Технологии и средства обеспечения компьютерной безопасности

Оценка соответствия ИБ в виде аудита ИБ или самооценки ИБ проводится не реже одного раза в два года. При осуществлении переводов денежных средств используются способы защиты для следующей информации:об остатках денежных средств на банковских счетах;об остатках электронных денежных средств;заключающейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; о платежных клиринговых позициях;необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения и т.д.;ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств[17].Для оценки соответствия используется следующая система оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств:требование к обеспечению защиты информации при исполнении переводов денежных средств полностью не выполняется - оценке присваивается числовое значение 0;требование к обеспечению защиты информации при исполнении переводов денежных средств выполняется частично - оценке присваивается числовое значение 0.25, 0.5 или 0.75;требование к обеспечению защиты информации при исполнении переводов денежных средств выполняется полностью - оценке присваивается числовое значение 1;выполнение требования к обеспечению защиты информации при исполнении переводов денежных средств не является обязанностью субъекта платежной системы - оценке присваивается символьное значение "н/о" (нет оценки)[17].2.5 Защита информации в автоматизированных системах и сетях Объектом обеспечения безопасности являются сведения, обрабатываемые в ПО средствах.Порядок организации и проведения работ по обеспечению информационной безопасности. Отдел внутренней и информационной безопасности при поддержке с Управлением инфотехнологий, осуществляет проведение работ по обеспечению информационной безопасности. Выработка сведений на основе рекомендаций, направлены на реализацию улучшений параметров применяемых путей защиты.ОВиИБ СБ наделен следующими полномочиями: организация в управление всеми планами по обеспечению ИБ Банка; изменение политики в ИБ Банка; редактирование существующих и создание новейших нормативных методик;определение требований к средствам обеспечения безопасности сведений, а также сортировка ПО средств;обеспечение контроля над пользователями с привилегированными полномочиями;мониторинг событий ИБ;проведение проверок осуществивших противоправных действий, к примеру, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка; поддержка и совершенствование системы управления Банка, участие в выполнении требований в обеспечении защиты информации, которые используются при восстановлении автоматизированных банковских в связи поломок и отказов;обеспечение доступа к мониторингу ресурсов Банка;доступ к компьютерам сотрудников Банка в любое время функционирования Банка. Основным компонентом защиты информации является «План защиты и план обеспечения непрерывной работы и восстановления систем», представляющий свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых в Банке. В план включаются следующие этапы работ: Оценка существующего программно-аппаратного обеспечения; Приобретение дополнительных программно-технических средств; Монтаж и наладка систем безопасности; Тестирование системы безопасности, проверка эффективности средств защиты; Обучение пользователей и персонала, обслуживающего систему. Законом "Об информации, информационных технологиях и о защите информации" вводится обязательное применение сертифицированных отечественных программно-аппаратных средств защиты информации. Поставщики средств должны иметь необходимые лицензии на распространение продукции и/или её обслуживание, а также иные лицензии в соответствии с законодательством РФ. Целью обеспечения информационной безопасности в АБС является ее защита и защита отдельных компонентов от действия факторов риска, а также минимизация воздействий от них. Информационная безопасность будет достигаться следующими мерами: - предотвращения кризисных ситуаций, которые способны нанести ущерб информации, программному обеспечению и аппаратным средствам, а также персоналу; - сокращение ущерба до минимума и быстрого восстановления ПО и аппаратных средств, информации, которые пострадали в результате кризисных ситуаций, а также организация служебной проверки чтобы выявить причины и принять соответствующие меры. Информационная безопасность осуществляется, используя средства защиты и управления защитой, контроля и регистрации, обеспечивает безотказную работу и восстановление систем и сетей. При реализации технических мер используются нижеперечисленные средства защитыавтоматизированных систем: 1. Средства контроля доступа и назначения полномочий: система контролем доступа в помещении; средства, позволяющие выполнять идентификацию и аутентификацию при доступе к подсистемам программно-технических средств коллективного пользования (ПТС КП); средства, которые контролируют доступ к серверам; средства доступа к сетям передачи данных; средства защиты на уровне рабочей станции.2.Средства криптографической защиты информации (СКЗИ), которые используются для связи с внешними платежными и торговыми системами или для связи с клиентами. 3. Средства защиты от утечки информации по каналам электромагнитного излучения с применением введенных технических устройств.Описанные средства целесообразно применять, учитывая следующие базовые принципы: - любой пользователь обязан иметь минимум полномочий, которые необходимы и достаточны чтобы решать свои задачи. Использование этого принципа сводит к минимуму возможность НСД и делает проще проведение служебной проверки для выявления нарушений и фактов проникновения; - все элементы системы Банка разделяются на «контуры защиты». Защита создастся внутри контура и между ними. Используя этот принцип информация назначенной категории сосредоточена внутри контура, а вход и выход за пределы контура контролируются.Идентификация (определение личности) и аутентификация (подтверждение личности) пользователей, применяемые в Банке в виде парольной защиты, являются нужным элементом обеспечения информационной безопасности.В подразделениях Банка последовательность создания, смены и прекращения действия паролей регламентируется внутренними нормативными документами. Для этого требуется, чтобы использовалась обязательная парольная защита в качестве базовой с функцией предотвращения перехвата пароля. Механизм аутентификации используется при работе с приложениями.Если необходим доступ к каким-либо узлам аппаратуры, которая обрабатывает конфиденциальную информацию, то необходимо применять усиленную парольную защиту в виде специальных программно-аппаратных средств. Управление средствами идентификации и аутентификации должно осуществляться администраторами.Совокупность локальных сетей Банка и сети опорной (провайдеров телекоммуникационных услуг) образуют телекоммуникационная сеть Банка.К данной сети предъявляются требования по защите. К данным требованиям относятся следующие: обеспечение конфиденциальности передаваемой информации (криптозащита и предотвращение прослушивания локального трафика); целостность конфигурации и трафика сети; доступность ресурсов сети; контроль доступа для предотвращения НСД извне сети; контроль доступа и управления коммуникационным оборудованием локальной сети.Точка входа в сеть Internet является одним из самых уязвимых мест любой системы, поэтому необходимо внедрять меры для защиты внутренней сети. К каким мерам относятся: - взаимодействие с сетью Интернет следует осуществлять через специальный аппаратный шлюз; - передача конфиденциальной информации должна осуществляться с применением сертифицированных средств криптозащиты если используется для передачи информации сеть Интернет; - доступ сотрудников Банка к сети Интернет строго регламентирован внутренними нормативными документами по применению сети Internet.При отказах аппаратных средствдля обеспечения восстановления работоспособности системыприменяется резервирование аппаратных ресурсов. Существенным критерием применения резервных ресурсов проявляется критичность по отношению к жизнедеятельности Банка и экономическая целесообразность.Серверы, которые используются для работы систем и каналов связи являются наиболее уязвимыми элементами системы. По этой причине разумно использовать отказоустойчивые серверы. Данные серверы конструктивно резервируются и происходит дублирование наиболее критичных элементов.Второй комплект оборудования, так называемый «холодный резерв» используется для наиболее значимых систем.Резервирование каналов связи и коммуникационного оборудования производят от разных провайдеров (поставщиков телекоммуникационных услуг). Эта мера необходима, если обмен данными для обеспечения функционирования систем, происходит по внешним сетям.Надежность средств защиты, контроля и управления, которые обеспечивают информационную безопасность, устанавливается на основе технических и эксплуатационных характеристик средств, которые внесены в документацию и подтверждены тестированием. Если кризисные ситуации не предусмотрены «Планом защиты и планом обеспечения непрерывной работы и восстановления систем», то они считаются случайными и отвечают допустимому уровню риска. Кризисные ситуации, которые возникают в результате несоответствия технической документации поставленному в Банк продукту (оборудованию, программному обеспечению), анализируются как случайные угрозы и ответственность за них несет разработчик. ЗАКЛЮЧЕНИЕЗащищенность информационных ресурсов банка достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) Банка. При разработке политики безопасности главной целью необходимо ставить обеспечение стабильной работы Банка и защиту информационных ресурсов, которые принадлежат Банку, его акционерам, инвесторам и клиентам от ошибочных и обращенных противоправных посягательств, утечки, утраты, искажений и уничтожения сведений, подлежащих охране.Также необходимо повышать доверие к Банку, приумножать стабильность функционирования Банка, формировать целостное представление об информационной безопасности и взаимосвязи ее с остальными элементами системы безопасности Банка. Определить пути реализации мероприятий, которые будут обеспечивать должный уровень информационной безопасности, а также меры по защите от действительных угроз информационной безопасности. Нужно сформулировать задачи, которые будут решаться с внедрением политики безопасности. Обеспечить конституционные права граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Спрогнозировать, своевременно выявить и устранить угрозы объектам информационной безопасности на основе правовых, организационных технических мер и средств обеспечения защиты.Минимизировать ущерб и восстановление информации, программных и аппаратных средств, которые пострадали по причине кризисных ситуаций, а также выявить причины возникновения таких ситуаций и принять соответствующие меры по их предотвращению.Повысить эффективность мероприятий по обеспечению и поддержанию информационной безопасности.В первой главе дипломной работы даны основные понятия политики безопасности, выделены требования, которые необходимо учитывать при разработке и внедрении политики безопасности на предприятии, в частности в Банке. Рассмотрены два вида политики безопасности – дискреционная и мандатная, выявлены их достоинства и недостатки. В параграфе 1.4 выделены четыре основных стадии жизненного цикла политики информационной безопасности, а также доказано, что ответственность за внедрение и соблюдение Политики ИБ лучше всего возлагать на исполнительную дирекцию организации.Во второй главе дипломной работы выявлены угрозы и объекты информационной безопасности банка. Приведен порядок проведения работ по обеспечению информационной безопасности. Осуществлена проверка и оценка информационной безопасности банка и предложена защита информации автоматизированной системы и сети Банка.Цель Политики безопасности Банка обеспечение информационной безопасности, т.е. создание и постоянное соблюдение в Банке условий, при которых риски, связанные с нарушением безопасности информационных активов Банка, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска. Безопасность информационных активов Банка обеспечивается по каждому из следующих аспектов: доступность, целостность, конфиденциальность.Таким образом, все задачи дипломной работы решены.СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВА.М. Методы и средства защиты компьютерной информации. - http://www.ivt-training.ru/index.php/ru/3-ob-ekt-i-predmet-zashchity-informatsiiБабаш, А.В. Информационная безопасность: Лабораторный практикум / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2019. - 432 c.Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации: Учеб.пособие. – 3-е изд., перераб. и доп. – М.: РИОР:ИНФРА-М, 2017. – 322 с.Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.Бузов Г.А. Защита информации ограниченного доступа от утечки по техническим каналам. – М.: Горячая линия – Телеком, 2017. – 516 с., ил.Глинская, Е.В. Информационная безопасность конструкций ЭВМ и систем: учебное пособие / Е.В. Глинская, Н.В. Чичварин. - М.: Инфра-М, 2018. - 160 c. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c.Громов Ю.Ю., Драчев В.О., Иванова О.Г., Шахов Н.Г. Информационная безопасность и защита информации: учебное пособие / Ю.Ю.Громов, В.О.Драчев, О.Г.Иванова,Н.Г.Шахов. – 2-е изд., перераб. и доп. – Старый Оскол: ТНТ, 2016. – 384 сИщейнов В.Я., Мецатунян М.В. Основные положения информационной информации: учебное пособие/В.Я.Ищейнов, М.В.Мецатунян. – М.: ФОРУМ: ИНФРА-М, 2015.-208с.Ковалев, А.А. Военная безопасность России и ее информационная политика в эпоху цивилизационных конфликтов: Монография / А.А. Ковалев, В.А. Шамахов. - М.: Риор, 2018. - 32 c.Кузнецова, А.В. Искусственный интеллект и информационная безопасность общества / А.В. Кузнецова, С.И. Самыгин, М.В. Радионов. - М.: Русайнс, 2017. - 64 c.Основы управления информационной безопасностью / А.П. Курило [и др.]; Горячая линия - Телеком 2016Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2018. - 88 c.Петренко С.А. Разработка политик информационной безопасности. - https://vk.com/doc223955124_489902078?hash=b2339c096c62d35f88&dl=b27c2d0c39f52a5d42 Положение от 9 июня 2012 года N 382-П требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств (с изменениями на 7 мая 2018 года) [Электронный ресурс]: − Режим доступа:http://docs.cntd.ru/document/902352532. Дата обращения 20.06.2019.Федеральный Закон № 152-ФЗ «О персональных данных»Федеральный закон № 24-ФЗ «Об информации, информатизации и защите информации»Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2014. - 702 c.Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: Форум, 2018. - 256 c.