные акты и нормативно- правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения об использовании служебной информации в АКСБ ОАО «Сбербанк России».


1. Теоретические аспекты процессов защиты информации.


    1. Описание информационных потоков организации.


Информационная безопасность играет в банковском секторе не просто важную, а поистине ключевую роль. С этим параметром напрямую связаны репутационные и финансовые риски, от него в конечном счете зависит судьба любого финансового бизнеса.

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).

Информационный поток – совокупность информации, минимально необходимая для осуществления работы банка.

Банковские информационные потоки можно разделить по типам информации(приложение А):

• Структурированные потоки, в которых выделяются поля, имеющие тип и размерность; к такого рода потокам относятся:

- платежные поручения;

- банковские выписки;

- обязательные формы отчетности.

• Неструктурированные потоки, в которых информационные единицы нельзя подразделить на отдельные поля заданного типа и размерности; к такого рода потокам относятся:

- стратегические планы работы;

- нормативные документы;

- текущая переписка;

• Смешанные потоки, т.е. такие, в которых часть информационной единицы имеет структуру, а часть не структурирована и должна храниться и обрабатываться как единое целое; к такого рода документам относятся:

- договора на обслуживание;

- кредитные договора;

- отчеты банка о деятельности.

В банке выделяются следующие целевые блоки информационных потоков, направленных для:

-подготовка и ведение базы нормативно-справочных документов;

- ведение базы данных прецедентов судебных процессов;

- юридическая экспертиза шаблонов договоров для блока.

В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, автоматизированная система безопасности прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных.
В общем случае, автоматизированная система безопасности банковской информационной системы должна строиться по иерархическому принципу.

    Автоматизированная система безопасности должна обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам:




    1. Анализ возможных угроз.

Угроза безопасности – потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба (защищаемому ресурсу) Банка.

Угрозы можно классифицировать по различным основаниям и измерять в количественных параметрах.

Возможны следующие типы угроз(приложение А):

Уязвимость – это присущие предприятию причины обусловленными особенностями хранения, использования, транспортировки, охраны и защиты ресурсов, приводящие к нарушению безопасности конкретного ресурса.

Атака – реализация угрозы.

Ущерб – невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. (материальный, физический, моральный).

Носителями угроз безопасности информации в банке являются источники угроз. Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники.

Деление источников на субъективные и объективные оправдано исходя из того, что субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами. А объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации банка (Приложение А).

А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

Все источники угроз безопасности информации можно разделить на три основные группы:

1.2.1 Антропогенные источники угроз.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты информации банка, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации банка.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации в банке АКСБ ОАО «Сбербанк России», имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

1) основной персонал (пользователи, программисты, разработчики);

2) представители службы защиты информации;

3) вспомогательный персонал (уборщики, охрана);

4) технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз.

1.2.2 Техногенные источники угроз.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Технические средства(приложение А), являющиеся источниками потенциальных угроз безопасности информации банка так же могут быть внешними:

1) средства связи;

2) сети инженерных коммуникации (водоснабжения, канализации);

3) некачественные технические средства обработки информации;

4) некачественные программные средства обработки информации;

5 )вспомогательные средства (охраны, сигнализации, телефонии);

6) другие технические средства, применяемые в учреждении.

1.2.3 Стихийные источники угроз.

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы:

1) пожары;

2) землетрясения;

3) наводнения;

4) ураганы;

5) различные непредвиденные обстоятельства;

6) необъяснимые явления;

7) другие форс-мажорные обстоятельства.

Человеческий фактор как антропогенный источник угроз:

Чаще всего к возникновению значительного ущерба приводят злонамеренные или ошибочные действия людей, а техногенные источники, как правило, выступают в качестве предпосылки.

Внешние источники угроз:

Хакеры и криминальные структуры.

Популярность такого источника угроз, как хакеры, к сожалению, активно поддерживается средствами массовой информации.

Важный мотив действий хакера - материальная выгода. Особенно часто совершаются попытки кражи номеров кредитных карт, либо конфиденциальной информации с последующим шантажом с целью вымогательства. Сюда же можно отнести случаи взлома финансовых систем или мошенничества.

Реальная квалификация большинства хакеров ниже, чем у профессиональных программистов. Иногда попытки злоупотреблений совершаются лицами с преступными наклонностями, совсем не обладающими специальными знаниями. Но даже если вас очень впечатлили навыки компьютерного преступника, не рекомендуеться принимать его на работу ввиду наличия деструктивных наклонностей. Взлом и построение информационных систем банка - далеко не одно и тоже, а "бомба" внутри организации гораздо опаснее, чем снаружи.

Практика показывает, что в большинстве случаев хакеры, представляющие реальную опасность, работают по заказу и под контролем организованных криминальных структур.

Недобросовестные партнёры и конкуренты:

В качестве источника информации недобросовестные партнёры и конкуренты используют Web-сайты, СМИ, материалы публичных выступлений. Для сбора информации в глобальной сети всё чаще привлекаются хакеры.

Но самым опасным для компании источником утечки конфиденциальной информации являются ее собственные сотрудники.

Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При соответствующей подготовке недоброжелатели могут эффективно использовать современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, использовать вредные привычки и скрытые потребности.

В первую очередь объектом воздействия становятся менеджеры и высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.

Особенно полезными для недобросовестных конкурентов могут оказаться уволенные сотрудники, а также сотрудники, получившие приглашение, в том числе мнимое, на работу. Находящиеся в штате работники также не всегда следуют интересам организации.

1.2.4 Внутренние источники угроз.

Менеджеры.

Как лица, обладающие большими организационными полномочиями, наибольшую потенциальную угрозу для информационных ресурсов банка представляют менеджеры. Например, к потерям могут привести распоряжения предоставить пользователю неоправданно высокие права, реализовать в информационной системе небезопасный, но удобный функционал. Иногда информационные угрозы возникают вследствие неудовлетворительного выполнения руководителями контролирующих функций. Известны случаи, когда продавалось оборудование, с дисков которого не удалялась конфиденциальная информация компании и партнёров.

Во избежание возникновения ущерба целесообразно обязать менеджеров согласовывать решение вопросов, связанных с информационными рисками, с руководителем службы информационной безопасности.

Сотрудники.

Значительной угрозой информационной безопасности компании является низкая квалификация персонала, недостаточная для корректной работы с корпоративной информационной системой банка. Особо опасными являются некомпетентные сотрудники, выдающие себя за грамотных пользователей, или считающие себя таковыми.

Во многих банках отсутствует контроль над установкой на рабочих станциях программного обеспечения. Не понимая возможных последствий, сотрудник может установить на своём рабочем месте заинтересовавшую его программу или "патч", существенно снизив эффективность усилий по обеспечению корпоративной сетевой безопасности. Подобная угроза возникает и в случае подключения находящейся в локальной сети рабочей станции к Интернет через модем или мобильный телефон, оснащённый функцией цифровой связи.

Конечно, не будет лишним ещё раз упомянуть об угрозах, исходящих от приклеенных к мониторам стикеров с паролями и практики обмена паролями между работниками, выполняющими сходные функции.

В ряде случаев проблемы безопасности связаны с тем, что легальные пользователи используют необходимую для работы информацию не по назначению. Причиной может быть злой умысел, халатность, непонимание последствий распространения доступных им сведений. Очевидно, что данная проблема неразрешима только технологическими мерами.

Наибольшую опасность представляют сотрудники, обиженные на организацию и её руководителей. Поэтому случаи возникновения явных и скрытых конфликтов, несоответствия сложившейся ситуации ожиданиям сотрудников, могут рассматриваться как потенциальные предпосылки нарушений информационной безопасности Банка. Особого внимания требуют связанные с такими ситуациями случаи увольнения. Как отмечалось выше, сотрудник, уволившийся из компании с чувством обиды, легко может стать источником информации для недоброжелателей.

IT-специалисты, администраторы и лица, выполняющие критичные операции.

Хочется обратить внимание на отбор кандидатов, которым предполагается доверить выполнение операций, требующих больших прав в информационной системе. Не меньшее значение, чем профессиональные навыки, имеют лояльность кандидата и способность сохранять приверженность интересам компании даже в сложных ситуациях. По этой причине лица, на вершине системы ценностей которых находится материальное вознаграждение, скорее всего, получат отказ. С особой осторожностью следует относиться к кандидатам, слишком часто меняющим работу, предоставившим недостоверные сведения, привлекавшимся к административной и уголовной ответственности, имевшим психические или невротические расстройства.

Традиционной проблемой, связанной с IT-сотрудниками, является контроль и оценка результатов деятельности. Немногие руководители способны воспринимать "птичий" язык и вникать в сущность их работы, в том числе в вопросы защиты данных. И немногие владеющие глубокими знаниями в IT, компетентны в вопросах управления.

Например, в IТ-подразделениях часто отсутствуют должностные инструкции и не проводятся аттестации. Иногда IТ-специалистов рассматривают как обслуживающий персонал, пытаются нагрузить дополнительной работой, не определённой должностной инструкцией. Это ухудшает выполнение прямых обязанностей, вызывает недовольство, отрицательно сказывается на лояльности, приводит к высокой текучке кадров. Наверняка многим известны случаи, когда увольняющийся администратор блокирует пароли сервера.

1.2.5 Последствия воздействия угроз и виды угрожающих воздействий.

Последствием воздействия угроз является нарушение безопасности системы банка. Рассмотрим эти последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты информационно-вычислительной системы банка.

Обстоятельство или событие, посредством которого субъект получил доступ к охраняемым данным (например, конфиденциальным), не имеющий на самом деле прав доступа к ним. Следующие угрожающие действия могут стать причиной несанкционированного вскрытия:

Обстоятельство или событие, которое может повлечь за собой получение полномочным субъектом искаженных данных, но воспринимаемых им как верные. Следующие угрожающие действия могут повлечь за собой обман:

Обстоятельство или событие, которое препятствует или прерывает корректное функционирование системных служб и реализацию необходимых действий. Следующие угрожающие действия могут вызвать разрушение:

Обстоятельство или событие, в результате которого управление службами системы банка и ее функционирование перешло к незаконному субъекту. Следующие угрожающие действия могут повлечь за собой "захват":

Анализ представленных угроз и последствий их воздействия показывает, что конечными их целями являются: информация о данных клиентах банка, циркулирующая в информационно-вычислительной сети или системе банка - чтение и искажение (разрушение) информации и/или нарушение процедур информационного обмена; работоспособность самой информационно-вычислительной сети или системы безопасности банка - чтение и искажение (разрушение) управляющей информации и/или нарушение процедур управления компонентами или системой безопасности банка.

    1. Построение модели нарушителя.

В настоящее время под патронажем Банка России разрабатывается Стандарт обеспечения информационной безопасности организаций банковской системы РФ. Одной из его ключевых позиций является постулат — наибольшую угрозу для банков несут не сторонние лица, а собственные сотрудники, имеющие доступ к информационным ресурсам. Для служб безопасности банковской системы это актуально вдвойне.

При разработке средств обеспечения информационной безопасности определяется модель потенциального нарушителя, введение которой используется для определения возможных каналов несанкционированного доступа к информации, обрабатываемой с помощью системы.(Приложение Б) В рамках выбора модели нарушителя определяются:

Уровень нарушителя определяется организационно-функциональной структурой системы в конкретном банке. Необходимо помнить, что программные и организационные меры защиты нельзя рассматривать по отдельности, они всегда дополняют друг друга.

Портрет потенциального НАРУШИТЕЛЯ безопасности информационного ресурса может быть представлен следующим образом: Нарушитель – это лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и использующее для этого различные возможности, методы и средства (приложение Б).

Уровни технической оснащенности нарушителя и его знаний о физических принципах работы систем охраны, установленных на объекте, определяют возможность и время, необходимое ему на преодоление средств инженерной защиты и обход сигнализационной техники.

Наиболее вероятными путями физического проникновения "нарушителя" в здание являются:

Рассматривают две группы способов реализации угроз (враждебных действий) - контактные, бесконтактные.

Способы проникновения на объект, в его здания и помещения могут быть самые различные, например:

Каждый тип нарушителей (неподготовленный, подготовленный, квалифицированный) будет осуществлять проникновение на объект по разному - менее или более грамотно используя различные условия, способствующие проникновению, как то:

Модель нарушителя информационной безопасности может быть дополнена некоторыми показателями, определяемыми особенностями человеческого характера. Сотрудники банка, участвующие в процессах движения информации, могут быть возможными нарушителями. Типы угроз компьютерной информации и возможные нарушители представлены в таблице(Приложение Б).

Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, имеет в своем распоряжении соответствующие технические средства. Он знает систему защиты информации на объекте или имеет возможность доступа к конкретным информационным ресурсам, сам выбирает время и место предполагаемого нарушения.

Угрозы персоналу.

Правовое положение работника на предприятии определяется положениями Конституции РФ, а также условиями контракта (трудового соглашения) и организационно-распорядительными документами, действующими АКСБ ОАО «Сбербанк России» , в т.ч. и в части обеспечения безопасности на своем участке работы. Работодатель обязан предпринять меры для защиты работника от возможных угроз его здоровью, жизни, интересам, а работник, в свою очередь – добросовестно выполнить обязательства, взятые на себя при оформлении контракта во время приема на работу.

Угрозы Персоналу (человеку) могут быть выражены явлениями и действиями такими как:

1)Стихийные бедствия;

2)Вредные условия труда; попытки внесения изменений в технологические процессы производства, с целью подготовки и совершения технологических аварий; техногенные аварии;

3) Психологический террор, угрозы, компромат, распространение ложной информации (то ли он украл, то ли у него украли), запугивание, шантаж, вымогательство;

4) Нападение, с целью завладения денежными средствами, ценностями, сведениями конфиденциального характера и документами;

5) Внесение опасных для здоровья изменений в окружающую среду (радиоактивное, химическое, бактериологическое заражение и т.п.);

8) Убийства, сопровождаемые насилием, издевательствами и пытками и другие.

Способы осуществления угроз персоналу разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.

Угрозы материальным ресурсам.

Ценным ресурсам предприятия с физической формой существования могут угрожать:

Способы осуществления угроз ценным ресурсам, существующим в физической форме, также разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.
2. Исследование процессов защиты информации в АКСБ ОАО «Сбербанк России».

    1. Разработка политики безопасности Банка.


Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями(приложение В).

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Для защиты информации в АКСБ ОАО «Сбербанк России» разработана СЗИ. Система защиты информации — рациональная совокупность на­правлений, методов, средств и мероприятий, снижающих уязви­мость информации и препятствующих несанкционированно доступу к информации, ее разглашению или утечке. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» также закрепляет понятие СЗИ как совокупности органов и/или исполнителей, используемых ими техники защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. В.И. Ярочкин дает следующее понятие СЗИ – «это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз».

«Направления обеспечения информационной безопасности – это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз». Выделяют следующие элементы СЗИ(приложение Г):



2.1.1 Нормативно-правовой элемент защиты информации АКСБ ОАО «Сбербанк России».

«Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

Режим защиты информации устанавливается:

В сфере защиты информации АКСБ ОАО «Сбербанк России» руководствуется следующими нормативно-правовыми актами:

На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в АКСБ ОАО «Сбербанк России».
  1   2   3


Учебный материал
© nashaucheba.ru
При копировании укажите ссылку.
обратиться к администрации