Главная страница
Навигация по странице:

  • Объектом исследования

  • Практическая значимость

  • ГЛАВА 1. Теоретические основы. Технико-экономическая характеристика банка

  • Особенности информационной безопасности в банковской сфере

  • Система обеспечения информационной безопасности

  • Угрозы информационной безопасности банка

  • 1.4. Важность кибербезопасности

  • ВКР Данилов. Создание системы информационной безопасности в банковских системах Введение


    Скачать 1.68 Mb.
    НазваниеСоздание системы информационной безопасности в банковских системах Введение
    Дата25.09.2022
    Размер1.68 Mb.
    Формат файлаdocx
    Имя файлаВКР Данилов.docx
    ТипДокументы
    #694969
    страница1 из 3
      1   2   3

    Создание системы информационной безопасности в банковских системах

    Введение.

    Банковский сектор является важной частью кредитной и финансовой системы для каждой страны. Обеспечение информационной безопасности банка является обязательным. Потому что информационные ресурсы банков подвергаются многочисленным атакам почти каждый день. Защита кредитных и финансовых систем, прежде всего, основана на требованиях регуляторов, но банковский сектор достаточно восприимчив к целенаправленным и технически изощренным атакам, от ошибок исполнителей.

    Банковская сфера всегда была самым желанным для злоумышленников, поэтому при обеспечении безопасности банковских автоматизированных систем всегда предъявлялись самые строгие требования со стороны регулирующих органов и служб безопасности банков. Действующий стандарт Банка России по обеспечению информационной безопасности организаций банковской системы регулирует внедрение широкого спектра защитных механизмов и организационных мер, в том числе распределения ролей пользователей, контроля доступа, регистрации событий, антивируса, фильтрации сетевого трафика, криптографической защиты и других. В то же время классическая защита обеспечивает высокий уровень безопасности, но часто направлена на отражение атак извне. Однако, помимо защиты от привилегированных пользователей, на что стоит обратить внимание гораздо меньше. Существуют также риски, связанные с деятельностью привилегированных пользователей, технически обученных и постоянно работающих с банковскими IP-адресами, и их количество заметно.

    Поэтому актуальность проблемы обусловлена очень быстрым развитием компьютерных систем и сетевых технологий. Появляются новые угрозы информационной безопасности. Соответственно, такая информация должна быть защищена.

    Объектом исследования ВКР являются методы и средства защиты данных предприятия «ПАО Банк ВТБ», а предметом исследования – организация политики информационной безопасности «ПАО Банк ВТБ».

    Цель ВКР: разработка политики информационной безопасности предприятия, а также методов и средств, позволяющих повысить защиту информации в «ПАО Банк ВТБ».

    Для достижения обозначенной цели необходимо решить следующие задачи:

    1. Оценить текущее состояние информационной безопасности предприятия.

    2. Выявить нарушения в защите информационной безопасности, а также выявление наиболее вероятных угроз информации.

    3. Рассмотреть основные проблемы, задачи и принципы защиты информации.

    4. Произвести анализ и классификацию угроз, уязвимых мест в компьютерных сетях компании.

    5. Разработать предложения по реализации программно-аппаратных и инженерно-технических мер по предотвращению угроз информационной безопасности.

    Практическая значимость работы заключается в том, что предложенная модель политики информационной безопасности может быть использована в практике действующих предприятий.

    Выпускная квалификационная работа состоит из: Введения, Двух основных глав, Заключения, Списка использованной литературы.

    В первой главе произведен анализ системы защиты данных в банковской сфере.

    Во второй главе произведена разработка политики информационной безопасности.



    ГЛАВА 1. Теоретические основы.

      1. Технико-экономическая характеристика банка

    Банк ВТБ (Публичное акционерное общество) является коммерческим банком, который специализируется на предоставлении финансовых услуг.

    Банк ВТБ (ПАО), ранее известный как Внешторгбанк, был создан 17 октября 1990 года как российский внешнеторговый банк в соответствии с законодательством Российской Федерации. 2 января 1991 года Банк ВТБ (ПАО) получил генеральную банковскую лицензию.

    Банк ВТБ (ПАО) на 60,9 % принадлежит государству. Банк занимает второе место в стране по величине активов и первое по размеру уставного капитала. Головной офис банка находится в Москве, зарегистрирован банк в Санкт-Петербурге.

    Банк придерживается самых высоких стандартов корпоративного управления и корпоративной этики.

    Управленческая структура банка ВТБ, политика и бизнес-процессы построены таким образом, чтобы обеспечить эффективность и прозрачность принятия решений и осуществления бизнес-процессов.

    Залог успеха - команда высокопрофессиональных менеджеров, обладающих богатым опытом работы в российской финансовой системе. Сотрудники Банка ВТБ нацелены на предоставление максимально открытого доступа к финансовым услугам и наилучшего уровня сервиса.

    В организационной структуре банка реализуются оперативные (кредитование, инвестирование, осуществление доверительных операций, международных расчетов, прием и обслуживание вкладов) и штабные функции (консультирование исполнителей, ведение бухгалтерского учета, анализ хозяйственной деятельности, прием на работу, повышение квалификации сотрудников, маркетинг, контроль за деятельностью банка).



    Рисунок 1. Организационная структура ПАО Банка ВТБ.
    В управление ресурсами входит отдел экономического анализа и планирования. Управление клиентского обслуживания содержит отдел комплексного обслуживания, отдел продажи банковских услуг, сектор рекламы. Управление делами состоит из архива, сектора кадров и канцелярии. Управление расчетов содержит отдел оформления банковских операций и отдел корреспондентских отношений. В управление пластиковых карт входят отделы обслуживания юридических и физических лиц. Управление кредитных ресурсов содержит отделы кредитования юридических и физических лиц.


      1. Особенности информационной безопасности в банковской сфере

    В наше время клиенты банков предпочитают хранить свои средства в банковских картах и счетах. Что, в свою очередь, привлекло кибер-преступников и хакеров. Они могут не бежать с пистолетом в руках и ограбить местный банк. Нет, они запросто могут не выходя из дома, сидя у своего компьютера, украсть все данные и средства клиентов банка.

    Больше всего от взлома пострадали банки и другие организации денежной системы. Это заставляет уделять особое внимание организации систем защиты информации в национальной финансовой системе. Основные нормы и правила в отношении средств защиты, встроенных в АБС (Автоматизированную банковскую систему), разрабатываются и внедряются Центральным банком как регулятором банковской деятельности.

    Основными угрозами информационной безопасности банков являются:

    - преступные организации по взлому защиты банков

    - так называемые “дыры” в системах обеспечения безопасности.

    - Человеческий фактор. По статистике, большинство утечек информации банка происходит из за самих сотрудников.

    - сбои и отказы программных и аппаратных компонентов систем из-за природных и техногенных катастроф.

    Факторы, которые надо учитывать при обеспечении информационной безопасности:

    1. В банках хранятся важные данные: сведения о клиентах, копии их паспортов, номера счетов, паролей и т.д.

    2. Вся загвоздка в том, что банк должен сделать так чтобы данные были легкодоступными для клиентов и заодно блокировать различные попытки взлома.

    3. Информация, хранящаяся и обрабатываемая в банках, – это настоящие деньги притом не только свои, но и деньги своих клиентов. И вот поэтому банк обязан обеспечить высокую надежность работы информационных систем

    Система обеспечения информационной безопасности – это сложная, организационно-техническая архитектура. Она состоит из 6-ти подсистем. Это подсистемы: организационно-правового обеспечения, кадрового обеспечения, финансово-экономического обеспечения, инженерно-технического обеспечения, программного-аппаратного обеспечения и аудита.



    Рисунок 2. Структура системы обеспечения ИБ


      1. Угрозы информационной безопасности банка

    Человеческий фактор является главной и первостепенной угрозой информационной безопасности, напрямую зависящей от межличностных отношений. Утечка информации чаще всего происходит по вине банковского персонала.

    Статистика показывает, что около 80% нарушений совершают банковские служащие — из-за тех, кто имеет доступ к данным.

    При этом обеспечение безопасности информации внутри банка является крайне необходимой мерой, как для защиты конфиденциальности данных от общей небрежности, так и для исключения преднамеренных вторжений в базу данных.

    Существуют не только внутренние факторы, но и технические угрозы информационной безопасности банковских организаций и компаний. Технологические угрозы — это взлом информационных систем людьми, не имеющими прямого доступа к системам. Это могут быть преступные организации или конкурирующие организации.

    В этом случае они снимают и получают информацию с помощью специальной аудио- или видеоаппаратуры. Популярной современной формой взлома является использование электричества и электромагнитного излучения. За это время злоумышленник получает конфиденциальную информацию ЭЦП.

    Опасности и угрозы программному обеспечению исходят также от различных компьютерных вирусов, наносящих вред носителям информации, а программные закладки могут привести к искажению введенного кода.

    Самый известный способ решить проблему с компьютером такого типа — установить лицензионную антивирусную программу, которая успешно устраняет проблему.

    Компетентные специалисты в данной области и программное обеспечение, отслеживающее и блокирующее передачу информации на съемные носители, такие как флешки, могут помочь защитить банковскую информацию от внутренних и внешних утечек.

    Что необходимо для успешной автоматизации склада: четкое понимание складских процессов, адекватные исходные данные о товарах, интегрированная информационная система предприятия, обученный персонал.
    1.4. Важность кибербезопасности

    Очевидной причиной важности кибербезопасности в транзакциях банковского сектора является защита активов клиентов. По мере того, как все больше людей переходят на безналичные расчеты, операции осуществляются через страницы онлайн-касс и физические кредитные сканеры. В обоих случаях персональные данные могут быть перенаправлены в другие места и использованы для злонамеренных действий.

    Это влияет не только на клиента. Это также сильно вредит банку, когда он пытается восстановить данные. Когда его захватят в заложники, банку, возможно, придется заплатить сотни тысяч долларов за раскрытие информации. В свою очередь, они теряют доверие своих клиентов и других финансовых учреждений.

    Это не единственное, что происходит, когда не выполняются меры по кибербезопасности банковского обслуживания. Клиенту необходимо аннулировать все свои карты и открыть новые счета — возможно, в другом банке. И хотя их средства защищены FDIC, это не мешает преступникам использовать их PII.

    Аудит безопасности.

    Тщательный аудит обязателен перед внедрением любого нового программного обеспечения для кибербезопасности. Обзор выявляет сильные и слабые стороны существующей установки. Кроме того, он предоставляет рекомендации, которые могут помочь сэкономить деньги, а также позволяют сделать правильные инвестиции.

    Брандмауэры. Конфигурация банковской кибербезопасности включает не только приложения. Также требуется правильное оборудование для блокировки атак. Благодаря обновленному брандмауэру банки могут блокировать вредоносную активность до того, как она достигнет других частей сети.

    Приложения для защиты от вирусов и вредоносных программ. Хотя обновление брандмауэра повышает уровень защиты, оно не остановит атаки, если не будут обновлены приложения для защиты от вирусов и вредоносных программ. Старое программное обеспечение может не содержать последних правил и сигнатур вирусов. В свою очередь, он может пропустить потенциально катастрофическую атаку на вашу систему.

    Многофакторная аутентификация. Эта защита, также известная как MFA, чрезвычайно важна для защиты клиентов, которые используют мобильные или онлайн-приложения для выполнения своих банковских операций. Многие пользователи никогда не меняют свои пароли. Или, если они делают, они вносят небольшие изменения. Применение MFA не позволяет злоумышленникам получить доступ к сети, поскольку требуется другой уровень защиты. Например, шестизначный код, отправленный на мобильный телефон клиента.

    Биометрия — это еще одна версия MFA, даже более безопасная, чем текстовый код. Эта форма аутентификации основана на сканировании сетчатки, отпечатках пальцев или распознавании лиц для подтверждения личности пользователя. Хотя хакеры и раньше получали доступ к этому типу аутентификации, выполнить его сложнее.

    Автоматический выход — многие веб-сайты и приложения позволяют пользователю оставаться.

    Как и сеть любого предприятия или организации, банковская сеть состоит из вполне стандартного набора объектов: рабочие места сотрудников, инфраструктура и выделенные серверы, сетевые шлюзы. По мере роста мобильности к этой коллекции все чаще добавляются ноутбуки, смартфоны и планшеты, с которых сотрудники могут получить доступ к банковским информационным системам. Банки специфично добавляют в этот набор банкоматы и платежные терминалы (как правило, построенные на стандартных операционных системах, что технически означает стандартные компьютеры). Клиенты банка также должны иметь доступ к информационным системам. Наконец, не забывайте, что сеть даже относительно небольшого банка представляет собой распределённую систему с множеством филиалов и отделений.

    Поэтому задача защиты информации, хотя и похожа по схеме и средствам на задачу, решаемую для традиционных организаций, также должна иметь явные банковские характеристики. нужно:

    — Обеспечение надежной и безопасной работы АБС (Автоматизированной банковской системы).

    — Обеспечить сотрудников и клиентов безопасным доступом к банковским системам в территориально-распределенной сети.

    — Обеспечить доступ сотрудников к внешним информационным сетям (Интернет).

    — Обеспечить защиту банкомата и терминала.

    — Возможность контролировать все процессы в системе и своевременно выявлять любые нарушения.

    Все эти задачи необходимо решать комплексно, начиная с архитектуры банковской сети. Хорошей и довольно распространенной практикой является создание нескольких изолированных сетей с минимальным количеством точек взаимодействия (шлюзов) с использованием самых современных средств защиты. Обычно в системе создается изолированная операционная сеть и сеть с доступом к интернет-ресурсам. Часто банкоматы и терминалы также относятся к разным сетям. Такое разделение сетей позволяет избежать многих проблем, связанных с утечкой информации и распространением вредоносного кода, но, конечно же, для надежной защиты необходимо внедрять специализированное программное обеспечение. Вам также следует избегать распространенного заблуждения, что изолированные сети не нуждаются в такой защите, как сети общего пользования, — подход, который не раз вызывал серьезные проблемы. Для обеспечения надежной связи между подразделениями и филиалами следует использовать выделенные каналы связи с шифрованием данных. Конечно, различные отделы также должны использовать тот же принцип разделения сети, что и основная сеть банка.

    Что касается специализированного программного обеспечения, то антивирусные программы остаются основой системы информационной безопасности. За последние несколько лет они прошли путь от «простого антивирусного ПО» до сложных систем защиты для мониторинга рабочих станций. С современным антивирусным ПО можно решить целый ряд задач, в том числе предотвратить несанкционированное подключение любых внешних устройств и установку программ. Не теряет своей актуальности и глубокая мультивендорная защита интернет-шлюзов и почтовых систем.

    Эволюция мобильности выдвинула свои насущные требования: теперь антивирусная защита должна быть распространена на все типы мобильных устройств, используемых сотрудниками банка, независимо от того, используются ли они для работы с АБС или только в общедоступных сетях.

    Защита самой банковской системы должна использовать надежные средства аутентификации для контроля поведения внутренних пользователей и клиентов. Распространено мнение, что самую надежную защиту может обеспечить двухфакторная аутентификация, будь то электронный ключ (токен) или генератор одноразовых паролей.

    Безопасность данных при хранении требует использования средств шифрования, которые могут работать на уровне хранилища данных или на уровне отдельных компонентов системы, таких как таблицы базы данных.

    Безопасность банкоматов и платежных терминалов должна обеспечиваться традиционными средствами – антивирусной защитой. Но в то же время специфика таких устройств требует применения дополнительных мер безопасности, в том числе создания «закрытой программно-аппаратной среды», полностью исключающей установку какого-либо стороннего ПО и подключение внешних устройств.

    Наконец, контроль процессов и событий в системе и своевременное выявление нарушений может быть самой сложной частью любой интегрированной системы безопасности. На самом деле в этом случае недостаточно просто приобрести самую мощную и современную систему контроля вторжений или систему предотвращения утечек (DLP). Внедрение такой системы требует комплексного понимания всех возможных «слабых мест» и часто требует практически полной ревизии и стандартизации бизнес-процессов. Не каждая организация, особенно небольшая, может полноценно внедрить такую ​​систему. Но в этом случае могут помочь менее сложные в использовании информационные сервисы, такие как возможность отслеживать подозрительный исходящий трафик, связанный с активностью вредоносных программ, в том числе используемых для кражи информации. Это позволит своевременно обнаруживать любую подозрительную активность в защищенной сети.

    Сегодня многие банки для решения всех вышеперечисленных задач предпочитают обращаться к специализированным компаниям - интеграторам, профессионалам в области построения и внедрения систем защиты информации. Но здесь нужно иметь в виду специфику банковской отрасли, чтобы определить, подходит ли компания-интегратор для создания эффективной защиты. Во-первых, при выборе интегратора нужно обратить внимание на то, есть ли у компании опыт работы именно с банковской отраслью и насколько он успешен. Во-вторых, компания должна иметь все соответствующие лицензии ФСТЭК и ФСБ. В-третьих, компания должна иметь большой опыт и безупречную репутацию.

    Поскольку речь идет о крупном бизнесе и репутационных рисках, прежде чем инвестировать в систему информационной безопасности, банки часто хотят знать, смогут ли они минимизировать затраты, используя уже установленное в банке оборудование. Для этого также следует обращаться в интеграционные компании, многие из которых проводят аудит состояния защиты информации, проводят независимую оценку соответствия состояния защиты информации требованиям стандартов Банка России. По результатам в банк был предоставлен полный отчет о работе существующей системы ИБ, а также даны рекомендации по использованию имеющихся ресурсов банка для наиболее эффективного усиления защиты.
      1   2   3


    написать администратору сайта