Главная страница

Маркетинг. Диссертация обработка клиентских запросов с использованием облачных технологий в банковской сфере


Скачать 1.02 Mb.
НазваниеДиссертация обработка клиентских запросов с использованием облачных технологий в банковской сфере
АнкорМаркетинг
Дата01.11.2021
Размер1.02 Mb.
Формат файлаdocx
Имя файлаm_th_t.s.chuprakova_2018.docx
ТипДиссертация
#260568
страница5 из 10
1   2   3   4   5   6   7   8   9   10

  • штатные сотрудники, непосредственно работающие в программных продуктах банка;

  • сотрудники, имеющие доступ в здания и помещения, но не являющиеся пользователями ИС банка;

  • персонал, обслуживающий технические средства корпоративной информационной системы Банка;

  • специалисты подразделений Банка, разрабатывающие и сопровождающие программные продукты банка;

  • сотрудники подразделений обеспечения безопасности Банка; руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

  • уволенные сотрудники Банка;

  • представители организаций, взаимодействующих по вопросам технического обеспечения Банка;

  • клиенты Банка;

  • посетители;

  • представители конкурирующих организаций;

  • члены преступных организаций;

  • сотрудники спецслужб или лица, действующие по их заданию;

  • лица, случайно или умышленно проникшие в корпоративную информационную систему Банка из внешних телекоммуникационных сетей (хакеры).

Непосредственные пользователи системы, а также администраторы и разработчики имеют наиболее широкие возможности по осуществлению несанкционированных действий. Основными причинами являются наличие знаний технологии обработки и хранения информации, а также степени ее защиты, и, конечно же, наличие широких карт доступа к информационным ресурсам. Администраторов систем даже выделяют в особую группу в связи с тем, что именно один имеют практически неограниченный доступ ко всем ресурсам банка. Поэтому с целью соблюдения политики информационной безопасности численность таких сотрудников должна быть минимальной, а их действия следует жестко регламентировать.

К сожалению, совсем немногие работодатели задумываются о том, что уволенные сотрудники также могут представлять высокую угрозу. Их основным преимуществом является навык работы в ИС банка, знания о защитных мерах и правах доступа. Именно полученные за время работы знания выделяют уволенных сотрудников среди других источников внешних угроз. На практике были зафиксированы инциденты, связанные с продажей информации третьим лицам для получения личной финансовой выгоды.

Криминальные структуры принято считать наиболее агрессивным источником внешних угроз. Для осуществления своих замыслов эти структуры

могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников Банка всеми доступными им силами и средствами.

Но наибольшую угрозу при взаимодействии с работающими или уволенными сотрудниками банка, а также криминальными структурами, представляют профессиональные хакеры. Именно они имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в автоматизированных системах обработки информации.

Организации на аутсорсинге, которые занимаются разработкой, поставкой, ремонтом и обслуживанием оборудования или информационных систем, представляют внешнюю угрозу из-за того, что периодически имеют непосредственный доступ к информационным ресурсам. Конкурирующие организации, криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к ресурсам информационной системы Банка.

Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:

  • нарушитель скрывает свои несанкционированные действия от других сотрудников Банка;

  • несанкционированные действия могут быть следствием ошибок пользователей, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;

  • в своей деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.

Политика информационной безопасности служит для описания целей и задач обеспечения информационной безопасности Банка, стратегии и подходов к ее реализации, основных аспектов организации общего процесса обеспечения

информационной безопасности, а также определения совокупности требований в области информационной безопасности, которыми руководствуется Банк в своей деятельности. Политика должна быть утверждена руководством и доведена до сведения всех сотрудников.

Помимо общекорпоративной политики информационной безопасности должны быть разработаны следующие частные политики и документы:

  • политика использования сети Интернет;

  • политика использования средств антивирусной защиты;

  • политика использования электронной почты;

  • политика стандартизации рабочих мест;

  • политика использования средств криптографической защиты информации;

  • план по восстановлению бизнеса.

Использование в банке сети Интернет должно быть ограничено с целью сокращения возможного «заражения» ИС. Запрещено использование социальных сетей, а также сайтов, не содержащих информации по рабочим вопросам.

Антивирусная защита приобретается пакетом раз в год и при необходимости обновляется раз в квартал.

Использование рабочей электронной почты возможно для внутренних коммуникаций, а для отделов по работе с клиентами – внутренних и внешних. При это важно понимать, что информация, содержащая банковскую тайну запрещена к передаче по электронной почте. Например, при запросе справки об оборотах за последний год, клиент может получить ее только по системе Интернет-банка или путем личного посещения отделения.

Кроме того, должен быть документально определен перечень информации, относимой к коммерческой и служебной тайне, а также определена ответственность за разглашение этой информации.

Политика информационной безопасности должна пересматриваться один раз в год или при необходимости. Изменения должны утверждаться

руководством. Необходимо информировать сотрудников обо всех изменениях и обеспечить их доступ к наиболее актуальной версии документа.

В банке осуществляется координация работ в области обеспечения информационной безопасности проводимых различными подразделениями Банка. Для этого создана постоянно действующая комиссия по информационной безопасности, возглавляемая Ответственным по информационной безопасности Банка из числа руководителей высшего звена. Кроме того, в состав комиссии входят специалисты в области внутреннего контроля, ИТ и информационной безопасности.

Также создано подразделение Банка, ответственное за вопросы информационной безопасности, подотчетное высшему руководству Банка.

Все обязанности по обеспечению информационной безопасности должны быть назначены исполнителям внутри существующей организационной структуры Банка.

Следует однозначно определить ответственность за отдельные активы и выполнение конкретных процессов в соответствии с требованиями информационной безопасности.

Для распределения персональной ответственности в каждой конкретной области необходимо выполнить следующее:

  • четко определить и описать активы и процессы, относящиеся к конкретным системам;

  • назначить ответственных за каждый актив или процесс, и документировать их обязанности;

  • четко определить и документировать процесс санкционирования предоставления доступа к активам и процессам.

Должна быть определена и внедрена процедура утверждения использования новых средств ИТ. Для того, чтобы избежать возможных временных и финансовых затрат на внедрение средств защиты информации после приобретения новых средств обработки информации, не удовлетворяющих требованиям безопасности, введение новых средств

обработки информации должно происходить в соответствии со следующими правилами:

  • руководство Банка должно утвердить новые средства обработки информации для однозначного определения их назначения и способа применения;

  • руководитель, ответственный за поддержку безопасности конкретной автоматизированной системы, должен одобрить эти средства и подтвердить соблюдение всех необходимых условий и требований безопасности;

  • оборудование и программное обеспечение следует проверить на совместимость с другими компонентами системы;

  • в случае применения личных средств обработки информации необходимо произвести их проверку и получить санкцию руководства на их применение.

Следует разработать и регулярно пересматривать соглашение о конфиденциальности, устанавливающее требования по обеспечению конфиденциальности информации и включающее обязательства по ее неразглашению. Данное соглашение должно быть подписано всеми сотрудниками Банка. В случае нарушения должны быть приняты соответствующие меры, в зависимости от тяжести ущерба, причиненного организации.

Соглашение о конфиденциальности должно учитывать существующие нормативно-правовые требования. Временные работники и сторонние пользователи также должны подписывать соглашение о неразглашении конфиденциальной информации перед тем, как они получат доступ к средствам обработки информации. Соглашение о конфиденциальности следует пересматривать через определенные интервалы и в случае изменений, влияющих на требования к его разработке.

Для предотвращения несанкционированного доступа к территории и

помещениям Банка и принадлежащей ему информации, ее повреждения и

вмешательства в работу Банка должны применяться средства физической защиты.

Информация и средства ее обработки должны находиться в помещениях, защищенных периметрами безопасности с соответствующими преградами и ограничением доступа. В состав периметра могут входить стены, автоматизированные проходные и контрольно-пропускные пункты. Расположение и степень защиты периметров выбираются на основе результатов оценки рисков.

Операционные залы, помещения, куда имеют доступ клиенты, площадки для погрузоразгрузочных работ должны находиться под контролем и по возможности должны быть отделены от средств обработки информации, чтобы избежать доступа посторонних. В идеальном случае должна быть выделена специальная комната, доступ к которой может иметь только председатель банка, руководитель точки и администратор.

Кроме того, необходимо предпринимать меры для защиты целостности информации и ПО от злонамеренного и несанкционированного изменения ПО.

Пользователи должны быть осведомлены об угрозах вредоносного ПО. Должны быть внедрены защитные меры для предотвращения, обнаружения и удаления вредоносного ПО. А также необходимо разработать процедуры информирования пользователей об угрозах вредоносного ПО.

В Банке должны применяться только официально приобретенные средства защиты от вредоносного ПО. Установка и регулярное обновление средств защиты от вредоносного ПО на автоматизированных рабочих местах и серверах АБС должны осуществляться администраторами АБС. Установку обновлений программного обеспечения, используемого для защиты от вредоносного ПО, рекомендуется осуществлять в автоматическом режиме.

Должны быть разработаны и введены в действие политика и инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.

Рекомендуется осуществлять построение эшелонированной централизованной системы защиты от вредоносного ПО, предусматривающей использование средств защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах.

В ЭВМ и АБС не допускается присутствие и использование программного обеспечения и данных, не связанных с выполнением конкретных функций в банковских технологических процессах организации. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вредоносного ПО. После установки или изменения программного обеспечения должна быть выполнена проверка на наличие вредоносного ПО. В случае необходимости установки того или иного программного продукта, сотруднику банка необходимо сформировать заявку на ИТ-специалиста с подробным описанием потребности. Самостоятельно скачать и устанавливать какое-либо ПО запрещено.

В случае обнаружения вредоносного ПО необходимо принять меры по устранению последствий от его воздействия, проинформировать руководство и приостановить при необходимости работу (на период устранения последствий). Отключение или не обновление средств защиты от вредоносного ПО не допускается. Установка и обновление средств защиты от вредоносного ПО в

Банке должны контролироваться представителями Управления ИТ.

Ответственность за выполнение требований политики и инструкций антивирусной защиты должна быть возложена на руководителя функционального подразделения организации, а обязанности по выполнению мер защиты должны быть возложены на каждого сотрудника Банка, имеющего доступ к ЭВМ и/или АБС.

Для обеспечения полной безопасности передаваемой информации по вычислительным сетям необходимо разработать и внедрить соответствующие меры защиты.

Вычислительные сети должны адекватно управляться и контролироваться для обеспечения защиты от угроз и поддержания защиты систем и приложений, использующих сети, а также защиты передаваемой по сети информации.

Должны быть внедрены средства защиты сетей, гарантирующие безопасность информации в сетях и защиту сервисов от несанкционированного доступа.

Мероприятия по защите, уровень сервисов и требования к управлению сетевыми сервисами должны быть определены и включены в соглашения, в зависимости от того, обеспечиваются ли эти сервисы соответствующими подразделениями Банка или предоставляются по договорам сторонними организациями.

Для предотвращения несанкционированного разглашения, модификации или уничтожения активов и нарушения деятельности Банка необходимо контролировать и физически защищать носители информации.

Должны быть разработаны соответствующие правила для защиты документов, компьютерных носителей, входных и выходных данных и системной документации от несанкционированного разглашения, модификации или уничтожения.

Доступ к внешним съемным компьютерным носителям оформляется через систему управления доступом по заявке руководителя сотрудника.

Носители, ставшие ненужными, следует утилизировать методом физического уничтожения с соблюдением требований безопасности.

В современном обществе важно обладать знаниями в области информационных технологий. Именно эта отрасль получила наибольшее распространение в последние 10 лет и была внедрена практически на каждое из предприятий: от самого маленького до самого крупного. Тяжело преуменьшить значимость информации, особенно передаваемой, обрабатываемой и хранимой на различных ресурсах и представляющей значительную ценность для компании целиком или для кого-то лично. С развитием сетевых технологий уровень доступа к ресурсам стремительно растет, поэтому теперь совсем не важно, где

именно используется компьютер, мобильный телефон или планшет. Но одновременно с этим также растет количество атак на информационные ресурсы. В современных условиях наряду со знанием трудовых обязанностей от работника требуется понимание вопросов работы с информационными технологиями, связанных с обеспечением информационной безопасности, что обусловлено не только требованиями законодательства Российской Федерации, международными и российскими стандартами и нормативными документами компании, но и элементарными требованиями безопасности и необходимостью

сохранения конфиденциальной информации в тайне.

С момента заключения трудового договора сотруднику присваивается учетная запись с картами доступа к банковскому ПО. На данном этапе важно не только обучить работе в программном комплексе, но и зарегистрировать нового пользователя строго согласно политике информационной безопасности. Важно, чтобы карта доступа сотрудника полностью соответствовала его должностным инструкциям, а главное была шире.

Таким образом, доступ к операционной системе должен осуществляться с использованием процедуры безопасной регистрации в системе. Процедура безопасной регистрации в операционной системе должна минимизировать возможность несанкционированного доступа к системе и выдавать минимум сведений об операционной системе. Все пользователи должны иметь уникальные идентификаторы для персональной аутентификации. Кроме того, должны быть выбраны соответствующие средства аутентификации для подтверждения заявленных персональных данных пользователей. Эти средства должны применяться для проверки всех типов пользователей (персонала технической поддержки, пользователей, операторов). Кроме того, необходимо разработать правила контроля установки программного обеспечения на рабочих системах. Уровень поддержки используемого программного обеспечения, предоставленного другими поставщиками, должен соответствовать требованиям поставщиков. Решение о переходе на новую версию должно приниматься с учетом безопасности этой версии. Программные обновления необходимо

устанавливать в том случае, если они помогут устранить уязвимости или уменьшить их серьезность. Иначе говоря, после получения карточки доступа сотрудник банка получает логин и первичный пароль для входа в систему, который в дальнейшем меняет на любой другой удобный для использования. Срок действия пароля 50 дней. По истечению данного периода времени система автоматически запросит смену пароля, что полностью соответствует требованиям политики информационной безопасности.

Но зачастую получается так, что работники не компетентны в вопросах защиты информации и поэтому значительное число инцидентов информационной безопасности, связанных, прежде всего с утечками конфиденциальной информации, вирусными заражениями или уничтожением/искажением информации, происходит по вине работников, которые сознательно или нет нарушают требования по обеспечению информационной безопасности, либо попросту не знают этих требований. Большинство специалистов в области информационной безопасности сходятся во мнении, что более 80% инцидентов происходит по вине работников, причем значительная часть - в результате неумышленных действий: по халатности, по невнимательности или просто по незнанию. В то время как сотрудники компании совершают такие проступки, компания начинает стремительно терять свой статус как среди потребителей ее услуг, так и на рынке в целом. Потеря статуса чревата потерей чистой прибыли.

Итак, одним из основных факторов, которые существенно влияют на состояние информационной безопасности в компании, являются осведомленность пользователей в области информационной безопасности и их умение применять полученные знания в повседневной деятельности. Поэтому одна из важнейших задач, которую приходится решать службе информационной безопасности - организация обучения пользователей по вопросам обеспечения информационной безопасности в рамках построения системы повышения осведомленности пользователей в области информационной безопасности.

Под повышением осведомленности работников компании в области информационной безопасности понимается целенаправленный, организованный, планомерно и систематически осуществляемый процесс повышения уровня знаний работников и формирования необходимых навыков в области информационной безопасности, создание корпоративной культуры в данной области и атмосферы осознания необходимости соблюдения требований информационной безопасности.

Цель обучения персонала – формирование и поддержание необходимого уровня квалификации персонала, с учетом требований предприятия в сфере информационной безопасности и обеспечения высокого уровня безопасности в информационной системе. Задачи политики предприятия в области обучения вопросам информационной безопасности:
1   2   3   4   5   6   7   8   9   10


написать администратору сайта