Информационная безопасность в Банке ВТБ 24

Анализ информационной безопасности в Банке ВТБ 24. Работа сдана в 2016 гому в г. Пермь (ПНИПУ) на оценку "хорошо" ...

1. Актуальность защиты информации в Банке ВТБ…..…………………….……..3
2. Разработка перечня сведений конфиденциального характера…………………3
3. Анализ угроз информации в организации………………………..……………10
4. Правовая защита информации (основные нормативно-методические документы по защите информации)………………………………………………14
5. Техническая, физическая, криптографическая защита информации……..….16
6. Организационная защита информации………………………………...………22
Заключение………………………………………………………..………………...26
Список литературы…………………………………………….…………..…….…27

Работа сдавалась без введения

Сведения о способах, методах хищений наличных денег, валюты, ценных бумаг и других ценностей из учреждений Банка, а также различных злоупотреблений.17. Маршруты и графики заездов инкассаторов в учреждения Банка.18. Данные о наличии и движении оружия и боеприпасов по каждому отделению Банка.19. Материалы персонального учета работников банка.20. Материалы психологической оценки работников банка.21. Сведения об условиях оплаты труда работников банка.Лица, незаконно получившие и разгласившие сведения, составляющие коммерческую или банковскую тайну, могут быть привлечены к уголовной ответственности в соответствии со ст.183 УК РФ.3. Анализ угроз информации в организацииУгроза информационной безопасности – совокупность факторов и условий, возникающих в процессе взаимодействия различных объектов(их элементов) и способных оказывать негативное воздействие на конкретный объект информационной безопасности. Негативные воздействия различаются по характеру наносимого вреда, а именно: по степени изменения свойств объекта безопасности и возможности ликвидации последствий проявления угрозы.Информация подвергается постоянной угрозе, как извне, так и внутри. Угрозы делятся на две категории: внешние и внутренние. Данная классификация предусматривает разделение угроз по локализации злоумышленника (или преступной группы), который может действовать как удалённо, пытаясь получить доступ к конфиденциальной информации предприятия при помощи сети интернет, либо же действовать посредством доступа к внутренним ресурсам IT-инфраструктуры объекта.В случае внешних атак, преступник ищет уязвимости в информационной структуре, которые могут дать ему доступ к хранилищам данных, ключевым узлам внутренней сети, локальным компьютерам сотрудников. В этом случае злоумышленник пользуется широким арсеналом инструментов и вредоносного программного обеспечения (вирусы, трояны, компьютерные черви) для отключения систем защиты, шпионажа, копирования, фальсификации или уничтожения данных, нанесения вреда физическим объектам собственности и т.д. Использование вредоносного ПО является наиболее распространённой и разнообразной по методам исполнения формой угроз. Такие угрозы представляют прямую опасность конфиденциальности и целостности информационных ресурсов организации. В атаках с использованием вредоносных кодов и приложений используются уязвимости информационных систем для осуществления несанкционированного доступа к базам данных, файловой системе локальной корпоративной сети, информации на рабочих компьютерах сотрудников. Спектр угроз информационной безопасности, вызванных использованием вредоносного программного обеспечения чрезвычайно широк. Вот некоторые примеры таких угроз защиты информации:внедрение вирусов и других разрушающих программных воздействий.анализ и модификация/уничтожение установленного программного обеспечения.внедрение программ-шпионов для анализа сетевого трафика и получения данных о системе и состоянии сетевых соединений.использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированных прав чтения, копирования, модификации или уничтожения информационных ресурсов, а также нарушения их доступности.раскрытие, перехват и хищение секретных кодов и паролей.чтение остаточной информации в памяти компьютеров и на внешних носителях.блокирование работы пользователей системы программными средствамии др.Одним из видов внешних угроз является недобросовестная конкуренция. Недобросовестная конкуренция – это использование методов, несовместимых с нормами и требованиями действующего законодательства. Наиболее распространенными методами недобросовестной конкуренции выступают:Использование инсайдерской финансовой или коммерческой информации, негласно получаемой банком из различных источников.Бизнес – разведка с использованием нелегитимных методов.Компрометация конкурирующего банка в глазах имеющихся и потенциальных клиентов, других членов банковского сообщества.Переманивание клиентов с использованием коммерческого подкупа представителей их менеджмента и др.Наиболее распространенным методом недобросовестной конкуренции в рассматриваемой области является переманивание у конкурирующего банка ведущих специалистов. Данную форму соперничества между работодателями можно позиционировать в качестве естественного проявления закона рыночной конкуренции на рынке труда.Внутренние угрозы подразумевают наличие одного или нескольких сотрудников предприятия, которые по злому умыслу или по неосторожности могут стать причиной утечки конфиденциальных данных или ценной информации, в том числе и в криминальных целях.Большинство инцидентов связано с воздействием внутренних угроз – утечки и кражи информации, утечки коммерческой тайны и персональных данных клиентов организации, ущерб информационной системе. Связаны они, как правило, с действиями сотрудников этой организации. В классификации внутренних угроз в первую очередь можно выделить две большие группы – совершаемые из корыстных или других злонамеренных соображений, и совершаемые без злого умысла, по неосторожности или технической некомпетентности.Итак, преступления сотрудников, способных причинить вред сохранности интеллектуальной и коммерческой собственности организации (их принято называть «инсайдерами») можно разделить на категории злонамеренного инсайда и непредумышленного инсайда. Злоумышленным инсайдером могут стать:Сотрудники, затаившие злобу на компанию-работодателя («обиженные»). Такие инсайдеры действуют исходя из мотивов личной мести, причин для которой может быть масса – от увольнения/понижения в должности до отказа компании предоставить статусные атрибуты, например, ноутбук или расширенный социальный пакет.Нечистые на руку сотрудники, стремящиеся подзаработать за счёт компании-работодателя. Такими инсайдерами становятся сотрудники, использующие секретные информационные ресурсы компании для собственной выгоды. Базы данных клиентов, интеллектуальная собственность компании, состав коммерческой тайны – такая информация может использоваться инсайдером в личных интересах, либо продаваться конкурентам.Внедрённые и завербованные инсайдеры. Самый опасный и самый трудно-идентифицируемый тип внутренних злоумышленников. Как правило, являются звеном преступной цепочки или членом организованной преступной группы. Такие сотрудники имеют достаточно высокий уровень доступа к конфиденциальной информации, ущерб от их действий может стать фатальным для компании.Банк ВТБ контролируется Центральным банком Российской Федерации. Политика информационной безопасностив Банке ВТБ значительно отличается от политики других экономических объектов. Это связано с особыми видами угроз и публичностью банка, вынужденного создавать удобный доступ к счетам с целью упрощения пользования для клиентов.К банку предоставляется большое количество требований и рекомендаций по обеспечению информационной безопасности. Например, постановления Центрального банка РФ, различные стандарты: стандарт СТО БР ИББИ-1.0-2006, СТО БР ИББИ-1.0-2014, которые посвящены управлению информационной безопасностью банка.Основными источниками угроз информационной безопасности являются:неблагоприятные события природного, техногенного и социального характера.террористы и криминальные элементы.зависимость от поставщиков, провайдеров, партнеров, клиентов.сбои, отказы, разрушения или повреждения программных и технических средств.работники организации, которые реализуют угрозы информационной безопасности с применением легально предоставленных им прав и полномочий.работники организации, которые реализуют угрозы информационной безопасности вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работниками организации, но осуществляющие попытки несанкционированного доступа.несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.Нарушение информационной безопасности банка также проявляется в утечке конфиденциальной информации. Можно составить перечень информации, которая интересна злоумышленникам:информация о новых банковских продуктах (новые кредитные продукты, новые тарифы, новые программы повышения лояльности клиентов, новые акции).информация о рынке (анализ финансового состояния и другой информации по целевой аудитории, анализ ключевых показателей в регионе, в котором представлен банк).информация о планах развития (планы слияний и поглощений, планы получения иностранных инвестиций, планы сотрудничества с игроками рынка, планы выхода на новые рынки, планы внедрения новых технологий).информация об управлении банком (стратегия управления рисками, финансовое состояние, условия взаимодействия с поставщиками, уровни скидок).информация о клиентах (состояние и движение по счету, персональные данные, кредитные истории).информация о сотрудниках (ценные кадры, уровень текучки кадров, персональные данные руководства, частота и места командировок).информация о системе безопасности.При таком разнообразии типов и целей утечек виновных в них лиц тоже немало. Это могут быть как действующие сотрудники, имеющие по роду своей деятельности доступ к конфиденциальной информации, так и сотрудники бывшие, доступ которых к внутренним ресурсам по разным причинам не был заблокирован. Это могут быть хакеры, а могут быть аудиторы, пришедшие в рамках ежегодных проверок в организацию и решившие заработать на своих привилегиях по доступу к важной информации. Это могут быть партнеры, раскрывшие случайно или целенаправленно доверенные им сведения, а могут быть и вовсе представители многочисленной когорты регуляторов (налоговая, Банк России, Роскомнадзор, СЭС, пожарники, полиция и т.п.), считающие себя безнаказанными. Круг потенциальных нарушителей в любой организации очень широк, а уж в банке тем более. Поэтому так важно после этапа идентификации важной и требующей защиты информации определить круг лиц, имеющих к ней доступ. Только решив эти две задачи, можно приступать к внедрению мер контроля доступа к ценной информации и нейтрализации ее утечек.Атаки становятся гораздо сложнее, незаметнее и опаснее. Неслучайно появляется термин «целенаправленные» или «скрытые» атаки. Они могут создаваться под конкретную организацию и в течение длительного времени оставаться незамеченными. По статистике, между моментом проникновения и моментом утечки информации проходят в среднем минуты, реже часы. А между моментом утечки и моментом ее обнаружения обычно проходят недели и месяцы. Это реальная угроза, отличающаяся от того, что было еще два-три года назад, когда различные атаки и утечки могли обнаруживаться почти сразу после начала их воздействия на организацию-жертву.4. Правовая защита информации (основные нормативно-методические документы по защите информации)В соответствии с, ГОСТ Р 50922-2006, правовая защита информации – это защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.Законодательные акты в сфере правовой защиты информационной безопасности банка:Конституция Российской Федерации.Трудовой кодекс Российской Федерации.Гражданский кодекс Российской Федерации.Кодекс Российской Федерации об административных правонарушениях.Уголовный кодекс Российской Федерации.Федеральный закон № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и защите информации».Федеральный закон № 125-ФЗ от 22 октября 2004 г. «Об архивном деле в Российской Федерации».Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности».Федеральный закон № 17-ФЗ от 3 февраля 1996 г. «О банках и банковской деятельности».Федеральный закон № 63-ФЗ от 6 апреля 2011 г. «Об электронной подписи».Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных».Федеральный закон № 98-ФЗ от 29 июля 2004 г. «О коммерческой тайне».Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».Положение Банка России от 19.08.2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.Устав банка.Правовая защита информации подразумевает следующие нормативные правила: - На любом функционирующем объекте режим конфиденциальности должен быть установлен в обязательном порядке. - Доступ к данным необходимо разграничить. - Правовая защита информации должна иметь материальное обеспечение. - Конфиденциальные данные должны быть четко выделены как основной объект защиты.Правовая защита информации совершается при помощи различных приемов и средств, которые обеспечивают конфиденциальность, доступность и полноту сведений, а также противодействуют внешним и внутренним угрозам. Каждый вид угроз имеет в своем распоряжении определенные хитрости, которые система должна уметь распознавать. 5. Техническая, физическая, криптографическая защита информацииВ соответствии с, ГОСТ Р 50922-2006, техническая защита информации – это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. Важно обратить внимание, что техническая защита – это не только защита от утечки информации по техническим каналам утечки, но и защита от НСД, от математического воздействия, от вредоносных программ и т.п. Объектами технической защиты информации могут быть:объект информатизации;информационная система;ресурсы информационной системы;информационные технологии;программные средства;сети связи.Утечка информации – это несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое банком.Физическая защита информации – защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.Эти средства применяются для решения следующих задач:охрана территории предприятия и наблюдение за ней;охрана зданий, внутренних помещений и контроль за ними;охрана оборудования, продукции, финансов и информации;осуществление контролируемого доступа в здания и помещение.Все физические средства защиты объектов можно разделить на три категории:средства предупреждения,средства обнаружениясистемы ликвидации угроз.В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:охранные и охранно-пожарные системы;охранное телевидение;охранное освещение;средства физической защиты.К средствам физической защиты относятся:ограждение и физическая изоляция,запирающие устройства,системы контроля доступа.К системам контроля доступа относятся:системы, использующие различные карты и карточки, на которых помещается кодированная или открытая информация о владельце,системы опознавания по отпечаткам пальцев,системы опознавания по голосу,системы опознавания по почерку,система опознавания по геометрии рук.Все устройства идентификации могут работать как отдельно, так и в комплексе.Охранная система и средства охранной сигнализации - автоматизированный комплекс для защиты различных объектов имущества (зданий, включая прилегающую к ним территорию, отдельных помещений, автомобилей, водного транспорта, сейфов и пр.) от процессов или явлений криминального характера. Термин является обобщающим для нескольких типов систем. Основное назначение — предупредить, по возможности предотвратить или способствовать предотвращению ситуаций, в которых будет нанесён вред людям или материальным и не материальным ценностям, связанных прежде всего с действиями других лиц.Виды охранных систем:система охранной и «тревожной» сигнализации;охранно-пожарная сигнализация;система видеонаблюдения;система охранного освещения;система охранно-дымового воздействия и тд.Классификация:По взаимодействию с угрозой:Пассивные — комплекс средств и действий, направленный на привлечение внимания владельца имущества или охранных службАктивные — предназначены для предотвращения проникновения в охраняемый объект или вскрытия сейфа.Криптографическая защита информации – это защита информации с помощью ее криптографического преобразования.Современная криптография включает в себя четыре крупных раздела: симметричные криптосистемы, криптосистемы с открытым ключом, системы электронной подписи, управление ключами.Основные направления использования криптографический методов – передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности сообщений, хранение информации (документов, без базы данных) на носителях в зашифрованном виде.В качестве информации, подлежащей шифрованию и расшифрованию, а также электронной подписи будут рассматриваться тексты (сообщения), построенные на некотором алфавите.Электронной (цифровой) подписью (ЭЦП)называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и целостность сообщения.Рассмотрим виды защиты информации в данной организации Банка ВТБ.Исходя из основных принципов функционирования банка, в здании можно выделить два основных укрупненных блока - операционно-кассовый блок и блок, включающий помещения информатизации, офисные помещения и сопутствующие им вспомогательные помещения, а также помещения охраны и службы безопасности.Операционно-кассовый блок является главным функциональным звеном в зданиях банков и, как правило, составляет до 70 % от общего объема здания.В его состав входят:а) кассовый узел;б) кассовый и операционный залы или операционно-кассовый зал (залы) для обслуживания юридических и физических лиц;в) группа специальных помещений по обслуживанию клиентов (обмена валюты, банкоматов, ночного сейфа, автоматического обслуживания);г) помещения индивидуальных сейфов (депозитарий).Для подразделений информации предназначены помещения центральных устройств локальных сетей ЭВМ, помещения аппаратуры связи и др. помещения технологического обеспечения.Офисные помещения включают кабинеты и приемные руководства банка, помещения отделов, включая помещения бухгалтерии.Самостоятельной группой являются помещения охраны и службы безопасности.По степени доступности помещения банка группируются следующим образом:1) помещения свободного доступа. Включающие вестибюль, холлы для ожидания, кассовый и операционный залы, специальные помещения по обслуживанию клиентов;2) помещения ограниченного и подлежащего контролю доступа клиентов, сотрудников - депозитарий, помещения информатизации и офисные помещения;3) помещения, доступ в которые разрешен строго ограниченному кругу работников банка - кассовый узел и помещения охраны и службы безопасности.Между операционистами и кассирами операционных касс должна быть обеспечена техническая или курьерская связь для оперативной передачи документов. Конкретный способ решения этой задачи должен учитываться при взаиморасположении зон операционистов в операционном или операционно-кассовом зале и операционных касс.Кассовый узел должен проектироваться функционально автономным.Доступ в него разрешен только работающему в нем персоналу и материально ответственным лицам руководящего состава.Кассовый узел должен иметь, как правило, один служебный вход, оборудованный тамбуром-шлюзом, который контролируется техническими средствами или находится под наблюдением поста охраны.