Маркетинг. Диссертация обработка клиентских запросов с использованием облачных технологий в банковской сфере
Скачать 1.02 Mb.
|
При оценке ущерба для организации рассматриваются совокупность негативных последствий, к которым может привести инцидент информационной безопасности. Под уязвимостью понимается фактор, который способствует реализации угрозы. Уязвимостями могут быть: недостатки организационных защитных мер и процессов СУИБ, слабые места в компонентах информационной системы и ее архитектуре. Сочетание угрозы и уязвимости может формулироваться в виде сценария реализации угрозы. Значимость последствий для организации от воздействий инцидентов информационной безопасности на активы выражается через ущерб. Каждое последствие относится к той или иной категории. Выделяются следующие категории: финансы; репутация/доверие клиентов; штрафы/юридические/административные взыскания; дезорганизация; другие. В качестве защитных мер применяются административные, физические или технические меры, предназначенные для предупреждения реализации угроз, уменьшения уязвимостей, снижения ущерба, обнаружения инцидентов. Требуемый уровень информационной безопасности обеспечивается сочетанием различных защитных мер. Ограничения являются важным фактором, который нужно учитывать при выборе защитных мер. Основными видами ограничений являются: финансовые; персонала; временные; правовые; технические. Риском называется функция двух аргументов: вероятности возникновения инцидента информационной безопасности и ущерба от его последствий. Риск является оценкой опасности потенциально возможного инцидента информационной безопасности. Кроме того, риск является важнейшим понятием методологии управления рисками. Характерными особенностями Банка являются большое количество данных, хранящихся и обрабатывающихся в различных системах, и необходимость поддерживать работу большого количества клиентов и пользователей. Угрозы безопасности информации Банка разделяется на два класса: естественные угрозы - это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека; искусственные угрозы - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить: непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала; преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников). Источники угроз по отношению к активам могут быть как внешними, так и внутренними. Основными источниками угроз безопасности информации Банка являются: Непреднамеренные(ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия пользователей информационной системы Банка (в том числе сотрудников, отвечающих за обслуживание и администрирование компонентов корпоративной информационной системы), приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы. Преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия легально допущенных к информационным ресурсам Банка пользователей (в том числе сотрудников, отвечающих за обслуживание и администрирование компонентов корпоративной информационной системы), которые приводят к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы Банка. Деятельностьпреступныхгруппиформирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности информационной системы Банка в целом и ее отдельных компонент. Удаленноенесанкционированноевмешательствопостороннихлициз территориально удаленных сегментов корпоративной информационной системы и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам. Ошибки,допущенныеприразработкекомпонентовинформационнойсистемыБанкаи их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты). Аварии,стихийныебедствия. Наиболее значимыми угрозами безопасности информации Банка (способами нанесения ущерба субъектам информационных отношений) являются угрозы, связанные с нарушением доступности компонентов информационной системы Банка и блокированием информации. Также можно выделить угрозы, связанные с: нарушением целостности (искажением, подменой, уничтожением) информационных, программных и других ресурсов Банка, а также фальсификацией (подделкой) документов; нарушением конфиденциальности (разглашением, утечкой) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных. Сотрудники Банка, являющиеся штатными сотрудниками с официальным трудоустройством, становятся внутренними источниками случайных воздействий, так как имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и регламентов. Основные сценарии реализации непреднамеренных и преднамеренных искусственных, а также естественных угроз безопасности информации Банка приведены в приложении (Таблица 3). СУИБ Банка должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.): Некомпетентный (невнимательный) пользователь – это сотрудник Банка (или подразделения другой организации, являющийся легальным пользователем информационной системы Банка), который может предпринимать попытки выполнения запрещенных действий, доступа к защищаемым ресурсам информационной системы с превышением своих должностных полномочий, ввода некорректных данных, нарушения правил и регламентов работы с информацией и прочее, действуя по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только предоставленные ему средства. Любитель - сотрудник Банка (или подразделения другого организации, являющийся зарегистрированным пользователем информационной системы Банка), который стремится нарушать систему защиты без злого умысла или корыстных целей. Все нарушения связаны с желанием самоутвердиться на предприятии. Поэтому для совершения запретных действий он может использовать различные методы получения расширенной карты доступа к ресурсам, недостатки и недоработки в построении системы защиты. Помимо этого, он может попытаться использовать дополнительно нештатные инструментальные и технологические программные средства, самостоятельно разработанные программы или стандартные дополнительные технические средства. Внутреннийзлоумышленник- сотрудник Банка (или подразделения другого ведомства, зарегистрированный как пользователь системы), действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками Банка. Такой злоумышленник особенно опасен для банка: его скрытый умысел обычно тяжело быстро идентифицировать, он может использовать весь набор средств взлома системы защиты, так как работает с ней ежедневно. Согласно статистическим данным, именно внутренние злоумышленники за последние 5 лет нанесли наибольший ущерб предприятиям. Внешнийзлоумышленник- постороннее лицо, действующее целенаправленно из корыстных интересов, мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы, пассивные средства (технические средства перехвата), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий, как изнутри, так и извне Банка. Внутренним нарушителем может быть лицо из следующих категорий сотрудников Банка: |