Информационная безопасность
На тему:
«Исследование нормативно-правовой базы информационной безопасности предприятия отделения Юго-Западного банка Сбербанка России №»
Структура
1 Краткие теоретические сведения о нормативно- правовой базе и классификации угроз информационной безопасности (не более 4-5 стр.)
2 Постановка задачи исследования в соответствии с индивидуальным заданием
3 Модель угроз ИБ на заданном предприятии
4 Сравнительный анализ отдельных вопросов защиты информации в зарубежных и отечественных документах (по индивидуальному заданию)
5 Разработка документов по обеспечению информационной безопасности на предприятии
6 Выводы по результатам исследований
1. Краткие теоретические сведения о нормативно- правовой базе и классификации угроз информационной безопасности
Информационная безопасность – это весьма важный вопрос для любой компании. В серьезных компаниях вопросами защиты информации и безопасности данных занимаются специально обученные люди — сисадмины (системные администраторы) или обишники (инженеры по обеспечению безопасности информации). От большинства простых пользователей они отличаются тем, что, даже разбуженные ночью или в пьяном угаре, как отче наш проговорят три принципа защиты информации на компьютере.
Принцип предотвращения подразумевает, что лучше избежать проблемы, чем заполучить ее, героически с ней сражаться и с блеском решить.
Принцип обнаружения сводится к тому, что, если предотвратить неприятность не удалось, своевременное ее обнаружение в большинстве случаев способно свести неприятности к минимуму. Если вы ненароком подцепили вирус (компьютерный, хотя для болезнетворных вирусов принцип также работает), то быстро начатое лечение способно пресечь разрушительные действия паразита.
Принцип восстановления гласит, что данные, которые могут быть утеряны, обязательно должны храниться в виде резервных копий. Что подойдет лично вам — дискетки, магнитооптика, CD-RW или “брелки” с flash-карточкой, — вам же и решать. Вариантов современная компьютерная индустрия предлагает множество. Даже методы форматирования жестких дисков развиваются согласно принципам восстановления и защиты информации.
Прошли те времена, когда хакерами были специалисты, детально знающие компьютерную технику и способные творить чудеса с программным кодом. Сейчас любой усидчивый, любознательный, но особо не обремененный моральными принципами подросток способен создать рядовому пользователю массу проблем. За примерами далеко ходить не надо, достаточно почитать “Новости интернета”. По нескольку раз в месяц разгораются скандалы или целые судебные разбирательства, связанные с молодыми людьми, запустившими новый почтовый червь, взломавшими сервер банка, компьютеры министерства обороны США... Как правило, такие хулиганы попадаются из-за собственной невнимательности или желания прославиться. При соблюдении мер предосторожности мошенников в сфере высоких технологий вычислить весьма трудно. В частности, именно поэтому преступлениями в сфере информационных технологий занимается Интерпол.
Злоумышленнику, для того чтобы получить доступ к конфиденциальной информации, порой не требуется даже специальных навыков и умений. Во многих случаях срабатывает человеческий фактор, например бумажка с написанным паролем на мониторе или под стеклом возле клавиатуры. Пароли, как правило, тоже оригинальностью не отличаются. А в недрах интернета всегда можно найти программы, которые возьмут на себя рутинную работу по перебору наиболее очевидных паролей.
Сейчас любой, даже слабо разбирающийся в компьютерах, хулиган за 15 минут найдет в интернете с десяток программ для подбора пароля из 4—6 символов и предоставляющих доступ к удаленному компьютеру. А ведь помимо хакеров есть еще и фрикеры, специализирующиеся на взломе электронных устройств, в частности, на сотовых телефонах, и кардеры, взламывающие пароли и подбирающие номера к кредиткам.
Из этого следует, что к вопросу информационной безопасности следует подходить серьезно и с полной отдачей.
2. Постановка задачи исследования
Цель этой работы на основе оценки возможных угроз информационной безопасности и с учетом существующей отечественной и международной нормативно-правовой базы построить модель угроз, дать сравнительный анализ нормативных и правовых документов по организации защиты информации в Донецком отделении Юго-Западного банка Сбербанка России №7749 и разработать рабочую документацию по информационной безопасности банка.
3.Модель угроз на ******* отделении Юго-Западного банка Сбербанка России №****
Совет банка, как правило, входят его учредители. Совет банка утверждает годовой отчет банка, организует ежегодные собрания учредителей и пайщиков, принимает или может принимать участие в решении стратегических вопросов банковской деятельности.
Правление (Совет директоров) банка отвечает за общее руководство банка, утверждает стратегическое направление его деятельности. В состав Правления входят высшие руководители банка: председатель (президент, управляющий) банка, его заместители, руководители важнейших подразделений банка.
Отдел управления входит организацияпланирования, прогнозирования деятельности банка, подготовка методологии, безопасность и юридическая служба.
Коммерческий отдел охватывает организацию различных банковских услуг (кредитование, инвестирование, валютные, трастовые и другие операции). Сюда входит все, что связано с обслуживанием клиентов на коммерческих началах.
Финансовый отдел обеспечивает учет внутрибанковских расходов, учет собственной деятельности банка как коммерческого предприятия. В финансовый блок входят такие отделы как бухгалтерия, отдел внутрибанковских расчетов и корреспондентских отношений, касса.
Отдел автоматизации также является обязательным элементом структуры банка. Денежные потоки, которые проходят через современный банк, невозможно обработать вручную, нужен комплекс средств, электронных машин.
Администрация. В его состав входит отдел кадров банка, секретариат, канцелярия, хозяйственные подразделения.
Угрозы
1. Случайные угрозы (стихийные бедствия, сбои и отказы, ошибки пользователей) – Этим угрозам подвержены все отделы, т.к от стихийных бедствий, сбоев, ошибок никто не застрахован.
2. Преднамеренные угрозы
2.1Традиционный шпионаж и диверсии – Здесь угрозам подвержены такие отделы как: Финансовый отдел, Отдел автоматизации, Коммерческий отдел. Шпионаж поможет злоумышленнику узнать как устроен банк для того чтобы организовать ограбление.
2.2.Несанкционированный доступ к информации – Тут в основном угрожает Отделу автоматизации. Злоумышленник, взломав КС банка, может получить много ему полезной информации. Узнав, эту информация под угрозой могут быть и все остальные отделы.
2.3 Электромагнитные излучения и наводки – Также угроза для Отдела автоматизации.
2.4 Несанкционированная модификация структур - Также угроза для Отдела автоматизации.
2.5 Вредительские программы - Также угроза для Отдела автоматизации. И из этого вытекает угроза для всех остальных отделов.
Модели злоумышленников.
1.Хакер – Это опытный пользователь ПК, который взломав КС банка может использовать юту информацию в своих целях либо продать ее иному лицу. Он представляет большую угрозу Отделу автоматизации. Он также может, взломав КС перевести деньги на свой счет.
2.Сотрудник банка – Он тоже может предоставлять большую угрозу банку т.к он вращается в этой сфере и как никто другой знает как что устроено. Также это может быть бывший сотрудник потому что он тоже знает устройство банка, особенно если это бывший сотрудник Отдела автоматизации т.к он знает как устроена КС банка.
3.Разработчик КС – т.к он знает как устроена КС которую он разрабатывал.
4. Сравнительный анализ отдельных вопросов защиты информации в зарубежных и отечественных документах
«Оранжевая книга» (TCSEC) | Защита информацииСпециальные защитные знаки. Классификация и общие требования | Требования к процессу квалификационного анализа ИТ-продукта | Требования гарантии безопасности | |
Совет банка | Д | С1 | Контроль процесса сопровождения | УГО 1 |
Правление | Д | С1 | Контроль процесса сопровождения | УГО 1 |
Отдел управления | С1 | С1 | Независимое тестирование | УГО 2 |
Коммерческий отдел | ||||
Кредитный отдел | В3 | В1 | Независимое тестирование | УГО 5 |
Валютный отдел | В1 | А1 | Независимое тестирование | УГО 4 |
Инвестиционный отдел | В1 | В2 | Независимое тестирование | УГО 4 |
Финансовый отдел | ||||
Бухгалтерия | В3 | В2 | Независимое тестирование | УГО 4 |
Отдел внутрибанковских расчетов | В2 | С1 | Независимое тестирование | УГО 3 |
Отдел корреспондентских отношений | В2 | С1 | Независимое тестирование | УГО 3 |
Касса | С2 | С2 | Независимое тестирование | УГО 3 |
Отдел автоматизации | А1 | С1 | Анализ, контроль, тестирование | УГО 7 |
Администрация | ||||
Отдел кадров | С1 | В2 | Независимое тестирование | УГО 2 |
Канцелярия | Д | С2 | Независимое тестирование | УГО 1 |
Секритариат | Д | С2 | Независимое тестирование | УГО 1 |
УТВЕРЖДАЮ
Руководитель предприятия