Главная страница
Навигация по странице:

  • Введение Актуальность темы.

  • Объектом исследования

  • Цель и задачи исследования.

  • Структура работы.

  • ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИЗУЧЕНИЯ ОБЕСПЕЧЕНИЯ СЛУЖЕБНОЙ И КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 1.1 Информационная безопасность и понятие конфиденциальности

  • 1.2. Способы защиты информации в банковской сфере

  • Курсовая. Теоретические аспекты изучения обеспечения служебной и конфиденциальной информации


    Скачать 96.29 Kb.
    НазваниеТеоретические аспекты изучения обеспечения служебной и конфиденциальной информации
    АнкорКурсовая
    Дата07.02.2021
    Размер96.29 Kb.
    Формат файлаdocx
    Имя файлаDIPLOM.docx
    ТипРеферат
    #174561
    страница1 из 3
      1   2   3

    Содержание

    Введение…………………………………………………………………………...3

    Глава 1. Теоретические аспекты изучения обеспечения служебной и конфиденциальной информации…………………………………………….……...6

    1.1 Информационная безопасность и понятие конфиденциальности……………6

    1.2. Способы защиты информации в банковской сфере……………………........12

    Глава 2. Характеристика деятельности ПАО Сбербанк, связанной со служебной и конфиденциальной информацией……………………………………….……...20

    2.1 Нормативно-правовой элемент защиты информации ПАО Сбербанк……...20

    2.2 Организационный элемент защиты информации в ПАО Сбербанк………………………….……………………………….………………...23

    Глава  3. Оптимизация механизма служебной безопасности в дополнительном офисе 9038/0770 ПАО Сбербанк …………………………….……………………27

    3.1. Организация системы защиты конфиденциальной информации в дополнительном офисе 9038/0770 ПАО Сбербанк………………………………27

    3.2. Рекомендации по повышению степени защищенности дополнительного офиса 9038/0770 ПАО Сбербанк от рассматриваемых угроз………………..…..38

    Заключение………………………………………………………………………….42

    Библиографический список..……………………………………………………....44

    Введение

    Актуальность темы. В современном мире хранение банковской информации, ее стоимость и значимость многократно возросли, что, в свою очередь, не могло не привлечь рост преступного интереса к ней.

    Необходимость обеспечивать безопасность хранения данных, регулярная смена и проверка паролей и контроль вероятности утечки информации стали неотъемлемой частью работы каждого банка.

    Для совершения кражи и взлома банковской системы злоумышленнику вовсе не обязательно врываться в банк. Осуществить взлом пользователь сети может со своего персонального компьютера, поэтому проблема вопроса информационной безопасности в банках стоит достаточно остро.

    Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

    Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).

    Банковская система – это одна из важных составляющих современной рыночной экономики. Основой ее являются банковские учреждения, которые владеют определенной совокупностью рычагов влияния на финансовую, инвестиционную, производственную и другие сферы экономики.

    В условиях растущей открытости экономик государств и последовательной их интеграции в мировое хозяйство обеспечение безопасности банковской системы является актуальным заданием. Это предопределено влиянием внешней среды, которая сегодня характеризуется элементами углубления финансового кризиса, и внутренней среды, в частности усилением конкуренции и консолидации банковского бизнеса. Влияние внутренней среды предопределяет возникновения угроз, которые препятствуют процессу реализации стратегических направлений развития банков с точки зрения прибыльности и минимизации рисков. Поэтому проблема обеспечения безопасности банковской деятельности является достаточно актуальной и должна рассматриваться как системообразующий элемент финансовой устойчивости банковской системы.

    Безопасности банковской деятельности посвящено много научных трудов, в которых безопасность банков рассматривается из разных точек зрения, в частности безопасности банков, экономической безопасности, финансовой безопасности, безопасности проведения банковских операций и др.

    Вопросом безопасности банковской деятельности посвящено значительное количество научных трудов, в частности фундаментальные исследования ведущих зарубежных ученых В. Ойккена (V. Oyken), Р. Дж. Кембелла (R.Dg. Kembell), И. Шумперта (I. Shympert), E. Уткіна (E. Utkin) и др.[9, c. 95]. Но недостаточно исследованными остаются вопросы относительно определения концептуальных основ формирования безопасности банковской деятельности.

    Объектом исследования являются теоретические и практические вопросы исследования защиты информации в ПАО Сбербанк.

    Предметом данного исследования являются процессы и средства защиты информации в ПАО Сбербанк.

    Цель и задачи исследования. Цель исследования дипломной работы заключается в исследовании процессов защиты информации на примере ПАО Сбербанк.

    Для достижения цели были поставлены следующие задачи:

    • выявить способы защиты информации в банковской сфере;

    • рассмотреть меры по обеспечению защиты информации в банке;

    • проанализировать принципы информационной безопасности банка;

    • охарактеризовать угрозы информационной безопасности банка;

    • исследовать процессы защиты информации в банке ПАО Сбербанк.

    В дипломной работе использованы следующие методы: монографические, методологические, статистические методы.

    Информационной базой исследования стали законодательные акты и нормативно-правовая база в области защиты информации, первичные документы, положения об использовании служебной информации в ПАО Сбербанк.

    Структура работы. Работа состоит из введения, трех глав, которые последовательно раскрывают содержание затронутых проблем, заключения, списка использованной литературы.

    ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИЗУЧЕНИЯ ОБЕСПЕЧЕНИЯ СЛУЖЕБНОЙ И КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
    1.1 Информационная безопасность и понятие конфиденциальности
    Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такое информационная безопасность. Термин «информационная безопасность» может иметь различный смысл и трактовку в зависимости от контекста. В настоящем исследовании под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

    ГОСТ «Защита информации. Основные термины и определения» вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

    • Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.

    • Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

    • Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

    Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

    Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

    Угрозы можно классифицировать по нескольким критериям:

    • по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

    • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

    • по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

    • по расположению источника угроз (внутри/вне рассматриваемой ИС).

    Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

    1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;

    2. административный – комплекс мер, предпринимаемых локально руководством организации;

    3. процедурный уровень – меры безопасности, реализуемые людьми;

    4. программно-технический уровень – непосредственно средства защиты информации.

    Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность. [18, c. 332]

    В российском законодательстве базовым законом в области защиты информации является ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

    Закон регулирует отношения, возникающие при:

    • осуществлении права на поиск, получение, передачу, производство и распространение информации;

    • применении информационных технологий;

    • обеспечении защиты информации.

    Закон дает основные определения в области защиты информации. Приведем некоторые из них:

    • информация - сведения (сообщения, данные) независимо от формы их представления;

    • информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

    • информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

    • обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

    • оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

    Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. [21, c. 251]

    В статье 3 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

    1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

    2. установление ограничений доступа к информации только федеральными законами;

    3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

    4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

    5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

    6. достоверность информации и своевременность ее предоставления;

    7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

    8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

    Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

    В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. [27, c. 656]

    Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

    Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

    1. информацию, свободно распространяемую;

    2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

    3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

    4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

    Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

    Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

    1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

    2. соблюдение конфиденциальности информации ограниченного доступа;

    3. реализацию права на доступ к информации.

    Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

    • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

    • своевременное обнаружение фактов несанкционированного доступа к информации;

    • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

    • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

    • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

    • постоянный контроль за обеспечением уровня защищенности информации.

    Таким образом, ФЗ «Об информации, информационных технологиях и о защите информации» создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов. [15, c. 320]
    1.2. Способы защиты информации в банковской сфере

    В наши дни появилось много мошенников охотящихся на персональные данные клиентов банков, т.к. стоимость и значимость её сильно возросли.

    Обеспечение безопасности и надежное хранение данных, регулярное обновление и модернизация системы безопасности банка является неотъемлемой частью работы банка.

    Для получения доступа к конфиденциальной информации банка с помощью который злоумышленники смогут совершить кражу, вовсе не обязательно врываться в банк, осуществить это можно с любой точки мира имея доступ к сети интернет и персонального компьютера. Именно по этому проблема вопроса информационной безопасности в банках стоит достаточно остро

    Необходимость сохранять информационную безопасность этих данных очевидна, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Поэтому необходима целая структура, которая сможет обеспечить защиту банковской информации и конфиденциальность клиентской базы.

    Последовательность мер по защите этих данных можно представить таким образом:

    • оценка и разработка конфиденциальной информации;

    • оборудование объекта для осуществления защиты;

    • контроль эффективности принятых мер.

    Банк может полноценно осуществлять свою деятельность лишь в случае налаженного обмена внутренними данными и надежной системой защиты. Оборудование информационной защиты банковских объектов может иметь различные формы.

    Специалисты в области обеспечения информационной безопасности банка могут создавать как локальные системы, так и централизованные программы защиты:

    • разработка комплекса защитных мер по предотвращению нарушения конфиденциальности данных включает в себя ряд определенных действий.

    • контроль обмена данных и строгая их регламентация;

    • подготовка сотрудников банка и соблюдение ими требований безопасности;

    • строгий учет каналов и серверов;

    • анализ эффективности.

    Каждое направление включает в себя несколько этапов работы. К примеру, контроль обмена данных подразумевает не только обработку скорости передачи информации, но и своевременное уничтожение остаточных сведений. Эта мера также предполагает строгий контроль обработки данных и их криптографическую защиту.

    Доступ к данным банка защищается с помощью системы идентификации, то есть паролями или электронными ключам. Работа с персоналом, использующим банковскую систему, включает в себя проведение инструктажей и контроль выполнения необходимых требований.

    Строгий учет каналов и серверов, а также меры, обеспечивающие техническую защиту информации и безопасность банка подразумевают защиту резервных копий, обеспечение бесперебойного питания оборудования, содержащего ценную информацию, ограниченный доступ к сейфам и защиту от утечки информации акустическим способом.

    Для анализа эффективности принятых мер необходимо вести учет или запись, которые будут отмечать работоспособность и действенность примененных средств защиты информации в банке.

    Несмотря на множество возможностей взлома и утечки информации, безопасность банковских данных и их конфиденциальность обеспечить вполне возможно.

    Современные методы позволили усовершенствовать систему криптографии, а также реализовать такую меру, как электронная цифровая подпись (ЭЦП). Она служит аналогом собственноручной подписи и имеет непосредственную привязку к электронному ключу, который хранится у владельца подписи. Ключ состоит из двух частей: открытой и закрытой, и защищен специальным кодом. [20, c. 160]

    Система безопасности в целом – это непрерывный процесс идентификации, анализа и контроля. Существует ряд основных принципов, согласно которым осуществляется обеспечение информационной безопасности банка:

    • своевременное установление и обнаружение проблем;

    • возможность прогнозирования развития;

    • актуальность и эффективность предпринятых мер.

    Также необходимо особо подчеркнуть важность тщательной и регулярной работы с персоналом, поскольку обеспечение безопасности информации во многом зависит от качественного и аккуратного выполнения требований, предъявляемых службой безопасности.

    Человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений. Большая часть утечки информации объясняется халатностью персонала банка.

    По статистике, около 80% правонарушений приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным.

    Однако, обеспечение внутренней информационной безопасности банка крайне необходимая мера не только для защиты конфиденциальности данных от профессиональной халатности и безалаберности, но и от намеренного взлома баз данных.

    Кроме внутреннего фактора, существует также техническая угроза информационной безопасности как банков, так и предприятий. К техническим угрозам относятся взломы информационных систем, лицами, не имеющими прямого доступа к системе, криминальными или конкурирующими организациями.

    Съем и получение информации в данном случае производится с применением специальной аудио или видео аппаратуры. Одной из современных форм взлома является использование электрических и электромагнитных излучений, обеспечивающих злоумышленникам возможность получения конфиденциальной информации, ЭЦП и представляющих техническую угрозу утечки.

    Опасность и угрозу для программного обеспечения могут представлять также различные вредоносные для носителя информации компьютерные вирусы, программные закладки, которые способны разрушить введенные коды.

    Самым известным способом решения вирусных проблем программного обеспечения являются лицензионные антивирусные программы, успешно справляющиеся с данной проблемой.

    Защитить банковскую информацию от внутренних и внешних утечек  поможет грамотный специалист в этой области и программное обеспечение, позволяющее отслеживать и блокировать передачу информации на съемные носители (например – флешки).

    В заключение можно отметить, что в силу экономической важности банковских систем, обеспечение их информационной безопасности является обязательным условием. Поскольку информация, находящаяся в базе данных банков представляет собой реальную материальную стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.

    Специфика и особенности системы обеспечения безопасности, безусловно, индивидуальны для каждого отдельного банка, поэтому комплексное и профессиональное предоставление систем защиты является необходимым условием работы всей банковской системы.

    К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.

    Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических. [11, c. 408]

    Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.

    1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.

    2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

    Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

    На сегодняшний день выделяют несколько способов несанкционированного доступа к данным банков. Один из таких - физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.

    Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.

    К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.

    Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

    Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.

    Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

    Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

    Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.
    1.Создание резервных копий

    Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

    Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

    Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

    На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

    Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.

    Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

    Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

    Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных аппаратных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

    Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка. [17, c. 332]

      1   2   3


    написать администратору сайта